트렌드마이크로, USB 웜 활동으로 감염 확대하는 변종 확인

[보안뉴스 김태형] 웜 활동 기능을 갖춘 랜섬웨어,  ‘크립토락커’의 변종이 발견되어 주의가 필요하다.

트렌드마이크로는 2013년 12월 21일, 주목할만한 특징을 가진 크립토락커(CryptoLocker)의 변종을 확인했다고 밝혔다. 이 변종은 웜 활동 기능을 갖추고 있었다.

     ▲ 크립토락커에 의해 복호화 툴 구입을 유도하는 화면.

최신 랜섬웨어(몸값요구형 악성코드)인 크립토락커는 PC에 저장된 파일을 암호화하고 이를 풀 수 있는 복호화툴을 구입하도록 강요하는 것으로 알려져 있다. 이번에 발견된 변종은 트렌드마이크로 제품에서 WORM_CRILOCK.A로 탐지되며, 분석결과 리무버블 드라이브를 통해 확산되는 USB 웜 활동 기능을 갖추고 있는 것으로 확인되었다.

이번에 업데이트된 웜 활동 기능은 기존의 크립토락커 변종(CRILOCK군)에서는 확인되지 않았으며 이는 기존 변종과 달리 용이하게 확산될 수 있음을 시사한다.

트렌드마이크로는 “이 새로운 크립토락커는 웜 활동 기능 외에도 기존에 알려진 변종과 다른 점이 많다. 이번 크립토락커는 PC에 침입하기 위해 UPATRE와 같은 다운로더에 의존하는 대신 P2P 파일공유 사이트에서 어도비 포토샵이나 마이크로소프트 오피스와 같은 다양한 소프트웨어의 액티베이터를 가장해 배포되고 있었다”라고 밝혔다.

P2P 사이트에 크립토락커를 업로드함으로써 사이버범죄자들은 스팸메일을 만들고 배포할 필요 없이 손쉽게 여러 PC에 악성코드를 감염시킬 수 있게 된다는 것.

아울러 WORM_CRILOCK의 추가분석을 통해 또 다른 차이를 확인했다고 트렌드마이크로측은 밝혔다. 이번 크립토락커는 접속 도메인 명을 생성하는 구조인 Domain Generation Algorithm(DGA)를 사용하지 않고 악성코드에 하드코딩된 C&C 서버를 이용한다.

트렌드마이크로 측은 “하드코딩된 URL은 관련된 악성 URL을 쉽게 탐지 및 차단할 수 있다. DGA는 대량의 잠재적인 도메인을 이용하기 때문에 사이버범죄자는 탐지를 회피할 수 있다. 즉 이번 크립토락커는 아직 개선 과정에 있는 것으로 보이며 다음 변종은 DGA 기능을 갖출 것으로 예상된다”라고 덧붙였다.

보안관계자 중에는 이번 크립토락커가 모방범에 의한 것이라고 생각하는 사람도 있다. 그러나 어쨌든 제작자에 상관없이 WORM_CRILOCK.A는 사이버범죄자들이 곧잘 이용하는 새로운 공격수법이 될 가능성을 보여준다.

사용자는 소프트웨어 복사본을 구할 때 P2P 사이트를 이용하지 않도록 한다. 공식 웹사이트나 신뢰할 수 있는 사이트에서 소프트웨어를 다운로드 해야 한다. 이번 크립토락커는 USB 웜 활동 기능도 갖추고 있으므로 사용자는 USB 메모리 사용 시에도 주의를 기울여야 한다. 또한 평소에 사용하지 않는 PC나 알 수 없는 PC에 USB 메모리를 접속시키지 않는 것이 좋다.

트렌드마이크로 제품 사용자는 트렌드마이크로 클라우드 보안센터(SPN)를 통해 보호된다. 웹 레퓨테이션 기술을 통해 이번 위협과 관련된 악성 웹사이트로의 접속을 차단한다. 파일 레퓨테이션 기술을 통해 상술의 크립토락커 악성코드를 탐지하고 삭제한다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>