러시아어 구사자가 개발한 듯한 RtPOS...전형적인 기능 없어
시스템 내 한 폴더에 훔친 정보 모아 .dat 파일로 저장

[보안뉴스 문가용 기자] 보안 전문가들이 POS 멀웨어인 RtPOS를 발견했다. 특이하게도 지불 카드 정보를 로컬에 저장하는 기능을 가지고 있긴 한데, 그 정보를 C&C 서버로 넘기지는 않는다고 한다. 아마도 비정상 행위의 탐지를 막기 위해서인 것으로 보인다.


정보 추출 기능이 없다는 건 RtPOS가 침해 이후에 사용되는 툴(post-compromise tool)일 수도 있다는 뜻이 된다. 즉 공격자들이 이미 침해한 기기에만 사용하는 멀웨어라는 것이다. 그러므로 굳이 이 멀웨어가 아니더라도 다른 방법으로 정보를 빼돌릴 수 있다는 의미가 된다.

이를 발견해 발표한 건 부즈 앨런 앤드 해밀턴(Booz Allen and Hamilton)의 위협 관리 서비스 팀이다. 하지만 부즈 앨런 측은 “RtPOS가 아직 미완성 단계의 멀웨어일 가능성도 배제할 순 없다”고 덧붙였다. 아직 정보 추출 기능이 제대로 개발되지 않았을 수도 있다는 것이다.

RtPOS의 컴파일 시간은 2017년인 것으로 나타났다. 즉 최소 몇 개월 동안은 지금 이 상태로 사용되어 왔다는 것인데, 네트워킹 기능이 하나도 없기 때문에 감염이 직접 발생한 엔드포인트 외에는 존재할 수가 없다.

전문가들은 RtPOS를 분석하다가 러시아어로 된 부분을 코드에서 발견할 수 있었다. 이 멀웨어의 이름은 alohae.exe로 윈도우 로그온 서비스(Windows Logon Service)처럼 보이도록 꾸며졌다.

RtPOS가 설치되면 현재 시스템에서 돌아가고 있거나 사용 가능한 프로세스들을 반복 처리한다고 부즈 앨런 측은 설명한다. “두 가지 단계로 일이 발생됩니다. 먼저는 RtPOS가 CreateToolhelp32Snapshot를 사용해 프로세스 목록을 파악하는 단계입니다. 그 다음으로는 Process32FirstW를 사용해 목록에 있는 프로세스들을 반복시킵니다.”

다음으로 RtPOS는 ReadProcessMemory라는 함수를 사용해 POS 시스템의 메모리 공간에 침투한다. 확실하지는 않지만 지불 관련 데이터가 암호화되기 전 RAM 스크래핑을 실시하기 위한 것이라고 전문가들은 보고 있다.

그 다음에는 검사합 공식을 사용해 지불 카드 번호를 확인한다. 이 과정을 통과한 정보는 .dat 파일 내에 저장되고, 이 파일은 \Windows\SysWOW64 폴더에 저장된다. 이 파일은 나중에 공격자들로 전송되는 게 뻔하지만 아직까지 그 방법은 발견되지 않고 있다.

RtPOS에는 이 .dat 파일을 외부로 빼돌리는 기능이 없었다.

3줄 요약
1. 새로운 POS 멀웨어 발견됨. 이름은 RtPOS.
2. 하지만 훔친 데이터를 밖으로 빼돌리는 기능이 없음. 발각되지 않기 위해서이거나, 멀웨어가 아직 미완성이거나.
3. 러시아어로 된 부분 코드에서 발견됨. 러시아어 구사자가 배후에 있는 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>