난독화 및 가짜 인증서 서명으로 탐지 솔루션 우회
소프트웨어 라이선스 키도 훔쳐... 암시장에서 패키지로 거래돼
[보안뉴스 문가용] 보안 전문업체인 지스케일러(Zscaler)가 새로운 키로깅 멀웨어를 발견했다고 ‘유의하라’는 권고문을 발송했다. 감염된 컴퓨터에서 이뤄지는 모든 키스트로크를 캡처할 수 있고, 다른 여러 가지 ‘감시’ 기능을 수행할 수 있는 멀웨어라고 한다. 여기에는 암호 탈취, 스크린샷 캡처, 클립보드 및 웹캠 모니터링 등이 포함된다. 이 멀웨어의 이름은 아이스파이(iSpy)다.
.jpg)
▲ 이제는 나도 (암)시장 분석가!
아이스파이는 커스터마이징도 가능하다고 한다. 피해자의 시스템에 따라 키스트로크 기록을 통해 암호는 물론이거니와 MS 오피스나 포토샵 같은 제품의 라이선스 번호도 훔치는 게 가능해진다. 여기에 더해 사용자 이름, 윈도우 버전, 설치되어 있는 백신 소프트웨어, 브라우저 버전, 방화벽 정보도 세세하게 수집, 파악할 수 있다. 그런 다음 FTP, SMTP, HTTP 프로토콜 등을 사용해 원격에 있는 C&C 컴퓨터로 이를 전송한다.
다른 여러 멀웨어 툴들과 마찬가지로 아이스파이는 스팸 이메일에 붙은 악성 첨부파일의 형태로 퍼지고 있다. 기존 솔루션 및 안티멀웨어 툴들로는 탐지가 힘들게 하는 각종 기능들을 가지고 있기도 하다. 암호화된 페이로드 자체는 .Net, 비주얼 베이직 6.0, AutoIT 등으로 작성된 패커로 압축되어 있다고 지스케일러는 설명하고 있다.
멀웨어도 그렇지만 이 패커 자체도 매우 교묘하다. 지스케일러가 분석한 패커에는 난독화 처리가 된 좀비 코드가 있어 멀웨어 분석에 시간이 더 소모되게끔 되어 있었다. 또 디지털 인증서로 서명이 된 패커도 발견되었다. “저희가 분석한 샘플만 해도 이런 탐지 우회 기능이 있었으니, 다른 아이스파이들에는 더 많은 기능들이 탑재되어 있을 가능성이 높습니다.”
키로깅을 통해 웹 브라우저를 감시하면서 각종 인터넷 서비스의 사용자 크리덴셜을 훔치는 건 아이스파이나 기존의 키로깅 멀웨어나 비슷하다. 하지만 아이스파이는 여기에 한 발 더 나아갔다. “특정 애플리케이션 설치에 필요한 사용자 라이선스 번호를 훔쳐내는 기능을 가지고 있습니다. MS 오피스나 어도비 포토샵 같은 제품들 말이죠.”
바로 여기에 멀웨어 제작자들의 의도가 숨어있는 듯 하다고 지스케일러는 분석하고 있다. “개인정보와 사용자 크리덴셜도 비싸게 팔 수 있지만 제품의 라이선스 번호 역시 이미 오래전부터 암암리에 거래되던 품목 중 하나죠.”
현재 아이스파이 멀웨어는 암시장에서 판매되고 있다. 한 번에 멀웨어를 통째로 구입하는 게 아니라 여러 버전과 옵션이 붙어 정액제로 구입이 가능하다. 가장 싼 건 브론즈 패키지(Bronze Package)로 약 25달러며, 멀웨어를 한 달 동안 사용하는 게 가능하다. 구매 후 AS는 무료이며 결제 즉시 활성화된다고 한다.
그 밖에 스몰 비즈니스(Small Business) 패키지도 있다. 35달러의 가격으로 약 6개월 간 사용할 수 있다. 가장 거래가 활발히 이루어지고 있는 건 45달러짜리 패키지로 이는 1년간 지속되는 사용권이다. 업데이트 및 AS는 당연히 정액제가 유효한 기간 동안 무료다.
“금전적인 이득을 위해 키로깅을 사용하는 사이버 범죄 행위가 조금씩 늘어나고 있습니다. 아이스파이는 여러 가지 기능을 가지고 있으면서도 사용이 쉽고 가격도 그리 높지 않은 편이라 이런 시장의 분위기에 정확히 치고 들어온 느낌입니다. 멀웨어 제작자들이 점점 직접 공격보다 암시장의 분위기를 읽고, 그에 대한 제품을 만들어내는 쪽으로 돌아서고 있는 듯도 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
소프트웨어 라이선스 키도 훔쳐... 암시장에서 패키지로 거래돼
[보안뉴스 문가용] 보안 전문업체인 지스케일러(Zscaler)가 새로운 키로깅 멀웨어를 발견했다고 ‘유의하라’는 권고문을 발송했다. 감염된 컴퓨터에서 이뤄지는 모든 키스트로크를 캡처할 수 있고, 다른 여러 가지 ‘감시’ 기능을 수행할 수 있는 멀웨어라고 한다. 여기에는 암호 탈취, 스크린샷 캡처, 클립보드 및 웹캠 모니터링 등이 포함된다. 이 멀웨어의 이름은 아이스파이(iSpy)다.
▲ 이제는 나도 (암)시장 분석가!
아이스파이는 커스터마이징도 가능하다고 한다. 피해자의 시스템에 따라 키스트로크 기록을 통해 암호는 물론이거니와 MS 오피스나 포토샵 같은 제품의 라이선스 번호도 훔치는 게 가능해진다. 여기에 더해 사용자 이름, 윈도우 버전, 설치되어 있는 백신 소프트웨어, 브라우저 버전, 방화벽 정보도 세세하게 수집, 파악할 수 있다. 그런 다음 FTP, SMTP, HTTP 프로토콜 등을 사용해 원격에 있는 C&C 컴퓨터로 이를 전송한다.
다른 여러 멀웨어 툴들과 마찬가지로 아이스파이는 스팸 이메일에 붙은 악성 첨부파일의 형태로 퍼지고 있다. 기존 솔루션 및 안티멀웨어 툴들로는 탐지가 힘들게 하는 각종 기능들을 가지고 있기도 하다. 암호화된 페이로드 자체는 .Net, 비주얼 베이직 6.0, AutoIT 등으로 작성된 패커로 압축되어 있다고 지스케일러는 설명하고 있다.
멀웨어도 그렇지만 이 패커 자체도 매우 교묘하다. 지스케일러가 분석한 패커에는 난독화 처리가 된 좀비 코드가 있어 멀웨어 분석에 시간이 더 소모되게끔 되어 있었다. 또 디지털 인증서로 서명이 된 패커도 발견되었다. “저희가 분석한 샘플만 해도 이런 탐지 우회 기능이 있었으니, 다른 아이스파이들에는 더 많은 기능들이 탑재되어 있을 가능성이 높습니다.”
키로깅을 통해 웹 브라우저를 감시하면서 각종 인터넷 서비스의 사용자 크리덴셜을 훔치는 건 아이스파이나 기존의 키로깅 멀웨어나 비슷하다. 하지만 아이스파이는 여기에 한 발 더 나아갔다. “특정 애플리케이션 설치에 필요한 사용자 라이선스 번호를 훔쳐내는 기능을 가지고 있습니다. MS 오피스나 어도비 포토샵 같은 제품들 말이죠.”
바로 여기에 멀웨어 제작자들의 의도가 숨어있는 듯 하다고 지스케일러는 분석하고 있다. “개인정보와 사용자 크리덴셜도 비싸게 팔 수 있지만 제품의 라이선스 번호 역시 이미 오래전부터 암암리에 거래되던 품목 중 하나죠.”
현재 아이스파이 멀웨어는 암시장에서 판매되고 있다. 한 번에 멀웨어를 통째로 구입하는 게 아니라 여러 버전과 옵션이 붙어 정액제로 구입이 가능하다. 가장 싼 건 브론즈 패키지(Bronze Package)로 약 25달러며, 멀웨어를 한 달 동안 사용하는 게 가능하다. 구매 후 AS는 무료이며 결제 즉시 활성화된다고 한다.
그 밖에 스몰 비즈니스(Small Business) 패키지도 있다. 35달러의 가격으로 약 6개월 간 사용할 수 있다. 가장 거래가 활발히 이루어지고 있는 건 45달러짜리 패키지로 이는 1년간 지속되는 사용권이다. 업데이트 및 AS는 당연히 정액제가 유효한 기간 동안 무료다.
“금전적인 이득을 위해 키로깅을 사용하는 사이버 범죄 행위가 조금씩 늘어나고 있습니다. 아이스파이는 여러 가지 기능을 가지고 있으면서도 사용이 쉽고 가격도 그리 높지 않은 편이라 이런 시장의 분위기에 정확히 치고 들어온 느낌입니다. 멀웨어 제작자들이 점점 직접 공격보다 암시장의 분위기를 읽고, 그에 대한 제품을 만들어내는 쪽으로 돌아서고 있는 듯도 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
