• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정상적인 유틸리티와 툴 사용해 정보 빼내는 새 멀웨어 2018.07.06

WinRAR, 애미 어드민 등 사용해 사용자 감염시키고 정보 빼내
아직 한창 개발 진행 중인 것으로 보여...새로운 버전 곧 등장할 듯

[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)의 전문가들이 매크로를 기반으로 한 악성 멀웨어 캠페인을 발견해냈다. 피해자들의 바로가기 파일을 감염시켜 백도어 프로그램을 몰래 다운로드 받도록 하는 것이다.

[이미지 = iclickart]


트렌드 마이크로의 연구원인 루즈웨이 루(Loseway Lu)는 7월 3일자 블로그를 통해 이 멀웨어를 공개하며 “이 멀웨어는 자신의 할 일을 마친 후에는 원래 바로가기 파일을 복구시킴으로써 흔적을 감추기도 한다”고 설명했다. “또한 이 멀웨어는 누구나 사용할 수 있는 정상적인 윈도우 툴과 WinRAR 유틸리티, 원격 데스크톱 소프트웨어인 애미 어드민(Ammyy Admin)을 사용해 정보를 모으고, SMTP를 통해 공격자들에게 정보를 전송합니다.”

트렌드 마이크로는 이번에 발견한 멀웨어가 매우 독특하다고 설명한다. “매크로를 사용하는 것부터 페이로드를 설치하는 것까지, 기존 멀웨어들과는 조금 다릅니다. 또한 아직 미완성의 단계에 있는 것으로 보입니다. 그러므로 광범위하게 퍼진 상태는 아닌 것으로 생각되며, 실제 피해 사례도 한정적입니다. 그러니 지금 이 멀웨어의 특징을 분석해 알리는 것이 미래를 위한 대비책이 될 것입니다.”

먼저 트렌드 마이크로는 러시아어로 적힌 텍스트와 어떤 집의 사진이 담긴 문서에서 멀웨어의 샘플을 추출해냈다. 받는 사람이 매크로 기능을 활성화시켜야 문서의 내용을 볼 수 있다고 사용자에게 안내하고 있기도 했다. 사용자가 ‘확인’을 누르면 감염이 시작된다.

사용자가 매크로를 활성화시키면 이 문서는 바로가기 파일들을 검색하고 링크를 교체한다. 데스크톱과 빠른 실행(Quick Launch)에 있는 바로가기 파일들이 주요 목표이며, 스카이프, 구글 크롬, 모질라 파이어폭스, 오페라, 인터넷 익스플로러와 같은 프로그램의 바로가기 파일을 노린다. “바로가기 파일에 링크된 프로그램을 바꿔요. 그래서 사용자들이 평소처럼 아이콘을 클릭하면 정상적으로 프로그램이 실행되는 대신 멀웨어가 실행되는 것이죠.”

감염된 바로가기 파일을 눌렀을 때 멀웨어는 또 다른 다운로더인 WpmPrvSE.exe를 다운로드 받는다. 이 다운로더는 TROJ_DLOADER.COGBA라는 이름도 가지고 있다. WpmPrvSE.exe의 다운로드 완료 후 실행을 시작하면 WPM Provider Host라는 악성 서비스가 시작된다. “그러면서 WinRAR 등 추가 요소들도 드롭됩니다. 그런 후 감염시킨 바로가기 파일을 원상태로 복귀시키죠. 아무 일도 일어나지 않았던 것처럼요.”

트렌드 마이크로에 따르면 WPM Provider Host 서비스가 비로소 최종 페이로드를 다운로드 받는다고 한다. “구글 드라이브와 깃허브로부터 RAR 아카이브 하나를 반복적으로 다운로드 받습니다. 그리고 아까 받았던 WinRAR을 가지고 이 아카이브를 열고 설치 파일 하나와 여러 환경설정 파일 및 도구들을 추출합니다. 이것들이 전부 하나로 합쳐지면 여러 기능을 발휘할 수 있게 되는 것으로 보입니다. 설치 파일은 드롭된 애미 어드민의 등록키를 해제시킨 후 애미 어드민을 가지고 시스템에 접속합니다.”

이 설치 파일은 또 다른 서비스를 하나 시작하기도 한다. “이 서비스의 이름은 WSVCHost이며, 실제로 애미 어드민을 실행시키는 역할을 맡고 있습니다. 또한 procdump라는 유틸리티 프로그램을 활용해 WSVCHost와 관련이 있는 프로세스들을 메모리에서 전부 덤프시킵니다. 그리고 이 덤프 파일들을 압축하고 두 개의 파일로 정리합니다. 공격자가 당연히 이 파일들을 가져가는데요, 이 때 SMTP를 활용합니다.”

트렌드 마이크로가 이 덤프 파일들을 분석한 결과 라우터 IP 주소, 애미 어드민 ID 등의 정보가 들어있었다. 여러 다른 내용물들도 있었는데, 별다른 사용처가 없는 정보들로 보인다고 트렌드 마이크로는 밝힌다. “현재까지는 공격자의 정확한 표적이나 동기를 알 수 없습니다. 지금까지는 정보 수집이 공격의 목적으로 보입니다.”

또, 분석이 진행되는 동안 다운로드 되는 파일들에 약간의 변화나 업데이트가 있었다는 것이 눈에 띄기도 했다. 이 때문에 트렌드 마이크로는 “멀웨어 개발자가 아직 실험 단계에 있는 것”으로 보고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>