파일레스 공격 기법 탑재해 탐지 매우 어려워져...웜처럼 증식하기도
USB 자주 사용하는 곳에서는 특별한 주의 필요...기본 보안 위생 강화 필요

[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)의 보안 전문가들이 악명 높은 악성 원격 접근 툴인 엔제이랫(njRAT)의 ‘파일레스 버전’을 새롭게 발견했다. 게다가 USB 등의 탈착식 드라이브를 통해 웜처럼 퍼지는 기능까지도 가지고 있다고 한다.


엔제이랫은 블라다빈디(BLADABINDI)나 엔제이웜(njw0rm)이라는 이름으로도 불리는 일종의 백도어로, 사이버 스파잉, 키로깅, 디도스 공격, 파일 설치 및 실행, 브라우저로부터 크리덴셜 탈취 기능을 탑재하고 있다.

이번에 발견된 변종은 Worm.Win32.BLADABINDI.AA로, 무료 윈도우용 자동화 스크립트 언어인 오토잇(AutoIt)을 사용해 최종 악성 페이로드를 컴파일 하고 메인 스크립트를 한 개의 실행파일로 만든다. 이 때문에 페이로드의 탐지가 굉장히 어렵게 된다고 트렌드 마이크로의 칼 매버릭 파스쿠알(Carl Maverick Pascual)은 자사 블로그를 통해 설명했다.

또한 실행파일의 스크립트를 분석해보니, 이 멀웨어는 TEMP 디렉토리 내에서 Tr.exe라는 이름을 가진 모든 파일을 삭제하고, 자신이 만든 악성 Tr.exe을 새롭게 복사하는 기능을 가지고 있었다. 이 과정에 자기 자신을 복제하기도 했다. 그 다음 C&C로부터 추가 파일들을 다운로드 받아 TEMP 디렉토리에 저장하기도 했다. C&C는 water-boom.duckdns.org라는 도메인에 마련되어 있었다.

엔제이랫 스크립트가 설치하는 Tr.exe 파일의 정체는 오토잇으로 컴파일한 스크립트로, 이 안에는 또 다른 실행파일이 베이스64(base-64)로 암호화 되어 감춰져 있다. 트렌드 마이크로에 의하면 “이 Tr.exe는 AdobeMX라는 이름의 자동실행 레지스트리를 사용해 파워셸을 실행함으로써 암호화된 실행파일을 로딩한다”고 한다. 즉 이 감춰진 실행파일은 디스크가 아니라 메모리에서부터 실행된다는 것이다.

Worm.Win32.BLADABINDI.AA는 C&C와 관련된 URL에서 이전 버전의 엔제이랫들과 유사성을 가지고 있다. 특히 DDNS를 사용한다는 점은 정확하게 일치한다. 파스쿠알은 “공격자들이 C&C 서버의 실제 IP 주소를 감추거나, 필요할 때마다 변경하기 위해 DDNS를 사용하고 있다”고 보고 있다.

“웜의 페이로드, 증식 방식, 파일레스 공격 기법을 보면 엔제이랫이 굉장히 큰 위협으로 변모했다는 걸 알 수 있습니다. 특히 탈착식 드라이브를 자주 사용하는 기업들과 각 사용자들은 보다 더 보안 기본 철칙을 잘 지켜야 할 것입니다. 아무 시스템에나 휴대용 드라이브를 꼽지 말고, 파워셸 사용 옵션을 조정하고 모니터링해야 합니다. 또한 게이트웨이, 엔드포인트, 네트워크, 서버를 항시 모니터링해서 이상 행위들을 조기에 탐지할 수 있도록 해야 합니다.”

트렌드 마이크로는 파일레스 멀웨어 공격을 모니터링 해주는 엔드포인트 솔루션도 시중에 여럿 나와 있으니 사용을 시도해보는 것도 좋은 방법이라고 권장한다.

3줄 요약
1. 악성 원격 접근 툴인 엔제이랫, 새로운 버전 등장.
2. 파일레스 공격, 웜 방식의 증식, DDNS 활용. 대단히 큰 위협으로 변모.
3. 기본적인 보안 실천 사항 준수 및 파일레스 공격 탐지 툴 사용이 권장됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>