표적을 바꾼 킬디스크, 활동 지역 바꾼 APT 멀웨어
디도스 기능까지 첨가한 랜섬웨어와 교육적 메시지 남기는 랜섬웨어
[보안뉴스 문가용 기자] 연시에는 헬스클럽과 학원가가 붐빈다고 하는데, 멀웨어를 개발하는 자들 역시 결심이 남다른 듯 하다. 멀웨어를 동반하지 않은 공격, 이른바 멀웨어리스 공격(malwareless attack)이 사이버 범죄자들 및 국가 후원 해커들 사이에서 인기가 높아질 것이라는 연말연시의 예측들이 민망할 정도로 멀웨어들이 속속 등장하고 있기 때문이다. 즐거운 금요일 아침에만 멀웨어 소식이 네 가지나 있어 정리해 본다.
.jpg)
1. 리눅스 노리는 킬디스크
하드디스크를 삭제하는 기능을 가진 킬디스크(KillDisk)라는 멀웨어가 최근 리눅스 기반의 기기들을 집중해서 공격하고 있다고 보안 업체인 ESET가 보도했다. 리눅스 시스템은 주로 사물인터넷 기기들, 특히 공장과 같은 산업시설 내에 주로 사용되는 것으로, 킬디스크를 사용하는 범죄자들의 관심이 산업 기반 시설로 몰려있다고도 볼 수 있는 내용이다.
킬디스크는 2015년 후반, 우크라이나의 에너지 시설을 표적으로 한 사이버 공격에서 블랙에너지(BlackEnergy)라는 멀웨어와 함께 발견되었다. 이 킬디스크는 최근 랜섬웨어 기능까지 탑재한 채 돌아다니고 있어 많은 보안 전문가들의 관심을 받기도 했다. 킬디스크의 랜섬웨어화에 관한 기사는 여기서 더 상세히 볼 수 있다.
랜섬웨어 기능을 탑재한 킬디스크는 한 동안 금융 업계를 노려 활동을 해왔다. 그러다가 돌연 리눅스 시스템으로 공격 범위를 넓힌 것이다. 금융 기관들을 노렸을 때나 산업시설을 노리고 있을 때나 범인들이 요구하는 금액은 25만 달러로 동일하다. 하지만 약간의 차이는 있다. ESET의 분석가들은 협박 문구가 적인 파일을 GRUB 부트로더에서 찾아낸 것. 이번에 발견된 킬디스크가 부트로더를 덮어쓰기 한다는 뜻이다.
킬디스크 멀웨어의 경우, 파일을 암호화 하는 과정에서 생성되는 암호화키가 C&C 서버로 전송되지도 않고, 로컬에 저장되지도 않는다고 한다. 한 번 암호화가 되면 파일을 복구할 수 없게 된다는 뜻이다. ESET는 그래서 차라리 낫다고 말한다. 범인들이 요구한 돈을 낼 필요가 전혀 없기 때문이다. 다만 리눅스 시스템을 공격하는 킬디스크의 경우, 암호화 기술이 비교적 약하기 때문에 파일 복구가 아예 불가능한 건 아니라고 한다.
2. 새로운 버전의 APT 공격 멀웨어
2013년 4월, MM코어(MM Core)라는 멀웨어가 발견되었다. 이 멀웨어를 발견한 보안 업체 파이어아이(FireEye)는 “매우 흥미로운 멀웨어”라고 설명했었다. MM코어의 기본 기능은 감염시킨 시스템에 대한 정보를 수집하고 원격 접근이 가능하도록 백도어를 만드는 것이었다. 당시에는 주로 중동 지역 및 중앙아시아의 기업들을 노리는 것으로 알려졌다.
당시 MM코어가 ‘흥미롭다’는 평가를 받은 건 시스템 사용자의 마우스 클릭이 수십 번 일어난 이후에서야 활동을 시작했기 때문이다. 이는 샌드박스 기능을 우회하고자 위함이었다. 게다가 C&C 서버를 감추기 위해 URL 단축 서비스까지도 활용했다. C&C서버로부터 악성 코드를 다운로드를 받을 때, 하드드라이브가 아니라 메모리에 저장해 탐지 및 수사망을 피하기도 했다.
2013년 6월 후반에 MM코어의 변종이 나타났다. 첫 번째 버전이 전문가들 사이에서 베인챈트(BaneChant)로 알려졌다면 이 두 번째 변종에는 스트레인지러브(StrangeLove)라는 이름이 붙었다. 스트레인지러브 역시 중동을 주로 노리는 것으로 밝혀졌다. 그리고 최근, 잠잠했던 이 MM코어의 새로운 변종 두 개가 발견되기 시작했다. 중동과 중앙아시아를 노리던 것에 더해 아프리카와 미국 내 조직들까지도 노리고 APT 공격을 하는 것으로 밝혀졌다.
하나는 빅보스(BigBoss)라고 명명되었고, 다른 하나는 실리구스(SillyGoose)라고 불리는 이 MM코어의 최신 변종들은 이미 몇 개월 전부터 활동을 시작했다고 한다. 실리구스는 2016년 9월부터 활동을 시작했고 빅보스는 2015년 중반부터 존재했었다. 이 둘을 찾아낸 건 보안 업체인 포스포인트(Forcepoint)로, “아프리카와 미국의 뉴스 매체, 정부 기관, 국방 시설, 석유 및 가스 관련 산업체, 통신업체들을 주로 노린다”고 발표했다.
빅보스와 실리구스는 베인챈트나 스트레인지러브와 동일한 백도어 코드를 가지고 있으나 파일 이름 등은 다르게 설정되어 있다고 포스포인트는 설명한다. 또한 추가 악성 코드나 파일을 다운로드 받을 때, 이전과 달리 CVE-2015-1641로 알려진 MS 워드 취약점을 악용한다고 한다. 베인챈트와 스트레인지러브는 CVE-2012-0158을 주로 활용했었다. 포스포인트는 “MM코어가 지나치게 오랫동안 살아남아 있고 광범위한 공격을 펼치는 것으로 보아 배후 세력의 규모가 정말 큰 것으로 보인다”고 설명하기도 했다.
3. 랜섬웨어에 디도스가 붙었다 – 파이어크립트
현재 가장 위협이 되는 사이버 공격을 두 개 꼽으라고 한다면 단연 랜섬웨어와 디도스일 것이다. 그런데 이 두 가지 기능을 모두 갖춘 멀웨어가 등장했으니 바로 파이어크립트(FireCrypt)다. 파이어크립트는 피해자 시스템의 파일을 암호화시키는 것은 물론, 소스코드 내 저장되어 있는 URL들에 지속적으로 접속하고 콘텐츠를 다운로드 받아 로컬 기기의 %Temp% 폴더에 저장시키는 공격을 한다. 즉 기기를 정크 파일로 채워 넣는 것.
이 멀웨어를 발견한 건 보안 업체인 멀웨어헌트팀(MalwareHuntTeam)으로, “파이어크립트의 개발자는 피해자를 속여 .exe 명령 파일을 최초에 실행하도록 한다”며 “이 명령 파일은 감염 프로세스를 시작하는 기능을 가지고 있다”고 설명한다. “실행되었을 때 파이어크립트가 제일 먼저 하는 일은 작업관리자(taskmgr.exe)를 종료시키는 겁니다. 그리고 AES-256 알고리즘을 가지고 파일들을 암호화시키죠. 약 20개 종류의 파일 확장자를 암호화시킵니다.”
협박 편지는 2016년 10월에 발견된 Deadly for a Good Purpose라는 긴 이름을 가진 랜섬웨어의 그것과 완전히 동일하다. 당시 이 랜섬웨어는 개발 중에 있었다. 분석 결과 Deadly for a Good Purpose와 파이어크립트는 비슷한 특징들을 다수 보유하고 있으며, 심지어 소스코드도 일부분만을 제외하고는 흡사하다는 것이 밝혀졌다. 비트코인 주소마저 같은 것으로 보아 둘의 주인은 동일 인물임이 확실해 보인다.
다만 파이어크립트는 여기까지 랜섬웨어류 공격을 진행하고 나서 디도스 활동을 시작한다. 파키스탄의 무선통신 관련 정부 기관이 마련한 공식 포털을 표적으로 삼는 것으로 발견됐다. “www.pta.gov.pk/index.php에 자꾸만 접속해 콘텐츠를 다운로드 합니다. 그러고 특정 폴더에 반복적으로 저장하죠. 그 폴더는 빠른 속도로 가득 찹니다.”
4. 희한한 랜섬웨어 쿨로바
최근 팝콘 타임(Popcorn Time)이라는 희한한 랜섬웨어가 등장한 바 있다. 돈을 내거나 친구 두 명을 감염시키면 랜섬웨어로부터 해방시켜주는 개념의 이 랜섬웨어는 ‘진짜 악랄하다’는 평을 받았었다. 지그소우(Jigsaw)라는 랜섬웨어는 지불 마감 시간을 피해자에게 통보한 후, 한 시간씩 지날 때마다 파일을 조금씩 지웠다.
여기에 최근 쿨로바(Koolova)라는 매우 희한한 녀석이 등장했다. 무료로 복호화가 가능하다는 점에서 팝콘 타임과 비슷하기도 한데, 그 방법 자체는 매우 다르다. 쿨로바 랜섬웨어에 걸리면 랜섬웨어를 다룬 뉴스 기사 두 개만 읽으면 암호화가 풀린다. 이를 발견한 보안 전문가 마이클 길레스피(Michael Gillespie)는 “아직 개발 중에 있는 랜섬웨어로 보인다”고 설명한다.
“직접 걸려봤는데, 여느 랜섬웨어처럼 경고화면이 뜨더군요. 그런데 ‘모든 파일에 암호화가 진행된 건 아니니 안심하라’는 문구가 있고, ‘앞으로 위험한 애플리케이션을 마구 다운로드 받지 않겠다고 약속하면’ 풀어주겠다는, 교육적이기까지 한 내용이었습니다. 약속의 증표로 랜섬웨어에 대한 기사 두 개를 읽으면 모든 게 해결되더군요.” 물론 아무 기사나 선택할 수 없다. 범인들이 지정한 건 구글 보안 팀에서 쓴 ‘브라우징 안전하게 하기’와, 블리핑컴퓨터(Bleeping Computer)라는 매체에 실린 지그소우 퍼즐 관련 기사다.
[국제부 문가용 기자(globoan@boannews.com)]
디도스 기능까지 첨가한 랜섬웨어와 교육적 메시지 남기는 랜섬웨어
[보안뉴스 문가용 기자] 연시에는 헬스클럽과 학원가가 붐빈다고 하는데, 멀웨어를 개발하는 자들 역시 결심이 남다른 듯 하다. 멀웨어를 동반하지 않은 공격, 이른바 멀웨어리스 공격(malwareless attack)이 사이버 범죄자들 및 국가 후원 해커들 사이에서 인기가 높아질 것이라는 연말연시의 예측들이 민망할 정도로 멀웨어들이 속속 등장하고 있기 때문이다. 즐거운 금요일 아침에만 멀웨어 소식이 네 가지나 있어 정리해 본다.
1. 리눅스 노리는 킬디스크
하드디스크를 삭제하는 기능을 가진 킬디스크(KillDisk)라는 멀웨어가 최근 리눅스 기반의 기기들을 집중해서 공격하고 있다고 보안 업체인 ESET가 보도했다. 리눅스 시스템은 주로 사물인터넷 기기들, 특히 공장과 같은 산업시설 내에 주로 사용되는 것으로, 킬디스크를 사용하는 범죄자들의 관심이 산업 기반 시설로 몰려있다고도 볼 수 있는 내용이다.
킬디스크는 2015년 후반, 우크라이나의 에너지 시설을 표적으로 한 사이버 공격에서 블랙에너지(BlackEnergy)라는 멀웨어와 함께 발견되었다. 이 킬디스크는 최근 랜섬웨어 기능까지 탑재한 채 돌아다니고 있어 많은 보안 전문가들의 관심을 받기도 했다. 킬디스크의 랜섬웨어화에 관한 기사는 여기서 더 상세히 볼 수 있다.
랜섬웨어 기능을 탑재한 킬디스크는 한 동안 금융 업계를 노려 활동을 해왔다. 그러다가 돌연 리눅스 시스템으로 공격 범위를 넓힌 것이다. 금융 기관들을 노렸을 때나 산업시설을 노리고 있을 때나 범인들이 요구하는 금액은 25만 달러로 동일하다. 하지만 약간의 차이는 있다. ESET의 분석가들은 협박 문구가 적인 파일을 GRUB 부트로더에서 찾아낸 것. 이번에 발견된 킬디스크가 부트로더를 덮어쓰기 한다는 뜻이다.
킬디스크 멀웨어의 경우, 파일을 암호화 하는 과정에서 생성되는 암호화키가 C&C 서버로 전송되지도 않고, 로컬에 저장되지도 않는다고 한다. 한 번 암호화가 되면 파일을 복구할 수 없게 된다는 뜻이다. ESET는 그래서 차라리 낫다고 말한다. 범인들이 요구한 돈을 낼 필요가 전혀 없기 때문이다. 다만 리눅스 시스템을 공격하는 킬디스크의 경우, 암호화 기술이 비교적 약하기 때문에 파일 복구가 아예 불가능한 건 아니라고 한다.
2. 새로운 버전의 APT 공격 멀웨어
2013년 4월, MM코어(MM Core)라는 멀웨어가 발견되었다. 이 멀웨어를 발견한 보안 업체 파이어아이(FireEye)는 “매우 흥미로운 멀웨어”라고 설명했었다. MM코어의 기본 기능은 감염시킨 시스템에 대한 정보를 수집하고 원격 접근이 가능하도록 백도어를 만드는 것이었다. 당시에는 주로 중동 지역 및 중앙아시아의 기업들을 노리는 것으로 알려졌다.
당시 MM코어가 ‘흥미롭다’는 평가를 받은 건 시스템 사용자의 마우스 클릭이 수십 번 일어난 이후에서야 활동을 시작했기 때문이다. 이는 샌드박스 기능을 우회하고자 위함이었다. 게다가 C&C 서버를 감추기 위해 URL 단축 서비스까지도 활용했다. C&C서버로부터 악성 코드를 다운로드를 받을 때, 하드드라이브가 아니라 메모리에 저장해 탐지 및 수사망을 피하기도 했다.
2013년 6월 후반에 MM코어의 변종이 나타났다. 첫 번째 버전이 전문가들 사이에서 베인챈트(BaneChant)로 알려졌다면 이 두 번째 변종에는 스트레인지러브(StrangeLove)라는 이름이 붙었다. 스트레인지러브 역시 중동을 주로 노리는 것으로 밝혀졌다. 그리고 최근, 잠잠했던 이 MM코어의 새로운 변종 두 개가 발견되기 시작했다. 중동과 중앙아시아를 노리던 것에 더해 아프리카와 미국 내 조직들까지도 노리고 APT 공격을 하는 것으로 밝혀졌다.
하나는 빅보스(BigBoss)라고 명명되었고, 다른 하나는 실리구스(SillyGoose)라고 불리는 이 MM코어의 최신 변종들은 이미 몇 개월 전부터 활동을 시작했다고 한다. 실리구스는 2016년 9월부터 활동을 시작했고 빅보스는 2015년 중반부터 존재했었다. 이 둘을 찾아낸 건 보안 업체인 포스포인트(Forcepoint)로, “아프리카와 미국의 뉴스 매체, 정부 기관, 국방 시설, 석유 및 가스 관련 산업체, 통신업체들을 주로 노린다”고 발표했다.
빅보스와 실리구스는 베인챈트나 스트레인지러브와 동일한 백도어 코드를 가지고 있으나 파일 이름 등은 다르게 설정되어 있다고 포스포인트는 설명한다. 또한 추가 악성 코드나 파일을 다운로드 받을 때, 이전과 달리 CVE-2015-1641로 알려진 MS 워드 취약점을 악용한다고 한다. 베인챈트와 스트레인지러브는 CVE-2012-0158을 주로 활용했었다. 포스포인트는 “MM코어가 지나치게 오랫동안 살아남아 있고 광범위한 공격을 펼치는 것으로 보아 배후 세력의 규모가 정말 큰 것으로 보인다”고 설명하기도 했다.
3. 랜섬웨어에 디도스가 붙었다 – 파이어크립트
현재 가장 위협이 되는 사이버 공격을 두 개 꼽으라고 한다면 단연 랜섬웨어와 디도스일 것이다. 그런데 이 두 가지 기능을 모두 갖춘 멀웨어가 등장했으니 바로 파이어크립트(FireCrypt)다. 파이어크립트는 피해자 시스템의 파일을 암호화시키는 것은 물론, 소스코드 내 저장되어 있는 URL들에 지속적으로 접속하고 콘텐츠를 다운로드 받아 로컬 기기의 %Temp% 폴더에 저장시키는 공격을 한다. 즉 기기를 정크 파일로 채워 넣는 것.
이 멀웨어를 발견한 건 보안 업체인 멀웨어헌트팀(MalwareHuntTeam)으로, “파이어크립트의 개발자는 피해자를 속여 .exe 명령 파일을 최초에 실행하도록 한다”며 “이 명령 파일은 감염 프로세스를 시작하는 기능을 가지고 있다”고 설명한다. “실행되었을 때 파이어크립트가 제일 먼저 하는 일은 작업관리자(taskmgr.exe)를 종료시키는 겁니다. 그리고 AES-256 알고리즘을 가지고 파일들을 암호화시키죠. 약 20개 종류의 파일 확장자를 암호화시킵니다.”
협박 편지는 2016년 10월에 발견된 Deadly for a Good Purpose라는 긴 이름을 가진 랜섬웨어의 그것과 완전히 동일하다. 당시 이 랜섬웨어는 개발 중에 있었다. 분석 결과 Deadly for a Good Purpose와 파이어크립트는 비슷한 특징들을 다수 보유하고 있으며, 심지어 소스코드도 일부분만을 제외하고는 흡사하다는 것이 밝혀졌다. 비트코인 주소마저 같은 것으로 보아 둘의 주인은 동일 인물임이 확실해 보인다.
다만 파이어크립트는 여기까지 랜섬웨어류 공격을 진행하고 나서 디도스 활동을 시작한다. 파키스탄의 무선통신 관련 정부 기관이 마련한 공식 포털을 표적으로 삼는 것으로 발견됐다. “www.pta.gov.pk/index.php에 자꾸만 접속해 콘텐츠를 다운로드 합니다. 그러고 특정 폴더에 반복적으로 저장하죠. 그 폴더는 빠른 속도로 가득 찹니다.”
4. 희한한 랜섬웨어 쿨로바
최근 팝콘 타임(Popcorn Time)이라는 희한한 랜섬웨어가 등장한 바 있다. 돈을 내거나 친구 두 명을 감염시키면 랜섬웨어로부터 해방시켜주는 개념의 이 랜섬웨어는 ‘진짜 악랄하다’는 평을 받았었다. 지그소우(Jigsaw)라는 랜섬웨어는 지불 마감 시간을 피해자에게 통보한 후, 한 시간씩 지날 때마다 파일을 조금씩 지웠다.
여기에 최근 쿨로바(Koolova)라는 매우 희한한 녀석이 등장했다. 무료로 복호화가 가능하다는 점에서 팝콘 타임과 비슷하기도 한데, 그 방법 자체는 매우 다르다. 쿨로바 랜섬웨어에 걸리면 랜섬웨어를 다룬 뉴스 기사 두 개만 읽으면 암호화가 풀린다. 이를 발견한 보안 전문가 마이클 길레스피(Michael Gillespie)는 “아직 개발 중에 있는 랜섬웨어로 보인다”고 설명한다.
“직접 걸려봤는데, 여느 랜섬웨어처럼 경고화면이 뜨더군요. 그런데 ‘모든 파일에 암호화가 진행된 건 아니니 안심하라’는 문구가 있고, ‘앞으로 위험한 애플리케이션을 마구 다운로드 받지 않겠다고 약속하면’ 풀어주겠다는, 교육적이기까지 한 내용이었습니다. 약속의 증표로 랜섬웨어에 대한 기사 두 개를 읽으면 모든 게 해결되더군요.” 물론 아무 기사나 선택할 수 없다. 범인들이 지정한 건 구글 보안 팀에서 쓴 ‘브라우징 안전하게 하기’와, 블리핑컴퓨터(Bleeping Computer)라는 매체에 실린 지그소우 퍼즐 관련 기사다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
