록키 랜섬웨어 퍼트리는 것으로 유명했던 네커스의 새로운 전략
최종 페이로드는 여러 기능 실행 가능한 원격 접근 툴

[보안뉴스 문가용 기자] 악명 높은 네커스(Necurs) 봇넷이 최근 공격에서 인터넷 쿼리(Internet Query, IQY) 파일을 사용해 보안 장치들을 무력화시킨 것으로 나타났다. 네커스 봇넷은 최소 2012년부터 활동해온 위협으로 현존하는 스펨 봇넷 중 가장 큰 것으로 알려져 있다. 특히 록키(Locky) 랜섬웨어를 배포하는 망으로 유명하다.


그런데 이 네커스가 올해 4월부터 .URL 파일들과 조작된 아이콘들을 사용해 사용자들을 속인 것으로 드러났다. 사용자들은 이 가짜 파일과 아이콘을 보고 전혀 다른 파일을 여는 것으로 속는다. 하지만 실제로는 SMB 프로토콜을 통해 원격 서버에서 페이로드를 다운로드 받아 설치한다.

현재 이것이 가장 최신의 네커스 침투 전략이라고 한다. 특수한 형태를 가진 텍스트 파일인 IQY 파일들은 사용자들이 데이터를 외부에서 임포트 해서 엑셀 스프레드시트로 옮겨올 수 있게 해준다. 윈도우는 이 파일을 열 때 엑셀을 자동으로 실행한다.

보안 업체 트렌드 마이크로(Trend Micro)에 따르면 IQY 파일이 첨부된 스팸 메일이 퍼지고 있는데, 사용자들이 보는 건 어떤 물품의 세일 및 할인 행사와 관련된 안내라고 한다. 그래서 이를 다운로드 받아 열어보면 IQY 파일이 코드 내에 나타난 URL에 쿼리를 보내고, 해당 URL에서 전달된 데이터가 엑셀 시트로 열리게 된다.

이 데이터 중에는 엑셀의 이동 자료 교환(DDE) 기능을 악용해 명령줄을 실행하고 파워셸 프로세스를 시작하게 하는 스크립트가 숨겨져 있다. 이를 통해 원격 파워셸 스크립트가 파일 없이 실행되게 된다.

또한 이 스크립트는 실행 파일을 하나 다운로드 받도록 되어 있다. 원격 접근 툴이자 이 공격의 최종 페이로드인 플로드앰미(FlawedAMMYY)다. 역시나 원격 접근 툴인 앰미 어드민(Ammyy Admin)의 유출된 소스코드를 통해 만들어진 멀웨어인 것으로 보인다.

그런데 보다 더 최근에는 최종 페이로드 전에 한 단계가 더 삽입됐다. 스크립트가 곧장 최종 페이로드를 받는 게 아니라 이미지 파일을 하나 받는다. 이는 사실 이미지가 아니라, 이미지처럼 보이는 멀웨어 다운로더로, 플로드앰미를 암호화시켜 가져오는 역할을 하고 있다.

플로드앰미는 원격 서버로부터 여러 명령을 받아 실행하도록 설계되어 있다. 파일 관리자, 화면 보기, 원격 통제, 오디오 채팅, RDP 세션 서비스, 데스크톱 프로세스 비활성화, 시각 효과 비활성화, 툴팁 제공, 마우스 커서 깜빡이게 하기 등이 여기에 포함된다.

“네커스가 이렇게 한 단계 더 거쳐서 페이로드를 장착시킨다는 건, 보안 업계에 있어 새로운 어려움을 선사합니다. 웹 쿼리란 보통 평문 파일 형태로 오는 건데, 그러므로 첨부된 IQY 파일의 URL만으로 악성인지 정상인지를 판단해야 한다는 소리가 되니까요. 게다가 구조는 보통의 웹 쿼리와 똑같아요. 그래서 기존의 악성 URL 방어 솔루션을 사용해도 방어가 쉽지 않을 것으로 보입니다.”

트렌드 마이크로는 “이런 류의 새로운 공격에서부터 안전하려면 보안 규정을 엄격하게 지키고, 최고 실천 사항을 꼼꼼하게 지키는 것이 최고”라고 설명한다. 또한 “이번에 공격 기법이 밝혀지게 되었으니, IQY 파일을 첨부로 받았다면 일단 의심해보는 것이 당연한 절차”라고 덧붙였다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>