시스코 탈로스와 인텔리전트 리서치 합작해 크립토월 2.0 분석

32비트와 64비트 자유롭게 오가고 토르 서버로 C&C 감춰

[보안뉴스 문가용] 랜섬웨어가 갈수록 복잡해지고 있다. 시스코 탈로스 시큐리티(Cisco Talos Security)와 인텔리전스 리서치 그룹(Intelligence Research Group)이 크립토월(CryptoWall) 2.0을 분석해 발표한 보고서의 결과는 그것이다. 크립토 시리즈의 가장 최신 버전인 크립토월 2.0은 토르 서버를 사용해 C&C 트래픽을 감추고, 안티VM, 안티에뮬레이션까지 활용해 감시망을 비껴간다. 또한 64비트 코드를 32비트 드로퍼로부터 곧바로 실행하는 것도 가능하다.

크립토월 2.0은 이메일 첨부파일, 악성 PDF, 익스플로잇 킷 등을 통해 전파된다. 그러면서 X86 기기들에 있는 권한 상승 취약점을 악용해 32비트 OS들을 장악한다. 이에는 윈도우 비스타가 대표적이며 64비트 DLL도 갖추고 있어 AMD 64 시스템에서도 잘 작동한다.

크립토월 2.0은 Wow64(64비트 플랫폼에서도 32비트용 애플리케이션이 실행될 수 있도록 하는 기능) 환경을 주무르며 32비트와 64비트 환경을 필요에 따라 오간다. 이에 대해 보고서에서는 다음과 같이 표현하고 있다.

“샘플에서 발견한 재미있는 점이 또 하나 있는데, 이 멀웨어에는 64비트 코드와 익스플로잇 DLL이 주요 32비트 실행파일에 곧바로 삽입되어 있다는 것이다. 주 모듈이 32비트 모드에서 돌아가고 있지만 64비트 함수들 역시 전부 실행이 가능하다.”

또한 크립토월 2.0은 완벽한 토르 클라이언트를 피해자 시스템에 설치하고 그 토르를 통해 C&C 커뮤니케이션을 암호화시키고 감춘다. 일단 한 번 토르 서버에 연결이 되면 맞춤형 도메인 상성 알고리즘으로 크립토월의 도메인 이름을 만든다.

탈로스 측이 설명한 대로 크립토월 2.0은 “일단 한 번 설치가 완료되면 계속해서 많은 양의 요청을 만들어낸다.” 그렇기 때문에 이를 활용해 크립토월의 침입 여부를 확인하는 게 가능해진다. 제일 먼저 고정적인 몇몇 주소로 오가는 트래픽 양을 보면 된다. 그 주소는 다음과 같다. http://wtfismyip.com/text, http://ip-addr.es, http://myexternalip.com/raw, and http://curlmyip.com.

이번 보고서의 내용대로 “트래픽의 시작은 거의 항상 wtfismyip.com으로 시작해서 첫 응답이 발생할 때까지 계속된다. 대부분의 경우 이 wtfismyip.com이 목록의 제일 처음 부분에 있기 때문에 마무리도 wtfismyip.com일 때가 많다. 어쩌면 너무 포괄적이고 흔한 요청으로 보일 수도 있는데, 아무리 그래도 기업 내 네트워크에서 너무 빈번하게 발생해서는 안 되는 요청이다. 멀웨어가 있다는 신호일 가능성도 분명히 존재한다.”

자세한 보고서는 여기를 참조하면 된다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>