• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

두세 단계 업그레이드 거쳐 나타난 사이낵 랜섬웨어 2018.05.08

작년 발표된 새로운 회피 기술 ‘도플갱잉’ 사용하는 최초 랜섬웨어
실행 코드의 난독화로 역탐지 어렵게 만들어...샌드박스도 탐지해 피해

[보안뉴스 문가용 기자] 사이낵(SynAck) 랜섬웨어 개발자들이 이를 좀 더 위험하게 만드는 법을 익혀서 돌아왔다. 보안 업체 카스퍼스키가 지난 주 발견한 새로운 변종의 사이낵은 고급 기술을 하나 탑재하고 있었다. 바로 프로세스 도플갱잉(Process Doppelganging)이라는 것으로 안티멀웨어 툴들을 우회하는 데 사용된다. 현재까지는 미국, 독일, 쿠웨이트, 이란 등지에서 고도의 표적화된 공격의 일환으로 사용되는 것이 목격됐다고 한다.

[이미지 = iclickart]


카스퍼스키의 수석 멀웨어 분석가인 안톤 이바노프(Anton Ivanov)는 “표적화 공격에 랜섬웨어를 활용하기 시작했다는 걸 기업들이 알고 대비해야 한다”고 권고했다. “보안 솔루션들을 우회하고, 표적에 랜섬웨어를 심기 위해 공격자들이 스스로 조작한 멀웨어를 사용하기 시작했습니다.”

카스퍼스키에 따르면 새로운 사이낵은 원격 데스크톱 프로토콜 브루트포스 공격(remote desktop protocol brute-force) 기법에 수동 다운로드(manual download) 기법을 혼합해 취약한 시스템에 멀웨어를 설치한다고 한다. 사니액 랜섬웨어는 시스템 내에서 오피스 문서, 멀티미디어 파일, 데이터베이스 파일 등을 암호화한다.

사이낵이 피해자에게 요구하는 금액은 조직이나 사람마다 조금씩 다른데, 평균 3천 달러 정도라고 한다. 이는 이번에 탑재한 고급 기능과 표적형 공격 기법을 생각하면 이는 그리 높은 금액은 아니다. 그래서 카스퍼스키는 “사이낵 공격자들이 가지고 있는 미래 계획은 표적 공격으로 소수의 몇 개 조직을 노리는 게 아니라 공격 범위를 넓혀 수익을 높이는 것”이라고 보고 있다.

이번 사이낵 버전에서 특히 주목할 부분은 ‘도플갱잉’ 기능을 사용했다는 것이다. 랜섬웨어에서 도플갱잉 프로세스가 발견된 것은 이번이 처음이다. “도플갱잉은 쉽게 말해 악성 코드를 돌리면서도 아무런 해가 없는 정상적인 윈도우 프로세스처럼 보이게 만드는 것입니다. 이 기법은 작년 12월 유럽에서 열린 블랙햇에서 보안 업체 엔실로(enSilo)가 처음 선보인 바 있습니다.”

엔실로는 프로세스 도플갱잉에 대하여 “파일레스 회피 기술”이라고 묘사했다. 특히 윈도우 환경에서 사용되는 대부분의 백신 소프트웨어 및 차세대 백신 툴들에 탑재된 실시간 파일 스캐닝 엔진을 피해가는 데 탁월하다고 한다. 디스크에 저장된 채 실시되는 멀웨어나 메모리에서만 실행되는 순수 파일레스 멀웨어와는 달리 프로세스 도플갱잉 기법을 사용하는 공격자들은 자신들의 멀웨어를 완벽하게 정상적으로 보이는 파일로 둔갑시키는 게 가능하다.

“윈도우 운영 체제만의 파일 교환 방식이 있는데, 이를 완전히 이해하고 있는 공격자들이라면 악성 행위를 피해가 없는 정상 프로세스로 만들 수 있습니다. 널리 알려진 유명한 악성 코드를 사용하면서도요.” 카스퍼스키 전문가들의 설명이다. 또한 도플갱잉 기법을 사용하면 악성 코드의 흔적을 남기지 않을 수도 있다고 한다. “그래서 탐지가 극히 어렵습니다.”

도플갱잉만으로도 사이낵은 매우 독특한 랜섬웨어가 됐는데, 이거 말고도 특이한 기능이 더 있다고 카스퍼스키 분석가들은 말한다. “실행 코드를 숨기는 방식이 매우 독특합니다. 기존 사이낵 랜섬웨어는 멀웨어 코드를 보호하기 위해 스스로 만든 패커를 사용했었는데, 이번 버전은 컴파일 단계 직전에서 실행파일을 난독화합니다. 그래서 전문가들이 랜섬웨어 샘플을 리버스 엔지니어링 하기가 힘들어지죠.”

사이낵의 최선 버전에는 자동화된 샌드박스 환경을 탐지하는 기능도 가지고 있다. 만약 자신이 샌드박스 내에 있다는 걸 탐지하면 이를 빠져나가기 위한 절차를 밟기 시작한다. 또한 파일의 암호화를 시작하기 전에 사이낵은 기기에서 돌아가는 모든 프로세스들의 해시들도 확인한다. 멀웨어 내에 하드코딩된 프로세스들과 같은 것을 찾아낸 후 종료시키기 위해서다. 이런 프로세스들에는 가상기기 프로세스, 데이터베이스 애플리케이션, 백업 시스템, 게임 애플리케이션 등이 포함된다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>