이미르라는 이름의 새 랜섬웨어가 등장했다. 일반적으로 랜섬웨어는 멀웨어도 그렇고 운영하는 자들도 그렇고 대단히 시끄러운 게 보통인데 이미르는 정 반대다. 그럼에도 최신 범죄 트렌드는 충실히 따르고 있다.
[보안뉴스 문정후 기자] 새로운 랜섬웨어가 등장했다. 이름은 이미르(Ymir)로, 여러 가지 독특한 기능을 가지고 있어 관심을 끌고 있다. 이미르를 사용하는 공격자들은 먼저 파워셸을 통해 피해자의 시스템에 접근하여 추가 해킹 도구를 심어 피해자 시스템의 보안을 약화시킨 후 마지막에 이미르 랜섬웨어 페이로드를 설치했다. 또한 기존 주요 사이버 범죄 단체와의 파트너십이 의심되고 있기도 하다.
[이미지 = gettyimagesbank]
이미르 분석 결과
보안 업체 카스퍼스키(Kaspersky)가 분석한 바에 의하면 이미르에는 malloc, memmove, memcmp 등 메모리 할당 및 조작에 사용되는 함수가 포함되어 있었다고 한다. 즉 “메모리를 조작함으로써 악성코드를 삽입하는 전략이 이 이미르 랜섬웨어 캠페인에 포함되어 있다”는 의미가 된다. “샘플을 분석했을 때 실제로 페이로드가 메모리에서 언팩되는 것을 확인했습니다. 그 외에도 협박 편지 파일명과 내용, 암호화 확장자, 파워셸 명령, 암호화 알고리즘에 사용된 해시 등 여러 요소들을 발견하는 데에도 성공했습니다.”
또한 이미르가 여러 다른 함수를 호출한다는 것도 파악됐는데, 이는 다음과 같다.
1) GetSystemTimeAsFileTime : 시스템 날짜와 시간을 가져온다.
2) GetCurrentProcessId : 현재 프로세스 ID를 가져온다.
3) GetCurrentThreadId : 호출 스레드의 ID를 가져온다.
4) GetTickCount : 시스템이 실행된 시간(밀리초)을 측정해 디버깅 여부를 탐지한다.
5) QueryPerformanceCounter : 시간 간격 측정을 카운터의 현재 값을 가져온다.
“이미르 랜섬웨어가 실행되면 memmove 함수가 수백 번 호출된다는 것이 동적 분석 때 발견됐습니다. 분석했더니 이미르는 본연의 악성 기능을 수행하기 위해 작은 코드 조각을 메모리에 로드하는 방식으로 작동하고 있었음을 알게 됐습니다.” 이렇게 mommove 함수를 끊임없이 발동시키면서 이미르는 피해자 시스템 내 디렉토리와 파일들을 목록화 하기도 했다. 이 목록에 있는 것들이 나중에 암호화 되는 것이다.
파일 암호화에 사용되는 알고리즘은 차차20(ChaCha20)이었다. 암호화가 완료된 파일에는 .6C5oy2dVr6라는 확장자가 붙는 것도 확인됐다. 암호화가 완료된 후에는 시스템 내 모든 디렉토리에 협박 편지를 저장하는데, 이 때 협박 편지는 PDF 파일 형태를 갖게 된다. “범인들은 이 PDF 편지를 통해 무슨 일이 일어났는지를 피해자에게 알려주고, 연락하라고 지시합니다. 파일을 암호화 한 것만이 아니라 외부로 유출시키기까지 했다고 범인들은 주장하는데, 사실 여태까지 발견된 악성코드에는 데이터 유출 기능이 없었습니다. 따라서 공격자가 다른 경로를 통해 데이터를 가져가는 것으로 추정되고 있습니다.”
여기서 특이한 점이 하나 나오는데, 바로 코드 내 주석에 링갈라어로 작성된 글이 있다는 것이다. 링갈라어는 콩고, 앙골라, 중앙아프리카공화국 등에서 사용되는 언어다. “이미르는 각 하위 디렉토리를 검색하여 파워셸을 찾으려 합니다. 그래서 발견하면 이 파워셸을 통해 자가 삭제를 진행합니다. 필요한 요소들을 메모리에 로딩했으니 디스크에서는 흔적을 없애는 것이죠. 심지어 실제 삭제 전에 5초간 대기 시간을 갖기도 합니다. 뭔가 상당히 치밀하고 조심스러운 움직임을 보이는 랜섬웨어입니다.”
카스퍼스키의 연구원들은 이미르를 분석한 결과를 바탕으로 추가 샘플을 찾아나섰다. 그랬더니 파키스탄에서 유래한 샘플을 발견할 수 있었다. 공격자가 VPN 또는 토르 네트워크를 사용해 IP주소를 바꾼 것으로 카스퍼스키 측은 보고 있다. “하지만 이 샘플은 테스트를 위한 버전으로 보였습니다. 파일을 실제로 암호화 하거나 협박 편지를 남겨두지 않거든요. 스스로를 삭제하지도 않고요. 이 ‘파키스탄 버전’이 저희가 먼저 분석했던 것보다 이전에 나온 버전일 가능성이 높아 보입니다.” 이미르 공격자들이 실제 공격을 감행하기 전 치밀한 실험 과정까지 거쳤음을 알 수 있는 대목이다.
실제 사건
카스퍼스키의 연구원들은 이 이미르가 실제 공격에 활용된 사건을 조사하다가 또 하나 중요한 사실을 발견했다. 당시 콜롬비아에서 이미르에 의한 피해가 발견됐는데, “랜섬웨어 감염이 있기 이틀 전 러스티스틸러(RustyStealer)라는 멀웨어가 여러 시스템에서 탐지되었다”는 것이었다. 러스티스틸러 운영자들은 피해자의 시스템에서 각종 정보를 수집했을 뿐 아니라 피해자 시스템을 어느 정도 제어할 수도 있었다. “당시 러스티스틸러는 AudioDriver2.0.exe라는 이름으로 윈도 임시 폴더에 저장되어 있었습니다.”
이 러스티스틸러 샘플을 분석했을 때 눈에 띄는 기능 다섯 가지는 다음과 같았다.
1) 파일 시스템 정보 수집
2) 분석 및 탐지 방해를 위한 난독화
3) 포트 443을 통한 C&C 서버와의 연결 기능
4) 도메인 제어기 침해 후 횡적 움직임
5) WinRM과 파워셸 원격 제어 기능을 통한 두 개 악성 스크립트 실행
이 스크립트들에는 특정 파일들을 골라 외부로 빼돌리는(즉 공격자가 지정한 서버에 업로드하는) 기능을 가지고 있었다.
위에서 이미르 공격자들이 정보를 훔쳐갔다고 주장은 하는데, 실제 이들이 사용한 페이로드에서는 정보 유출의 기능을 찾을 수가 없었다고 했다. 카스퍼스키는 이 부족한 부분을 러스티스틸러가 메워준 것이 아닐까, 하고 추정하고 있다. 러스티스틸러가 들어갔다 나온 자리에 이미르가 들어가 파일 암호화로 마지막 결정타를 날리는 식으로 말이다.
이는 최근 다크웹의 사이버 범죄 산업에서 나타나는 커다란 유행을 그대로 따르는 현상이다. 최근 들어 사이버 범죄자들은 자신들의 전문 분야에만 집중하려는 경향을 보이고 있다. 대신 자기들이 하지 못하는 것들은 파트너십을 통해 해결한다. 최초 침투에 전문인 사람은 그것에만 집중하고, 횡적 움직임에 능숙한 공격자는 그것만 담당한다. 피해자와의 협상에 경험이 풍부한 사람은 협상만 하고, 돈 세탁을 맡는 자금 운반책들은 검은 돈의 현금화에만 신경을 쓰는 식이다. 그리고 이 모든 전문가들이 약속과 계약을 통해 한 팀을 이뤄 커다란 범죄를 기획하고 실행한다.
이렇게 했을 때의 단점은 수익을 나눠야 한다는 것이다. 효율과 수익성을 중요시 하는 공격자들에게 있어 이는 치명적일 수 있다. 하지만 더 중요한 건 이렇게 각자의 전문성을 기반으로 역할을 세분화 했을 때 공격 성공률이 높아진다는 것이다. 특히 보안에 아낌없이 투자하는 대기업이나 중요 정부 기관들 등까지도 공략이 가능해진다는 게 이런 ‘파트너십’의 힘이다. 혼자서 두루두루 다 잘하는 해커라면 할 수 없는 걸, 전문가 네 명이 해내는 꼴이다. 더 큰 조직을 공략하면 한 번에 더 많은 수익을 거둘 수 있게 되고, 그러면 수익금을 나눈다 하더라도 이득이다.
그 외에 피해자의 시스템에서는 어드밴스드아이피스캐너(Advanced IP Scanner)와 프로세스해커(Process Hacker)라는 프로그램이 생성 및 실행되기도 했다. 이런 흔적들이 다수 시스템에서 발견됐다고 카스퍼스키 측은 설명한다. 이 도구들을 가지고 정확히 어떤 일을 도모했는지는 아직 더 분석을 하고 있다고 한다.
“이미르는 굉장히 철저하게 스스로를 숨기는 랜섬웨어입니다. 보안성이 뛰어나다고도 할 수 있지요. 그렇기 때문에 탐지가 쉽지 않고, 방어도 까다롭습니다. 또한 이들이 암호화 한 파일은 아직까지 복구 방법이 없는 것으로 분석됩니다. 이미르 배후 세력은 그 어떤 다크웹 포럼에서도 자신들의 목소리를 내지 않고 있으며, 따라서 우리는 그들이 누구인지 모릅니다. 지금으로서는 엔드포인트 강화 이상의 방법으로 이들을 막아내야 할 것으로 보입니다. 랜섬웨어의 진화만이 문제가 아니라, 범죄 산업이 점점 전문화 되고 있다는 게 더 큰 문제입니다.”
3줄 요약
1. 콜롬비아에서 랜섬웨어 사건들 터졌는데, 조사해 보니 ‘이미르’라는 새 랜섬웨어.
2. 누가 배후에 있는지 모르겠지만 극도로 은밀하고 조용히 움직임.
3. 정보 탈취는 러스티스틸러라는 멀웨어를 운영하는 자들에게 맡긴 것처럼 보임.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 새로운 랜섬웨어가 등장했다. 이름은 이미르(Ymir)로, 여러 가지 독특한 기능을 가지고 있어 관심을 끌고 있다. 이미르를 사용하는 공격자들은 먼저 파워셸을 통해 피해자의 시스템에 접근하여 추가 해킹 도구를 심어 피해자 시스템의 보안을 약화시킨 후 마지막에 이미르 랜섬웨어 페이로드를 설치했다. 또한 기존 주요 사이버 범죄 단체와의 파트너십이 의심되고 있기도 하다.
[이미지 = gettyimagesbank]
이미르 분석 결과
보안 업체 카스퍼스키(Kaspersky)가 분석한 바에 의하면 이미르에는 malloc, memmove, memcmp 등 메모리 할당 및 조작에 사용되는 함수가 포함되어 있었다고 한다. 즉 “메모리를 조작함으로써 악성코드를 삽입하는 전략이 이 이미르 랜섬웨어 캠페인에 포함되어 있다”는 의미가 된다. “샘플을 분석했을 때 실제로 페이로드가 메모리에서 언팩되는 것을 확인했습니다. 그 외에도 협박 편지 파일명과 내용, 암호화 확장자, 파워셸 명령, 암호화 알고리즘에 사용된 해시 등 여러 요소들을 발견하는 데에도 성공했습니다.”
또한 이미르가 여러 다른 함수를 호출한다는 것도 파악됐는데, 이는 다음과 같다.
1) GetSystemTimeAsFileTime : 시스템 날짜와 시간을 가져온다.
2) GetCurrentProcessId : 현재 프로세스 ID를 가져온다.
3) GetCurrentThreadId : 호출 스레드의 ID를 가져온다.
4) GetTickCount : 시스템이 실행된 시간(밀리초)을 측정해 디버깅 여부를 탐지한다.
5) QueryPerformanceCounter : 시간 간격 측정을 카운터의 현재 값을 가져온다.
“이미르 랜섬웨어가 실행되면 memmove 함수가 수백 번 호출된다는 것이 동적 분석 때 발견됐습니다. 분석했더니 이미르는 본연의 악성 기능을 수행하기 위해 작은 코드 조각을 메모리에 로드하는 방식으로 작동하고 있었음을 알게 됐습니다.” 이렇게 mommove 함수를 끊임없이 발동시키면서 이미르는 피해자 시스템 내 디렉토리와 파일들을 목록화 하기도 했다. 이 목록에 있는 것들이 나중에 암호화 되는 것이다.
파일 암호화에 사용되는 알고리즘은 차차20(ChaCha20)이었다. 암호화가 완료된 파일에는 .6C5oy2dVr6라는 확장자가 붙는 것도 확인됐다. 암호화가 완료된 후에는 시스템 내 모든 디렉토리에 협박 편지를 저장하는데, 이 때 협박 편지는 PDF 파일 형태를 갖게 된다. “범인들은 이 PDF 편지를 통해 무슨 일이 일어났는지를 피해자에게 알려주고, 연락하라고 지시합니다. 파일을 암호화 한 것만이 아니라 외부로 유출시키기까지 했다고 범인들은 주장하는데, 사실 여태까지 발견된 악성코드에는 데이터 유출 기능이 없었습니다. 따라서 공격자가 다른 경로를 통해 데이터를 가져가는 것으로 추정되고 있습니다.”
여기서 특이한 점이 하나 나오는데, 바로 코드 내 주석에 링갈라어로 작성된 글이 있다는 것이다. 링갈라어는 콩고, 앙골라, 중앙아프리카공화국 등에서 사용되는 언어다. “이미르는 각 하위 디렉토리를 검색하여 파워셸을 찾으려 합니다. 그래서 발견하면 이 파워셸을 통해 자가 삭제를 진행합니다. 필요한 요소들을 메모리에 로딩했으니 디스크에서는 흔적을 없애는 것이죠. 심지어 실제 삭제 전에 5초간 대기 시간을 갖기도 합니다. 뭔가 상당히 치밀하고 조심스러운 움직임을 보이는 랜섬웨어입니다.”
카스퍼스키의 연구원들은 이미르를 분석한 결과를 바탕으로 추가 샘플을 찾아나섰다. 그랬더니 파키스탄에서 유래한 샘플을 발견할 수 있었다. 공격자가 VPN 또는 토르 네트워크를 사용해 IP주소를 바꾼 것으로 카스퍼스키 측은 보고 있다. “하지만 이 샘플은 테스트를 위한 버전으로 보였습니다. 파일을 실제로 암호화 하거나 협박 편지를 남겨두지 않거든요. 스스로를 삭제하지도 않고요. 이 ‘파키스탄 버전’이 저희가 먼저 분석했던 것보다 이전에 나온 버전일 가능성이 높아 보입니다.” 이미르 공격자들이 실제 공격을 감행하기 전 치밀한 실험 과정까지 거쳤음을 알 수 있는 대목이다.
실제 사건
카스퍼스키의 연구원들은 이 이미르가 실제 공격에 활용된 사건을 조사하다가 또 하나 중요한 사실을 발견했다. 당시 콜롬비아에서 이미르에 의한 피해가 발견됐는데, “랜섬웨어 감염이 있기 이틀 전 러스티스틸러(RustyStealer)라는 멀웨어가 여러 시스템에서 탐지되었다”는 것이었다. 러스티스틸러 운영자들은 피해자의 시스템에서 각종 정보를 수집했을 뿐 아니라 피해자 시스템을 어느 정도 제어할 수도 있었다. “당시 러스티스틸러는 AudioDriver2.0.exe라는 이름으로 윈도 임시 폴더에 저장되어 있었습니다.”
이 러스티스틸러 샘플을 분석했을 때 눈에 띄는 기능 다섯 가지는 다음과 같았다.
1) 파일 시스템 정보 수집
2) 분석 및 탐지 방해를 위한 난독화
3) 포트 443을 통한 C&C 서버와의 연결 기능
4) 도메인 제어기 침해 후 횡적 움직임
5) WinRM과 파워셸 원격 제어 기능을 통한 두 개 악성 스크립트 실행
이 스크립트들에는 특정 파일들을 골라 외부로 빼돌리는(즉 공격자가 지정한 서버에 업로드하는) 기능을 가지고 있었다.
위에서 이미르 공격자들이 정보를 훔쳐갔다고 주장은 하는데, 실제 이들이 사용한 페이로드에서는 정보 유출의 기능을 찾을 수가 없었다고 했다. 카스퍼스키는 이 부족한 부분을 러스티스틸러가 메워준 것이 아닐까, 하고 추정하고 있다. 러스티스틸러가 들어갔다 나온 자리에 이미르가 들어가 파일 암호화로 마지막 결정타를 날리는 식으로 말이다.
이는 최근 다크웹의 사이버 범죄 산업에서 나타나는 커다란 유행을 그대로 따르는 현상이다. 최근 들어 사이버 범죄자들은 자신들의 전문 분야에만 집중하려는 경향을 보이고 있다. 대신 자기들이 하지 못하는 것들은 파트너십을 통해 해결한다. 최초 침투에 전문인 사람은 그것에만 집중하고, 횡적 움직임에 능숙한 공격자는 그것만 담당한다. 피해자와의 협상에 경험이 풍부한 사람은 협상만 하고, 돈 세탁을 맡는 자금 운반책들은 검은 돈의 현금화에만 신경을 쓰는 식이다. 그리고 이 모든 전문가들이 약속과 계약을 통해 한 팀을 이뤄 커다란 범죄를 기획하고 실행한다.
이렇게 했을 때의 단점은 수익을 나눠야 한다는 것이다. 효율과 수익성을 중요시 하는 공격자들에게 있어 이는 치명적일 수 있다. 하지만 더 중요한 건 이렇게 각자의 전문성을 기반으로 역할을 세분화 했을 때 공격 성공률이 높아진다는 것이다. 특히 보안에 아낌없이 투자하는 대기업이나 중요 정부 기관들 등까지도 공략이 가능해진다는 게 이런 ‘파트너십’의 힘이다. 혼자서 두루두루 다 잘하는 해커라면 할 수 없는 걸, 전문가 네 명이 해내는 꼴이다. 더 큰 조직을 공략하면 한 번에 더 많은 수익을 거둘 수 있게 되고, 그러면 수익금을 나눈다 하더라도 이득이다.
그 외에 피해자의 시스템에서는 어드밴스드아이피스캐너(Advanced IP Scanner)와 프로세스해커(Process Hacker)라는 프로그램이 생성 및 실행되기도 했다. 이런 흔적들이 다수 시스템에서 발견됐다고 카스퍼스키 측은 설명한다. 이 도구들을 가지고 정확히 어떤 일을 도모했는지는 아직 더 분석을 하고 있다고 한다.
“이미르는 굉장히 철저하게 스스로를 숨기는 랜섬웨어입니다. 보안성이 뛰어나다고도 할 수 있지요. 그렇기 때문에 탐지가 쉽지 않고, 방어도 까다롭습니다. 또한 이들이 암호화 한 파일은 아직까지 복구 방법이 없는 것으로 분석됩니다. 이미르 배후 세력은 그 어떤 다크웹 포럼에서도 자신들의 목소리를 내지 않고 있으며, 따라서 우리는 그들이 누구인지 모릅니다. 지금으로서는 엔드포인트 강화 이상의 방법으로 이들을 막아내야 할 것으로 보입니다. 랜섬웨어의 진화만이 문제가 아니라, 범죄 산업이 점점 전문화 되고 있다는 게 더 큰 문제입니다.”
3줄 요약
1. 콜롬비아에서 랜섬웨어 사건들 터졌는데, 조사해 보니 ‘이미르’라는 새 랜섬웨어.
2. 누가 배후에 있는지 모르겠지만 극도로 은밀하고 조용히 움직임.
3. 정보 탈취는 러스티스틸러라는 멀웨어를 운영하는 자들에게 맡긴 것처럼 보임.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
