일반 로더에 없는 RAT 및 C&C 통신 기능 가진 변종 등장
VB스크립트는 정상적으로 사용되기도 해서 악성과 구분하기 힘들어

[보안뉴스 문가용 기자] VB스크립트는 악성 소프트웨어를 피해자의 기기로 옮겨오는 주요한 공격 수단 중 하나다. 공격자들은 이 VB스크립트를 오랜 세월 사용해왔다. 그런데 이런 VB스크립트를 가지고 더 많은 일을 공격자들이 할 수 있다면 어떨까? 예를 들어 VB스크립트가 컴퓨터를 완전히 통제할 수 있도록 해주고, 봇넷의 일부로 편입시킬 수 있다면?


그런데 이런 일이 최근 실제로 일어나고 있다. 인기가 많은 다운로더인 세이프로더 VBS(SafeLoader VBS)의 변종인 ARS VBS 로더의 출현으로 말이다.

최근 새롭게 등장한 ARS VBS 로더는 보안 업체 플래시포인트(Flashpoint)가 발견한 것으로 멀웨어를 다운로드 받고 봇넷 제어기가 원격에서 접근할 수 있도록 문을 열어둔다. 즉 멀웨어 로더이기도 하면서 RAT이기도 한 것이다. 플래시포인트의 수석 멀웨어 분석가인 폴 버베이지(Paul Burbage)는 “이 신종 VB스크립트가 러시아 포럼에서 판매되고 있는 걸 2017년 12월에 처음 발견했다”고 말한다.

버베이지는 이 ARS VB스크립트에 대해 “매우 독특한 변종”이라고 묘사한다. “두 가지 면에서 그런데, VB스크립트이면서도 오랜 기간 시스템에 머무를 수 있는 지속성 기능과 원격에서 공격자가 시스템에 접근할 수 있게 해주는 기능이 있다는 점입니다.”

또한 지속성 기능 자체만으로도 독특한 로더라고 그는 설명을 잇는다. “침투에 성공하면 그 사실을 여러 가지 시스템 정보를 곁들여 C&C 서버로 보냅니다. 그리고 서버로부터 추가적인 멀웨어를 다운로드 받기도 하죠. 그래서 위협 행위자들은 공격의 성격을 자유롭게 바꿀 수 있게 됩니다. 감염만 하면 별별 것들을 다 할 수 있게 해주는 것이죠.”

그렇기에 이 로더는 추가적인 명령도 C&C 서버로부터 받을 수 있다. 로더들에는 이런 기능이 없는 것이 일반적이다. “그런 것만 봐도 ARS VBS가 로더만이 아니라 RAT의 기능까지 겸할 것을 목적으로 설계된 것을 알 수 있죠. 그래서 방어하는 우리 입장에서는 특히 위험한 것이고요.”

그렇다면 ARS VBS가 만들어 가고 있는 봇넷도 위험한 것일까? 버베이지는 “최악의 봇넷까지는 아니다”라고 말한다. “아직 실제 대단한 공격을 감행한 적이 없는 봇넷이라 성능이 어느 정도인지는 감이 오질 않습니다. 다만 PHP POST Flood를 활용하고 있기 때문에 효율성에 의심이 가긴 합니다. 대부분 웹사이트들은 아주 쉽게 PHP POST Flood를 막을 수 있거든요.”

현재 ARS VBS는 비교적 원시적인 방법으로 퍼지고 있다. “대부분 불특정 다수를 향한 스팸 이메일 살포로 피해자를 발생시키고 있습니다. 초보적인 단순 스팸 공격이라고 보시면 됩니다. 누군가를 정조준한 것도 아니고요.” 이는 결국 일반 사용자들이 출처를 모르는 링크를 의심 없이 클릭하고 아무 파일을 더블 클릭하는 것에 기댄 공격이라고 할 수 있다.

하지만 이 VB스크립트는 일반 백신 프로그램을 곧잘 우회한다는 것에 주의해야 한다고 버베이지는 경고한다. “일반 솔루션이 VB스크립트를 검사하면서 악성인지 아닌지 판단하는 것은 어렵습니다. VB스크립트 자체는 관리자가 정상적으로 사용하는 툴이기도 하니까요. 기초적인 공격이라도 합법성을 띈 것과 닮아있고 사용자들이 조심하지 않으니 성공률이 낮지 않은 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>