| 보안 툴 속이기 위해 업그레이드 된 케르베르 랜섬웨어 | 2017.08.17 |
랜섬웨어를 속이는 보안 툴을 속이는 랜섬웨어를 속이기
[보안뉴스 문가용 기자] 악명 높은 케르베르 랜섬웨어가 다시 한 번 업그레이드 됐다. 암호화를 진행하기에 앞서 가짜 이미지 파일을 감염시킨 기기에 살포하는 기능으로 안티랜섬웨어 솔루션을 농락시킨다고 한다.  [이미지 = iclickart] 이를 발견한 건 보안 업체 사이버리즌(Cybereason)으로, 최신 케르베르 샘플이 bmp, jpg, png, tiff 확장자를 가진 이미지 파일을 검색하고 찾아낸다는 걸 파악했다. 이런 종류의 이미지 파일들은 사이버리즌이 개발한 무료 안티랜섬웨어 툴이 사용하는 파일들로, 케르베르가 이런 파일들을 검색한다는 건 결국 그와 비슷한 안티랜섬웨어 툴이 시스템 내에 존재하는지 살펴본다는 것과 같은 뜻이다. 실제로 케르베르는 그러한 이미지 파일들을 발견하면 해당 디렉토리를 암호화하지 않는다고 한다. 일부 안티랜섬웨어 툴들은 랜섬웨어를 속이기 위해 시스템 내에 가짜 이미지 파일들을 마련해놓는다. 그래서 랜섬웨어가 해당 파일이나 폴더를 암호화하면 경보가 울리고 랜섬웨어의 공격을 방해하고 차단시킨다. 일종의 기만 기술인데, 최근 멀웨어 및 악성 행위자들의 덫이라고 불리는 허니팟에 접목되고 있는 것이기도 하다. 가트너의 연구 책임자인 로렌스 핀그리(Lawrence Pingree)는 이러한 ‘기만 기술’이 공격자들을 혼란케 하는 데에 효과적이라며 “이 때문에 공격이 지연되거나 표적을 놓치게 된다”고 설명한다. “사슬처럼 이어지는 공격을 중간에 방해하거나 끊어내기 위해 딱 한 번만 속이면 됩니다. 즉 한 가지 기만 기술만 보유하고 있어도 방어에 큰 도움이 된다는 것이죠.” 이번에 발견된 케르베르의 새 변종은 이러한 기만 기술을 역으로 기만하기 위해 고안된 것으로 보인다. 사이버리즌의 수석 보안 전문가인 유리 스턴펠트(Uri Sternfeld)는 “안티랜섬웨어가 있는지 없는지부터 살피고 그걸 피해가는 영리한 변종”이라며 “특히나 사이버리즌에서 제공하는 랜섬프리(RansomFree)를 무력화하기 위한 것으로 보인다”고 말했다. “이런 기능을 가진 랜섬웨어는 처음 봅니다.” 케르베르는 시스템에 침투해 제일 먼저 하드드라이브를 전체적으로 스캔한다. 그리고 이미지 파일들을 찾아내고, 가짜인지 진짜인지를 확인한다. 이 과정에서 가짜 이미지 파일이 발견되면 해당 파일이 있는 디렉토리를 암호화 과정에서 제외시킨다. “암호화할 폴더를 먼저 선택하는 것이죠. 덫을 다 피해가면서 말입니다.” 사이버리즌은 이 점을 역이용하기로 했다. “랜섬프리 기능을 저희도 업그레이드 했습니다. 그래서 사용자가 가짜 이미지 파일을 만들어 직접 여러 폴더에 넣을 수 있도록 만들었죠. 중요한 폴더에 이런 가짜 이미지 파일이 하나씩만 들어 있어도 케르베르는 암호화 작업을 할 수 없을 겁니다.” 사이버리즌은 자사 블로그를 통해 보다 상세한 설명을 공개했다(영문). 케르베르는 그 동안 여러 차례 보안 솔루션을 우회하거나 기만하려는 기능을 보강해왔다. 올해 초 나타난 변종은 머신 러닝 알고리즘마저 포함하고 있었다. 당시 그 변종을 발견한 트렌드 마이크로(Trend Micro)는 “랜섬웨어가 여러 파일로 쪼개져서, 현재 실행되고 있는 프로세스 안에 따로 주입된다”며 “이를 통해 굉장히 많은 탐지 기법을 우회하는 게 가능해진다”고 분석했다. 스턴펠트는 “랜섬웨어 공격자들이 너무나 빨리 방어 체계에 적응한다”며 이번 발견의 위중함에 대해 경고했다. “아무래도 돈을 벌고자 하는 열망이 범죄자들을 부지런하게 만드는 것 같습니다. 그리고 실제 수익도 괜찮은 것 같고요. 이렇게까지 투자할 수 있다는 건, 돈이 된다는 소리일 수밖에 없습니다.” [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
