랜섬웨어의 또 다른 진화? 퓨어락커, 누구의 작품일까?

2019-11-15 20:22
  • 카카오톡
  • url
대부분 백신에서 탐지되기 힘든 퓨어 베이직이라는 언어로 만들어지고
실행 조건 까다롭게 확인 후 공격 시작...협박 편지에는 돈에 대한 요구도 없어


[보안뉴스 문가용 기자] 퓨어 베이직(Pure Basic)이라는 프로그래밍 언어로 작성 랜섬웨어 퓨어락커(PureLocker)가 윈도우와 리눅스 기반 서버들을 공격하고 있는 모습이 포착됐다. 전문가들에 따르면 퓨어락커는 랜섬웨어는 몇 가지 면에서 혁신적인 모습을 보이고 있다고 한다. 랜섬웨어 공격자들도 안주하지 않고 있다는 것이 다시 한 번 드러났다.


[이미지 = iclickart]

퓨어 베이직은 널리 사용된다고 말하기 힘든 프로그래밍 언어다. 하지만 보안 업체 인트저(Intzer)와 IBM이 공동으로 분석한 바에 의하면 몇 가지 특장점이 존재한다. “대부분의 백신 소프트웨어가 퓨어 베이직으로 만들어진 바이너리를 제대로 탐지하지 못합니다. 또한 퓨어 베이직의 코드는 윈도우 ,리눅스, OS-X 간 포팅이 자유롭습니다. 따라서 공격을 광범위하게 펼치기 쉽습니다.”

탐지 기능을 우회한다는 측면에서도 퓨어락커는 독특한 특성을 가지고 있다. 예를 들어 NTDLL 함수들의 사용자 모드 API 후킹을 회피하기 위해 ntdll.dll이라는 복사본을 수동으로 로딩하고 API 주소를 수동으로 배정한다. API 후킹이란, 정확히 어떤 함수가 어떤 프로그램에 의해 호출됐는지를 백신 프로그램이 파악할 수 있게 해주는 것으로 관련된 메타데이터들도 상세하게 제공한다. “새로운 우회 기술은 아닙니다만, 랜섬웨어에서 발견된 사례는 거의 없습니다.”

퓨어락커는 윈도우의 명령행 유틸리티인 regsrv32.exe도 활용한다. “이를 통해 퓨어락커의 라이브러리 요소를 은밀하게 설치합니다. 어떤 경고창도 뜨지 않습니다. 그런 후 퓨어락커는 정말로 regsrv32.exe로 라이브러리가 설치되었는지 확인하고, 파일 확장자가 .dll이나 .ocx인지도 검토한다. 시스템의 현재 날짜가 2019년인지도 확인하며, 현재 사용자가 관리자 권한이 있는지도 살핀다. 이 중 하나라도 확인되지 않거나 아닌 것으로 밝혀질 경우, 악성 행위가 중단된다.

“랜섬웨어들 중에서 이런 식의 행동 패턴을 보이는 경우는 극히 드뭅니다. 왜냐하면 랜섬웨어 공격자들은 대부분 최대한 많은 피해자를 감염시키고 싶어하기 때문입니다.” 모든 점검이 완료되면 드디어 파일 암호화가 시작된다. 사용되는 암호화 알고리즘은 표준 AES와 RSA이며, 이 때 사용되는 키들은 하드코드 되어 있다고 한다. 암호화가 완료된 파일에는 CR1이라는 확장자를 붙인다. 암호화가 끝나면 원래 파일은 전부 삭제되며, 화면에 협박 편지를 띄운다.

그런데 여기서도 이상한 점이 눈에 띈다. 공격자들이 피해자들에게 그 어떤 돈을 요구하지 않는다는 것이다. 적어도 협박 편지에는 이런 내용이 없다. 대신 공격자들에게 이메일을 보내라는 요구가 적혀 있다. 이메일 프로톤(Proton) 서비스에 마련되어 있다. “저희가 분석한 샘플들은 서로 다른 메일 주소를 화면에 나타내고 있었습니다. 아마도 피해자의 특성이나 암호화 키에 따른 분류법이 존재하는 것 같습니다.”

연구원들은 이런 모든 특성들을 고려해 “퓨어락커가 굉장히 복잡한 공격 사슬의 한 조각으로서 개발된 것으로 보인다”고 결론을 내렸다. “여러 가지 조건이 맞물려야 하는 까다로운 상황에서만 발동되도록 설계된 DLL 파일이라는 것은, 이 랜섬웨어가 다단계로 이뤄지는 거대 공격 캠페인에서 후반부를 담당하는 요소라는 뜻이 됩니다.”

하지만 그 ‘거대 캠페인’의 다른 요소들은 아직 발견되지 않고 있다. 따라서 퓨어락커가 어떤 경로를 통해 침투하는지 아직 정확히 알 수 없다. 또한 배후 세력의 존재 또한 완벽한 미궁 속에 갇혀 있다. “코드를 분석했을 때, 꽤나 많은 부분이 고유하거나 새로웠습니다. 일부 이전 코드들을 재사용한 흔적도 있었는데요, 주로 ‘모어에그스(more_eggs)’라는 백도어 패밀리의 코드에서 나온 것들이었습니다.”

모어에그스는 다크웹에서 서비스형으로 판매되는 멀웨어다. 유명 공격 단체들 중 코발트 그룹(Cobalt Group)과 핀6(FIN6)이 모어에그스를 사용한 전적이 있다. 그러나 코발트 그룹이나 핀6을 퓨어락커와 엮기에는 증거가 많이 부족하다. “지금으로서 가장 유력한 배후 세력은 모어에그스를 개발해 다크웹에서 판매하고 있는 자입니다. 사업 확장을 목적으로 새로운 멀웨어를 개발한 것이 아닐까 의심됩니다.”

보안 업체 마임캐스트의 전자범죄 부문 책임자인 칼 위언(Carl Wearn)은 “퓨어락커는 공격자들이 랜섬웨어를 끊임없이 개발하고, 새로운 것을 시도하고 있다는 것의 증거”라고 분석한다. “앞으로도 새로운 특징을 가진 랜섬웨어는 계속해서 나올 것이고, 보안 업계는 이를 위한 대응책을 빠르게 마련해야 할 것입니다.”

3줄 요약
1. 새로 등장한 퓨어락커, 여러 가지 독특한 특성 가지고 있음.
2. 개발된 언어, 탐지 우회 기법, 소스 코드 등에서 흔치 않은 강점 보임.
3. 아직 배후 세력은 알 수 없음. 최초 침투 방법도 오리무중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

Copyright Mediadot Corp. All Rights Reserved.

MENU

PC버전

닫기