서비스형 스팸 기술...다른 범죄자들에게 봇넷 대여해 주기도
감염 기기에 연결됐던 착탈식 드라이브도 감염 대상

[보안뉴스 홍나영 기자] PC용 봇넷인 켈리호스(Kelihos)가 극성이다. 작년부터 켈리호스 봇넷에 수만 개의 새로운 봇들이 추가되면서 이전보다 더 활발히 사이버 공격을 감행하고 있다. 켈리호스는 랜섬웨어인 마스조크(MarsJoke), 와일드파이어(Wildfire), 트롤데시(TrolDesh) 외에도 니메인(Nymain)과 판다제우스(Panda Zeus) 등의 다양한 트로이 목마를 유포하는 데 악용된 봇넷이다.

켈리호스 봇넷은 ‘서비스형 스팸 기술’처럼 유통되고 있으며(대여 서비스처럼 활용되고 있다는 의미) 지역 타깃팅(Geo-targeting : 웹사이트 방문자의 위치 따라 다른 내용을 보여주는 서비스) 방식으로 생성된 이메일을 피해자들에게 보내는 식으로 공격을 감행한다.

최근 이러한 공격에 당한 피해자는 캐나다와 카자흐스탄에 거주 중인 사람들인 것으로 밝혀졌다. 캐나다 피해자들 같은 경우 캐나다의 은행인 탠저린은행(Tangerine Bank : 인터넷을 기반으로 하는 은행)으로 가장한 가짜 웹사이트에 속았고, 카자흐스탄의 피해자들은 가짜 성인 사이트 링크를 통해 공격을 받았다. 이러한 사실들은 미국 알라바마대학 버밍햄(University of Alabama at Birmingham)에 박사학위의 연구원으로 있는 알쉬 아로라(Arsh Arora)에 의해 발견됐다.

해당 악성 이메일들에는 피해자들이 속아 넘어갈 만한 웹 페이지가 포함됐는데 탠저린은행을 예로 들자면 “탠저린은행의 온라인 계정 사용을 더 이상 하실 수 없습니다”라는 내용이 있어 피해자들이 “더 보기” 버튼을 클릭할 수밖에 없게끔 유도하여 크리덴셜을 훔치는 데 사용되고 있다.

하지만 가장 흥미로운 사실은 켈리호스 바이너리가 USB 등의 부속기기도 감염시킨다는 것이다. 즉 감염 대상에 이러한 착탈식 드라이브들도 포함된다는 뜻. “악성 바이너리는 USB 등에 porn.exe라는 이름으로 저장됩니다. 당연히 사용자에게는 보이지 않습니다. 또한 Create File이라는 기능도 가지고 있어, 원하는 실행파일을 찾을 수 없을 경우 바이너리 스스로가 파일을 만들고, exe 파일로 전화시킬 수 있습니다. 이 파일엔 당연히 악성 바이너리가 작성되고요.”

파일을 만드는 단계가 끝난 후에는 바로가기 단축 아이콘을 만드는데, 그 중 하나가 Autorun.inf다. “이 파일은 C:\WINDOWS\system32\cmd.exe F/c ‘start %cd%\porn.exe’라는 명령을 실행합니다. 그 외에도 여러 악성 단축 아이콘이 만들어집니다.” 그러나 아로라는 아직 자신이 발견한 샘플을 가지고 추가 감염을 일으키는 데에는 실패했다. 즉 켈리호스가 어떤 식으로 봇들을 늘려나가는지 전부 파악된 건 아니라는 뜻이다.
[국제부 홍나경 기자(hnk726@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>