• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

토르로 업그레이드 돼 다시 나타난 뱅킹 멀웨어, 크로노스 2018.07.26

2014년 처음 등장한 크로노스, 갑자기 사라졌다 했더니...
이전 크로노스와 상당 부분 유사...토르 네트워크 기능 추가돼

[보안뉴스 문가용 기자] 예전에 악명을 떨쳤던 뱅킹 멀웨어 크로노스(Kronos)가 새로운 모습으로 돌아왔다고, 보안 업체 프루프포인트(Proofpoint)가 발표했다.

[이미지 = iclickart]


크로노스는 2014년에 처음 발견된 멀웨어로, 그 후 꾸준한 위협 요소로 자리 잡아왔다. 그러가다 갑자기 사라지고 나타나지 않았다. 크로노스는 MiTB(man-in-the-browser) 공격 기법을 사용해 웹인젝트들을 심음으로써 접근했던 웹 페이지를 조작하고 사용자의 크리덴셜과 계좌 정보 등을 훔쳐간다. 또한 키스트로크를 로깅할 수도 있다.

작년, 미국의 FBI는 크로노스에 대해 “영국의 연구원인 마르커스 헛친스(Marcus Hutchins)가 개발한 것”이라고 밝혔다. 마르커스 헛친스는 온라인 상에서 멀웨어테크(MalewareTech)라는 이름으로 활동하고 있으며, 작년 워너크라이(WannaCry) 랜섬웨어의 킬스위치를 개발한 것으로 유명하다.

이번에 새롭게 나타난 크로노스 샘플은 독일, 일본, 폴란드의 사용자들을 노리고 있었으며, 토르 네트워크에 있는 도메인에 C&C 서버를 마련하고 있었다. 크로노스라는 이름 대신 오시리스(Osiris)라는 이름을 사용하기 시작했다는 의견도 있지만, 아직 이 부분은 확인된 바 없다.

새 크로노스 샘플을 동반한 첫 번째 캠페인은 6월 27일에 발견됐다. 악성 문서가 첨부된 스팸 이메일 형태로 독일 사용자들에게 퍼져가고 있었다. 문서 내에는 매크로가 포함되어 있었는데, 추가 멀웨어를 다운로드 받아 실행하는 기능을 가지고 있었다. 매번 그런 건 아니지만 스모크로더(SmokeLoader) 트로이목마가 다운로드 되는 경우도 있었다.

두 번째 캠페인은 7월 13일에 발견됐는데, 표적이 일본으로 바뀐 상태였다. 주요 공격 기법도 멀버타이징으로 전환됐다. 악성 광고를 통해 사용자들을 특정 사이트로 유도하는 것이었는데, 이 사이트에는 자바스크립트 인젝션이 포함되어 있어, 사용자들이 RIG 익스플로잇 키트를 다운로드 받도록 하고 있었다. RIG 익스플로잇 키트는 스모크로더를 다운로드 받고, 스모크로더는 최종적으로 크로노스의 페이로드를 다운로드 받았다.

마지막 캠페인은 7월 15일에 발견됐으며, 폴란드 사용자가 피해를 입고 있는 상태였다. 이번에는 가짜 청구서 및 영수증이 첨부된 이메일이 흩뿌려지고 있었고, 이 가짜 문서는 CVE-2017-11882 취약점을 익스플로잇 하는 기능을 가지고 있었다. 익스플로잇에 성공하면 크로노스가 다운로드 되고 실행됐다.

이 세 가지 캠페인을 통해 발견된 크로노스는 전부 토르 도메인과 연결되어 있었다. 이 도메인은 당연히 C&C 서버로서 활용되고 있었다. 또한 독일과 일본에서 발생한 공격에 있어서는 웹인젝트가 활용되는 모습도 발견됐다. 다만 폴란드의 공격에서는 웹인젝트의 흔적이 발견되지 않았다.

네 번째 캠페인은 7월 20일에 발생했다. 그리고 아직까지 진행 중이다. 크로노스는 여전히 토르 네트워크에 연결되어 있었고, 웹인젝트 역시 함께 발견됐다.

이렇게 올 한 해 발견된 크로노스 샘플에는 또 다른 공통점들이 있었다. 먼저, 예전에 나타났던 버전과 상당 부분 유사하고, 실제 코드가 겹치는 부분도 많았다. 또 같은 윈도우 API 해싱 기법과 해시들을 남용하는 기능을 포함하고 있었고, 똑같은 문자열 암호화 기술을 사용하고도 있었다. 웹인젝트의 형식도 같았고, C&C 암호화 원리와 프로토콜도 같았다.

하지만 예전에 활동했던 크로노스는 .onion C&C URL이나 토르 네트워크를 사용하지 않았다. 즉 크로노스 공격자들의 익명화 기술이 한층 강화되었다는 것이다.

현재 크로노스는 다크웹의 암시장에서 활발히 광고되고 있다. 프루프포인트는 “금융권에 대한 사이버 범죄자들의 공격은 끝나지 않는다”며 “예전에 활동했던 것이 사라진다고 하더라도 얼마든지 다시 나타날 수 있다”고 설명한다. “오래된 멀웨어의 재사용은 범죄자들이 흔히 하는 행동입니다. 그러므로 금융권에서는 여태까지 일어난 공격들에 대해서도 기록을 유지해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>