• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

파일레스 공격하는 어즈니프, 탐지 회피 가능성 더 높였다 2019.01.28

워드 문서로부터 시작되는 다단계 공격...파워셸 등 사용해
추출한 정보 압축했기 때문에 트래픽 탐지가 더 어려워져

[보안뉴스 문가용 기자] 시스코(Cisco)의 탈로스 팀이 어즈니프(Ursnif) 트로이목마에 대한 새로운 내용을 발견했다. 원래는 파일레스 공격을 통해 퍼지던 것이었는데, 최근에는 여기에 더해 CAB 파일들을 사용해 수집된 데이터를 압축한다는 것이다.

[이미지 = iclickart]


어즈니프 트로이목마는 5년 넘게 활동해온 멀웨어로, 사용자의 은행 크리덴셜 등 각종 민감한 정보를 훔치는 기능을 가지고 있다. 탈로스 팀에 의하면 어즈니프는 최근 공격자들 사이에서 가장 인기가 높은 멀웨어 중 하나라고 한다.

탈로스 팀이 발견한 바에 의하면 최근 어즈니프를 배포하는 공격자들은 “VBA 매크로를 탑재하고 있는 마이크로소프트 워드 문서를 활용한다”고 한다. “이 가짜 문서에는 이미지가 하나 포함되어 있는데, 사용자가 문서를 열 겨우 콘텐츠를 활성화하라는 메시지 창을 띄운다”고 한다.

그런데 피해자가 사용하고 있던 오피스 프로그램이 매크로 기능을 활성화하고 있다면 악성 매크로가 자동으로 실행된다. 탈로스 팀은 “오토오픈(AutoOpen) 기능이 있기 때문에 아무런 경고 메시지 없이 코드가 그대로 실행될 수도 있습니다.”

이 매크로는 명령어 한 줄로 구성되어 있다. 셰입스(Shapes) 객체인 j6h1cf의 얼터네이티브텍스트(AlternativeText) 속성에 접근하는 기능을 가지고 있다. “베이스64(base64)로 암호화 된 파워셸 명령어이며, 어즈니프를 C&C 서버에서 다운로드 받아 실행합니다.”

그 다음 단계에서는 레지스트리 데이터가 생성되며, 윈도우 관리 기구 명령줄(WMIC)을 사용해 파워셸을 실행시키고 APHohema 키의 값을 추출해낸다. APHohema 키는 16진법으로 암호화 된 파워셸 명령어다. 실행될 경우 함수를 하나 만드는데, 이 함수는 베이스64 기반의 파워셸을 복호화시키는 데 사용된다. 또한 악성 DLL을 포함하고 있는 바이트 어레이를 만들기도 한다.

이 과정까지 다 거치면 파워셸이 하나 더 만들어지는데, 이 파워셸은 Invoke-Expression 함수가 실행시키는 것으로, 비동시적 프로시저 호출(Asynchronous Procedure Call, APC) 인젝션이라는 걸 실행하게 된다. 비동시적 프로시저 호출 인젝션은 VirtualAllocEx와 함께 악성 DLL을 위한 메모리 배정을 먼저 하고, 악성 DLL를 이곳에 복사해 넣는다.

감염 프로세스가 완료되면 어즈니프가 HTTPS를 통해 C&C로 요청을 보낸다. 탈로스가 이 트래픽을 분석했더니, CAB 파일 포맷이 발견됐다. “이 CAB 파일 안에 수집한 데이터를 집어넣어 압축한 후에 밖으로 빼돌리는 것을 알 수 있었습니다.”

그러면서 탈로스는 “어즈니프는 파일레스 공격의 교과서적인 표본으로, 전통의 백신 기술로서는 탐지가 매우 어려워서 공격자들에게 인기가 높았다”며 “CAB라는 압축 절차를 한 번 더 밟음으로서 탐지가 한 층 더 어려워졌다”고 밝혔다. “어즈니프는 보다 더 까다로운 멀웨어가 되었습니다.”

보안 업체 버섹(Virsec)의 공동 창립자인 레이 디미오(Ray DeMeo)는 “기존의 백신과 시그니처 기반 보안 제품들이 해커들에게 쉽게 농락당한다는 것을 보여준 또 다른 사례”라고 말한다. “파일레스라는 고급 기술이 아니더라도, 이미 암시장에는 아주 살짝만 변형을 줘서 전혀 새로운 멀웨어로 보이게 해주는 툴들이 활발히 거래되고 있습니다. 시그니처 기반 툴로는 잡기가 무척 어렵지요.”

그러면서 디미오는 “앞으로도 이런 식의 공격은 계속될 것”이라고 말한다. “공격자들은 앞으로도 애플리케이션을 변경하고, 귀중한 데이터를 훔치고, 사업 행위를 방해하기 위해 애쓸 것입니다. 그렇게 하기 위해 탐지 장치에 걸리지 않기 위해 온갖 수단을 동원할 것이고요. 안전을 위해서라면 각종 위협에 대비할 수 있어야 합니다.”

3줄 요약
1. 파일레스 공격을 통해 탐지 피해가는 어즈니프.
2. 원래도 잡기 힘들었는데, 최근 CAB 파일로 데이터를 압축하기 때문에 더 탐지 힘들어 짐.
3. 탐지 피해가게 해주는 툴, 이미 암시장에 많음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>