• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

새로운 멀웨어 또 등장? 이번엔 분석을 어렵게 해 2015.06.26

미꾸라지처럼 프로그램 사이를 오고가고 다단계 암호 걸린 멀웨어

분석을 어렵게 하기 때문에 멀웨어의 유통기한 길어져


[보안뉴스 문가용] 새로운 멀웨어가 또 등장했는데, 가뜩이나 골치 아픈 보안 담당자들의 일을 더 복잡하게 만드는 기능을 가지고 있어 업계의 관심을 끌고 있다. 이 멀웨어의 이름은 포버(Fobber)로 감지기능을 피할 뿐 아니라 분석활동을 전혀 허하지 않는다. 이 프로그램에서 저 프로그램으로 미꾸라지처럼 빠져나가고, 무작위로 생성된 파일이름을 사용하고, 페이로드 내 코드를 조각조각 암호화하기 때문에 복호화 과정이 매우 고통스럽고 오래 걸리는 갖가지 회피술을 보유한 것으로 알려졌다.

 


이를 제일 처음 분석 시도한 건 멀웨어바이츠(Malwarebytes)의 연구원들과 폭스IT(Fox-IT)의 분석가들로, 이들은 전부 포버의 조상이 틴바(Tinba)라는 뱅킹 트로이목마라는 데에 동의했다. 멀웨어바이츠는 아직까지 포버가 은행 관련 로그인 정보를 훔친 경우를 보지 못했다고는 했지만 이는 단순 시간문제일 가능성도 있다. “멀웨어 제작자들이 본격적인 활동을 시작하기 전의 테스트 버전을 풀어놓은 것으로 보입니다.” 멀웨어 바이츠의 보안 분석가인 제롬 세구라(Jerome Segura)의 설명이다. 또, 포버에 감염된 건 오로지 네덜란드 내의 시스템들 뿐이었다. 이 역시 포버가 ‘실험 단계’의 멀웨어라는 의견을 갖기에 충분한 정황 증거다.


멀웨어바이츠가 포버를 발견한 건 그야 말로 행운이었다. 너무 찾기가 힘들어서 ‘미확인 익스플로잇 킷’이라고도 불리는 한후안(HanJuan)이라는 익스플로잇 킷의 활동을 발견해 추적하다가 포버와 부딪힌 때문이다. “한후안은 정말 정말 소리 없이 조용히 움직이는 킷입니다. 이 킷이 활동한다는 게 감지되었다는 것 자체가 굉장히 특이한 일이죠. 당연히 저희로서는 거기에 집중할 수밖에 없었죠.”


당시 한후안은 합법적인 네덜란드 웹 사이트에서 호스팅되고 있었다. 당연히 한후안이 감염시킨 것이었다. 그리고 멀버타이징을 통해 퍼져나가고 있었다. 그걸 멀웨어바이츠가 잡아낸 것이고, 광고를 통해 번져나가던 페이로드에 드디어 접근 성공한 것이다. “그런데 잡고 보니 저희가 알고 있던 한후안과는 좀 달랐습니다. 일단 암호화 수준이 무척이나 높았습니다. 암호화에 대해서만 설명을 해도 긴 이야기를 뽑아낼 수 있을 겁니다.”


그렇게 뜻하지 않게 쥐게 된 포버는 플래시와 윈도우 탐색기를 주로 공략하는 방식을 취하고 있었고 스택 메모리 스택 피보팅을 익스플로잇 했다. “보통의 윈도우 프로그램과는 달리 포버는 프로그램 사이를 자유롭게 뛰어다니더군요. Fobber.exe 파일이 종료되면 Verify Class ID에서 다시 열리고, 이게 종료되면 윈도우 탐색기에서 다른 이름으로 다시 열리고, 이게 종료되면 웹 브라우저에서 다시 열리는 식으로요.”


이렇게 Verify Class ID 프로세스에서부터 시작하는 포버는 분석가들의 짜증을 어김없이 유발한다. 각 기능에 해당하는 모든 코드가 암호화되어 있어 실행을 해보려면 끈질긴 복호화 작업부터 해야 하기 때문이다. 게다가 프로그램을 옮겨 다시 시작하면 자동으로 다시 암호화를 시작하기 때문에 이 고통스런 작업은 반복되기 마련이라고 한다.


암호화 되는 건 코드 뿐만이 아니다. C&C 서버와의 통신도 암호화가 된다. “서버에서 전송되는 콘텐츠들은 RSA1 키 서명이 완료된 것이며 포버의 코드는 퍼블릭 키가 임베드되어 있습니다. 콘텐츠를 처리하기 전에 거쳐야 할 단계가 또 있다는 거죠.”


멀웨어는 브라우저 인젝션도 실행한다. 인터넷 익스플로러, 구글 크롬, 모질라 파이어폭스 모두에서 실행이 가능하다. 그래서 InternetCloseHandle과 HttpSendRequest 등의 기능에 ‘올라타고 앉아서’ 특정 로그인 정보가 입력될 때까지 기다린다. 이는 마치 중간자 공격과 같은 것으로 이렇게 훔친 로그인 정보만 있으면 공격자는 여러 가지 다양한 공격을 실행할 수 있다.


그렇기 때문에 멀웨어를 설사 취득했다고 하더라도 분석이 매우 어려워진다. 분석이 어려우니 당연히 방지책 마련도 지지부진이다. “이러면 세상이 이 멀웨어의 존재에 대해 알아챈다 하더라도 해커가 사용하지 않을 리 없죠. 분석을 어렵게 만드니 사용기간이 더 길어지는 것입니다.”


현재 멀웨어바이츠는 한후안과 포버, 멀버타이징의 현황을 네덜란드 수사기관에 보낸 상태다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

 

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>