신종 랜섬웨어, ‘PadCrypt’와 ‘록키’ 등장
랜섬웨어 기능 포함된 안드로이드 악성코드 ‘Xbot’ 발견
[보안뉴스 김경애] 한 주간 신종 랜섬웨어가 줄줄이 등장했다. 채팅 상담창 기능을 넣어 비트코인 지불을 안내하는 PadCrypt 랜섬웨어가 등장했으며, 해외에서 뱅킹 악성코드를 만들던 조직이 새롭게 만든 신종 랜섬웨어 ‘록키(Locky)’가 출현하기도 했다. 또한, 랜섬웨어 기능이 포함된 안드로이드 악성코드 ‘Xbot’도 발견됐다. 다음은 한 주간 발생한 보안이슈다.
▲신종 랜섬웨어 PadCrypt에 감염된 화면
1. 신종 랜섬웨어, ‘PadCrypt’와 ‘록키’ 등장
친절하게 채팅상담까지 지원하는 신종 랜섬웨어 PadCrypt는 닷넷 4.0 기반으로 동작하는 크립토월(CryptoWall)의 소스코드를 기반으로 변형된 랜섬웨어다.
MS에서 개발한 개발환경인 닷넷프레임워크 4.0 버전에서 동작하며, 닷넷 환경에서 동작하는 프로그램들은 반드시 닷넷이 설치되어있어야 한다.
이와 관련 하우리 최상명 CERT 실장은 “PadCrypt 랜섬웨어는 채팅창을 지원해 랜섬웨어에 감염된 PC 사용자에게 비트코인을 지불하는 방법을 안내해 감염자가 비트코인을 지불하도록 부추긴다”고 밝혔다.
또한, 지난 17일부터 국내에 유포된 또 다른 신종 랜섬웨어 ‘록키’는 Dridex 악성코드와 같이 MS 오피스 문서 매크로 기능을 이용해 감염시키며, 한글문서 파일(HWP)도 타깃으로 하고 있다. 문서파일의 매크로를 실행하면 악성코드를 다운로드 받아 사용자의 PC를 감염시킨다.
2. 랜섬웨어 기능 포함된 안드로이드 악성코드 ‘Xbot’ 발견
랜섬웨어 기능이 장착된 새로운 안드로이드 악성코드인 ‘Xbot’도 출현했다.
Xbot은 신용카드와 은행 계좌 정보를 피싱하고, 기기를 암호화한다. 구글 플레이의 지불 인터페이스와 7개 은행앱의 로그인 페이지를 복제한 피싱 페이지에서도 사용자의 금융정보와 신용카드 정보를 탈취하려고 시도한 바 있다.
알약 블로그 측은 “해당 악성코드에 감염될 경우 안드로이드 기기가 잠길 수 있고, SD카드 등 외부 저장장치의 데이터를 암호화한 뒤 $100 페이팔 캐시 카드를 요구한다”며 “모든 SMS와 연락처 정보 탈취, 특정 SMS 메세지를 중간에서 가로챌 수 있다”고 밝혔다. 또한, 은행에서 온 SMS 메시지를 파싱(Parsing)하는 기능도 있다고 덧붙였다.
Xbot이 안드로이드 기기에 설치되면 C&C 서버와 통신해 서버로부터 특정 명령어를 내려 받는다. 그 다음 구글 플레이와 특정 호주 뱅킹 앱 사용자들을 노리는 피싱 공격을 시작한다.
C&C 서버의 명령어에 따라 공격자가 요구하는 정보는 △신용카드 정보 △만료일 △CVV 번호 △카드 소유주 명 △카드 소유주 주소 △카드 소유주 전화 번호 △VBV(Verified by Visa) 또는 McSec(MasterCard SecureCode) 번호 등이다.
3. 스마트폰 저장 공간 삭제하는 안드로이드 멀웨어 발견
한편, 스마트폰의 루트 권한을 얻어 폰 저장공간을 모두 지워버릴 수 있는 Mazar BOT 안드로이드 멀웨어도 발견됐다.
Mazar BOT은 여러 가지 숨겨진 기능을 가지고 있으며, 스마트폰을 해커들이 만든 봇넷의 좀비로 만들 수 있다.
Mazar은 링크가 포함된 스팸 문자를 통해 유포된다. 사용자가 해당 링크를 클릭하면 안드로이드 기기에 APK가 다운로드되는데, 이때 MMS Messaging 어플리케이션을 설치하라는 창이 뜨며, 관리자 권한을 요구한다.
Mazar BOT이 일단 루트 권한을 얻게 되면 △기기 재부팅시 멀웨어 실행 △SMS 메시지 송수신 △연락처 열람 및 전화 걸기 △기기 상태 확인 △폰의 제어 키 감염 △크롬 브라우저 감염 △폰 설정 변경 △폰 상태 슬립 모드로 강제 변경 △네트워크 상태 쿼리 △인터넷에 접속 △기기의 저장장치 내용 모두 삭제 등의 악성행위를 할 수 있다.
또한, TOR 안드로이드 앱을 내려받아 익명으로 인터넷 서핑을 하고, ‘Thank you’ 메시지와 함께 이란의 폰번호(9876543210)로 기기 GPS정보를 전송한다. 뿐만 아니라 Polipo Proxy 앱을 설치해 기기에서 프록시 연결을 설정하고, 멀웨어 제작자가 사용자의 웹 트래픽을 스파잉해 MITM 공격을 실행할 수도 있도록 한다.
4. 파이어아이 분석 엔진, 멀웨어 화이트리스트로 등록
파이어아이 분석 엔진에서 멀웨어를 화이트리스트로 등록하는 취약점이 발견됐다.
Blue Frost Security의 한 연구원은 “해당 취약점은 공격자가 윈도우에서 파이어아이의 가상 동적 분석을 우회하며, 내부 화이트리스트에 임의의 바이너리를 추가해 1일 후 화이트리스트 항목이 모두 삭제되기 전까지 분석을 건너뛰도록 허용한다”고 설명했다. 이에 파이어아이 측은 지난해 제보를 받고 패치를 완료한 상태라고 밝혔다.
5. 벤더별 취약점, MS 20건으로 가장 많아
한 주간 발생한 벤더별 취약점은 마이크로소프트가 가장 많이 발견됐다.
▲한 주간(2월1~7일) 벤더별 취약점 통계
SK인포섹 블로그에 따르면 지난 1일부터 7일까지 벤더별 취약점을 집계한 결과 마이크로소프트가 20건 87%, 어도비 1건 4.3%, 구글 1건 4.3% 순으로 집계됐다.
▲한 주간 탐지된 공격 유형
이어 지난 한 주간 탐지된 공격 유형은 웹해킹 60.17%, 시스템 해킹 21.17%가 높은 점유율을 차지했다. 탐지된 패턴은 HTTP_Field_With_Binary가 56,865건 7.74%으로 가장 많이 탐지됐다.
[김경애 기자(boan3@boannews.com)]
랜섬웨어 기능 포함된 안드로이드 악성코드 ‘Xbot’ 발견
[보안뉴스 김경애] 한 주간 신종 랜섬웨어가 줄줄이 등장했다. 채팅 상담창 기능을 넣어 비트코인 지불을 안내하는 PadCrypt 랜섬웨어가 등장했으며, 해외에서 뱅킹 악성코드를 만들던 조직이 새롭게 만든 신종 랜섬웨어 ‘록키(Locky)’가 출현하기도 했다. 또한, 랜섬웨어 기능이 포함된 안드로이드 악성코드 ‘Xbot’도 발견됐다. 다음은 한 주간 발생한 보안이슈다.
▲신종 랜섬웨어 PadCrypt에 감염된 화면
1. 신종 랜섬웨어, ‘PadCrypt’와 ‘록키’ 등장
친절하게 채팅상담까지 지원하는 신종 랜섬웨어 PadCrypt는 닷넷 4.0 기반으로 동작하는 크립토월(CryptoWall)의 소스코드를 기반으로 변형된 랜섬웨어다.
MS에서 개발한 개발환경인 닷넷프레임워크 4.0 버전에서 동작하며, 닷넷 환경에서 동작하는 프로그램들은 반드시 닷넷이 설치되어있어야 한다.
이와 관련 하우리 최상명 CERT 실장은 “PadCrypt 랜섬웨어는 채팅창을 지원해 랜섬웨어에 감염된 PC 사용자에게 비트코인을 지불하는 방법을 안내해 감염자가 비트코인을 지불하도록 부추긴다”고 밝혔다.
또한, 지난 17일부터 국내에 유포된 또 다른 신종 랜섬웨어 ‘록키’는 Dridex 악성코드와 같이 MS 오피스 문서 매크로 기능을 이용해 감염시키며, 한글문서 파일(HWP)도 타깃으로 하고 있다. 문서파일의 매크로를 실행하면 악성코드를 다운로드 받아 사용자의 PC를 감염시킨다.
2. 랜섬웨어 기능 포함된 안드로이드 악성코드 ‘Xbot’ 발견
랜섬웨어 기능이 장착된 새로운 안드로이드 악성코드인 ‘Xbot’도 출현했다.
Xbot은 신용카드와 은행 계좌 정보를 피싱하고, 기기를 암호화한다. 구글 플레이의 지불 인터페이스와 7개 은행앱의 로그인 페이지를 복제한 피싱 페이지에서도 사용자의 금융정보와 신용카드 정보를 탈취하려고 시도한 바 있다.
알약 블로그 측은 “해당 악성코드에 감염될 경우 안드로이드 기기가 잠길 수 있고, SD카드 등 외부 저장장치의 데이터를 암호화한 뒤 $100 페이팔 캐시 카드를 요구한다”며 “모든 SMS와 연락처 정보 탈취, 특정 SMS 메세지를 중간에서 가로챌 수 있다”고 밝혔다. 또한, 은행에서 온 SMS 메시지를 파싱(Parsing)하는 기능도 있다고 덧붙였다.
Xbot이 안드로이드 기기에 설치되면 C&C 서버와 통신해 서버로부터 특정 명령어를 내려 받는다. 그 다음 구글 플레이와 특정 호주 뱅킹 앱 사용자들을 노리는 피싱 공격을 시작한다.
C&C 서버의 명령어에 따라 공격자가 요구하는 정보는 △신용카드 정보 △만료일 △CVV 번호 △카드 소유주 명 △카드 소유주 주소 △카드 소유주 전화 번호 △VBV(Verified by Visa) 또는 McSec(MasterCard SecureCode) 번호 등이다.
3. 스마트폰 저장 공간 삭제하는 안드로이드 멀웨어 발견
한편, 스마트폰의 루트 권한을 얻어 폰 저장공간을 모두 지워버릴 수 있는 Mazar BOT 안드로이드 멀웨어도 발견됐다.
Mazar BOT은 여러 가지 숨겨진 기능을 가지고 있으며, 스마트폰을 해커들이 만든 봇넷의 좀비로 만들 수 있다.
Mazar은 링크가 포함된 스팸 문자를 통해 유포된다. 사용자가 해당 링크를 클릭하면 안드로이드 기기에 APK가 다운로드되는데, 이때 MMS Messaging 어플리케이션을 설치하라는 창이 뜨며, 관리자 권한을 요구한다.
Mazar BOT이 일단 루트 권한을 얻게 되면 △기기 재부팅시 멀웨어 실행 △SMS 메시지 송수신 △연락처 열람 및 전화 걸기 △기기 상태 확인 △폰의 제어 키 감염 △크롬 브라우저 감염 △폰 설정 변경 △폰 상태 슬립 모드로 강제 변경 △네트워크 상태 쿼리 △인터넷에 접속 △기기의 저장장치 내용 모두 삭제 등의 악성행위를 할 수 있다.
또한, TOR 안드로이드 앱을 내려받아 익명으로 인터넷 서핑을 하고, ‘Thank you’ 메시지와 함께 이란의 폰번호(9876543210)로 기기 GPS정보를 전송한다. 뿐만 아니라 Polipo Proxy 앱을 설치해 기기에서 프록시 연결을 설정하고, 멀웨어 제작자가 사용자의 웹 트래픽을 스파잉해 MITM 공격을 실행할 수도 있도록 한다.
4. 파이어아이 분석 엔진, 멀웨어 화이트리스트로 등록
파이어아이 분석 엔진에서 멀웨어를 화이트리스트로 등록하는 취약점이 발견됐다.
Blue Frost Security의 한 연구원은 “해당 취약점은 공격자가 윈도우에서 파이어아이의 가상 동적 분석을 우회하며, 내부 화이트리스트에 임의의 바이너리를 추가해 1일 후 화이트리스트 항목이 모두 삭제되기 전까지 분석을 건너뛰도록 허용한다”고 설명했다. 이에 파이어아이 측은 지난해 제보를 받고 패치를 완료한 상태라고 밝혔다.
5. 벤더별 취약점, MS 20건으로 가장 많아
한 주간 발생한 벤더별 취약점은 마이크로소프트가 가장 많이 발견됐다.
▲한 주간(2월1~7일) 벤더별 취약점 통계
SK인포섹 블로그에 따르면 지난 1일부터 7일까지 벤더별 취약점을 집계한 결과 마이크로소프트가 20건 87%, 어도비 1건 4.3%, 구글 1건 4.3% 순으로 집계됐다.
▲한 주간 탐지된 공격 유형
이어 지난 한 주간 탐지된 공격 유형은 웹해킹 60.17%, 시스템 해킹 21.17%가 높은 점유율을 차지했다. 탐지된 패턴은 HTTP_Field_With_Binary가 56,865건 7.74%으로 가장 많이 탐지됐다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
