더 조용해진 멀웨어 주입 기능...탐지 회피율도 늘어나
메모리로부터 신용카드 정보 탈취...메모리 분석 기능 강화로 방어 가능

[보안뉴스 문가용 기자] POS 시스템을 노리는 멀웨어, 록포스(LockPOS)가 새로운 기술을 들고 나타났다. 이번에 새롭게 탑재된 건 코드 주입 기술이라고 보안 업체 사이버비트(Cyberbit)가 공개했다.


사이버비트에 의하면 록포스가 처음 세상에 상세히 공개된 건 지난 7월의 일이다. POS 신용카드 단말기에 연결된 컴퓨터 메모리로부터 신용카드 정보를 훔치다가 뒤를 밟혔다. 현재 돌아가고 있는 프로세스의 메모리를 읽고 그 순간에 저장되어 있는 신용카드 정보를 C&C 서버로 전송하는 멀웨어였다.

당시 분석한 바에 의하면 이 멀웨어는 먼저 드로퍼 형태로 explorer.exe 프로세스에 주입되는 것으로 나타났다. explorer.exe와 함께 실행이 되면 자신 안에 압축되어 있던 리소스 파일을 압축해제한 후 여러 요소들을 주입시켜 최종 페이로드인 록포스를 가져온다.

그런데 최근 다시 나타난 록포스 버전에는 새로운 주입 기능이 발견됐다. 또 다른 종류의 POS 멀웨어인 플로키봇(Flokibot)에 있었던 기능으로, 사이버비트는 “원래 록포스가 플로키봇 봇넷을 통해 퍼졌다”며 “두 멀웨어가 닮아가는 것이 크게 놀라운 일은 아니”라고 말한다.

이 새로운 주입 기술이란 1) 커널 내 섹션 객체를 만들고, 2) 그 섹션에 대한 시야를 또 다른 프로세스로 매핑하는 함수를 호출한 후 3) 섹션 안으로 코드를 복사해 넣음으로써 4) 원격 쓰레드를 만들어 매핑된 코드를 실행시키는 것으로 발동된다고 사이버비트는 밝혔다.

원래 록포스가 원격 프로세스로 코드를 주입하는 대표적인 방법 세 가지는 1) NtCreateSection, 2) NtMapViewOfSection, 3) NtCreateThreadEx였다고 한다. 전부 ntdll.dll이라는 핵심 DLL 윈도우 파일로부터 엑스포트 된다.

하지만 이번 록포스는 이 세 가지 대신 ntdll.dll을 디스크로부터 가상의 주소 공간으로 매핑한다. 이 때문에 DLL 파일의 복사본을 깨끗하게 유지하는 게 가능해진다고 사이버비트는 설명한다. 또한 시스템 호출 번호를 저장하기 위해 버퍼를 할당하기도 하고, 악성 코드를 복사해 공유된 매핑 섹션으로 보내기도 한다. 역시 explorer.exe에 원격 쓰레드를 만들어내기 위해서다.

이 새로운 주입 방법은 이전 것보다 훨씬 ‘조용하다’고 사이버비트는 설명한다. 또한 안티멀웨어 솔루션을 우회할 가능성도 더 높아진다. “옛 시퀀스들을 새로운 방법으로 활용함으로써 탐지 기능에 혼란을 야기할 수 있다는 것이 사이버 범죄자들 사이에서 새롭게 실험되고 있는지도 모르겠다”고 사이버비트는 우려하기도 했다.

현존하는 엔드포인트 탐지 및 대응 솔루션과 차세대 백신 제품들은 사용자 모드의 윈도우 함수들을 모니터링하지만, 커널 함수들은 꼭 그렇지 않다. 특히 윈도우 10에서는 커널 함수를 모니터링하는 게 불가능하다.

사이버비트는 메모리 분석 기능을 향상시키는 게 현재로선 가장 효과가 좋은 록포스 방어법이라고 권장했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>