분석 방해하려고 다양한 수단 동원...권한 상승 기능도 갖춰
협박 편지는 6개 언어로...공격의 광범위한 확산 예상돼

[보안뉴스 문가용 기자] 올해 초 즈음 등장했던 세이지(Sage) 랜섬웨어가 다시 나타났다. 대부분의 ‘부활한’ 멀웨어들이 그렇듯, 세이지도 새로운 기능을 덧입었다. 권한을 상승시키고 분석을 방해하는 기능이다. 새로운 세이지를 발견한 건 보안 업체 포티넷(Fortinet)이다.


세이지는 지난 6개월 동안 활동을 거의 하지 않았다. 세이지 변종이 마지막으로 수집된 것이 3월일 정도다. 최근에 발견된 세이지 변종은 이메일 내 악성 자바스크립트 첨부 파일 형태로 퍼지고 있으며, 록키 랜섬웨어와 배포망을 일부 공유하는 것으로 밝혀졌다. 악성 문서 파일을 통해 번져나가고 있는 경우도 발견됐고, .info와 .top이라는 최상위 도메인(TLD)을 활용하는 것도 드러났다.

세이지 랜섬웨어는 차차20(ChaCha20)이라는 암호화 알고리즘을 사용하며, 사용자 파일을 암호화하며 .sage라는 확장자를 붙인다. 재미있는 건 컴퓨터 시스템의 키보드 레이아웃을 검사하여 벨라루시아어, 카자흐스탄어, 우즈베키스탄어, 러시안어, 우크라이나어, 사하어, 라트비아어로 설정된 경우 공격을 실행하지 않는다는 것이다.

포티넷은 “세이지의 코드를 분석해보면 대부분의 문자열들이 악성 행위를 감추려는 목적을 가지고 암호화되었다”고 설명하며 “암호화된 문자열마다 하드코드 된 복호화 키를 가지고 있다”는 것을 분석을 통해 발견했다고 한다. 또한 “샌드박스나 가상기기 환경에 갇혀 있는지 여부를 여러 방법으로 검사한다”고도 한다.

세이지는 침투한 기기 내에서 활성화된 모든 프로세스들을 열거한 후, 각 프로세스에 해당하는 해시값을 계산한다. 세이지 내에는 주의해야 할 프로세스 목록이 하드코드된 채 저장되어 있는데, 해시값과 이 목록을 비교하는 ‘블랙리스팅’ 과정이 진행된다. 뿐만 아니라 멀웨어가 실행되고 종료되는 전체 경로도 확인해서 sample, malw, sampel, virus, MD5, SHA1과 같은 문자열들이 있나 살핀다.

여기에 더해 컴퓨터 이름과 사용자 이름도 확인한다. 샌드박스 환경에서 흔히 사용되는 이름들과 일치하거나 유사한지 알아보기 위함이다. CPU의 ID도 이런 식으로 ‘블랙리스팅’한다. 분석 환경에 들어가지 않도록 정말 철저하게 검사하고 또 검사한다. 이런 세이지이니 백신이 설치됐는지 여부를 살피는 것은 기본이다.

세이지는 권한도 상승시킬 수 있는 기능을 가지고 있다. 윈도우 커널 취약점인 CVE-2017-0057을 익스플로잇하거나 eventvwr.exe라는 프로세스를 통해 레지스트리 하이재킹을 실시해서다. 레지스트리 하이재킹 공격의 경우 사용자 계정 제어(UAC)을 우회하게 해준다.

한편 협박 편지는 여섯 개 언어로 번역되어 사용자에게 노출된다. 이는 공격자가 피해 규모를 구체적으로 확산시킬 의도를 가지고 있다는 뜻으로 분석된다. 세이지에 감염된 피해자는 토르 브라우저를 통해 2천 달러의 돈을 내야만 한다.

포티넷의 상세한 보고 내용은 여기서 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>