금융권 최대의 위협 중 하나 드리덱스...랜섬웨어 개발에도 응용돼
부지런한 업데이트와 멀웨어 개발...드리덱스의 변화, 어디까지 갈까

[보안뉴스 문가용 기자] 드리덱스(Dridex)라는 금융권 트로이목마를 개발한 공격자들이 고급 랜섬웨어를 새롭게 출시해 활동 중에 있다. 보안 업체 이셋(ESET)이 이러한 사실을 발견해 발표했다.


먼저 드리덱스는 2014년 즈음에 등장한 멀웨어로, 금융권을 공격하는 멀웨어들 중 가장 빈번하게 등장하며, 그래서 가장 큰 위협 중 하나로 자리 잡았다. 드리덱스는 계속해서 변종이 나오고, 지속적인 업그레이드가 진행되어 방어자 입장에서는 더 까다롭다. 드리덱스는 2년 전 록키(Locky)라는 랜섬웨어와도 연합해 금융권을 공격한 바 있다.

이번에 드리덱스 개발자들이 개발한 랜섬웨어의 이름은 프라이드엑스(FriedEx)와 비트페이머(BitPaymer)이며, 최초로 발견된 건 2017년 7월의 일이라고 한다. 스코틀랜드의 국립 병원들을 공격한 것 때문에 그해 8월에 살짝 화젯거리가 되기도 했다.

이셋에 의하면 프라이드엑스와 비트페이머는 주로 원격 데스크톱 프로토콜(RDP) 브루트포스 공격을 통해 시스템에 침투한다. 개인 사용자보다는 조직이나 기업들을 노린다. 침투에 일단 성공하면 무작위로 생성된 RC4 키를 가지고 파일들을 암호화하기 시작한다.

이셋의 연구원들은 프라이드엑스를 분석하다가 드리덱스의 코드와 상당히 유사하다는 사실을 발견해냈다. 공격 방식은 다르지만 스스로를 감추고 추적과 분석을 방해하는 기법은 드리덱스와 프라이드엑스가 흡사하기도 했다.

이셋은 “드리덱스와 프라이드엑스는 해시로 검색해 모든 시스템 API 호출을 그때 그때 처리하고, 모든 문자열을 암호화된 형태로 저장하며, 레지스트리 키와 값을 해시 등으로 찾아낸다”며 “바이너리가 로우 프로파일 상태로 유지돼 멀웨어가 사실상 어떤 기능을 가지고 있는지 파악하기가 매우 힘들어진다”고 설명한다. 또한 이러한 기능을 가진 함수가 드리덱스와 프라이드엑스에 동일하게 존재한다고도 짚었다. “같은 코드나 정적 라이브러리를 사용하고 있음이 분명합니다.”

그 외에 이셋이 확보한 드리덱스 샘플과 프라이드엑스 샘플 모두에는 PDB(Program Database) 경로가 포함되어 있었다. 이는 곧 이 두 멀웨어의 바이너리들이 같은 이름의 디렉토리 내에서 구축되고 있다는 뜻이 된다. 또한 드리덱스와 프라이드엑스의 바이너리 모두 비주얼 스튜디오 2015 버전에서 컴파일링 된다.

이셋은 블로그를 통해 다음과 같이 결론을 내렸다. “모든 증거와 정황을 고려했을 때, 프라이드엑스는 드리덱스 개발자들이 만든 것임이 분명해 보입니다. 이 두 멀웨어를 연결시켰을 때 공격자들의 활동 내역이나 특징과 같은 큰 그림을 볼 수 있게 됩니다. 이들은 여전히 활발하게 움직이고 있으며, 자신들이 이미 보유하고 있는 멀웨어를 업데이트할 뿐만 아니라 최근 유행하고 있는 멀웨어 유형을 직접 만들기까지 합니다. 드리덱스 개발자들이 직접 랜섬웨어까지 개발할 것은 예상하지 못했습니다.”

이셋의 상세한 발표 내용은 이 블로그(https://www.welivesecurity.com/2018/01/26/friedex-bitpaymer-ransomware-work-dridex-authors/)를 통해 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>