• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

매일 업데이트 되는 멀웨어 리트스푸프, 다단계 감염 실시해 2019.02.20

지오펜스 기능 활용해 미국 지역에 있는 사용자들만 감염시켜
최종 페이로드는 아직 발견 못해...하루도 빠지지 않는 업데이트도 인상적

[보안뉴스 문가용 기자] 최근 탐지된 다단계 침투 멀웨어가 올해 초부터 지금까지 매일, 하루도 빠지지 않고 업데이트 되었다고 보안 업체 어베스트(Avast)가 발표했다.

[이미지 = iclickart]


이 멀웨어는 2018년 8월에 처음 발견된 리트스푸프(Rietspoof)로, 1단계에서는 스카이프(Skype)나 메신저(Messenger)와 같은 메신저 앱을 통해 퍼지는 것으로 알려져 있다. 여기에 걸려들면 피해자들은 VB스크립트를 받게 되고, 이 스크립트는 2단계 멀웨어를 CAB 형식으로 다운로드 한다. 그리고 이 CAB 파일은 압축 해제가 되면서 서명이 된 실행파일을 사용자 시스템에 저장한다.

최초의 VB스크립트는 먼저 로그인 된 사용자가 관리자 권한을 가지고 있는지 확인한다. 그런 후 CAB 파일을 삭제하고, 압축 해제를 통해 나온 실행파일을 실행시킨다. 그 다음 VB스크립트 스스로를 삭제해 흔적을 감춘다. cmd /c를 사용해 명령 행으로부터 명령어를 실행하기도 한다.

문제의 실행파일 역시 현재의 사용자가 관리자가 아닐 때 실행된다. 그러나 실행 전에 미리 예약된 마이크로소프트 윈도우 DOM 객체 도우미를 먼저 삭제하고 새로운 객체를 만들어 실행파일과 연결시킨다. 이로써 공격의 지속성을 확보한다.

VB스크립트의 새 버전의 경우 ‘시작 프로그램’ 폴더에 LNK 파일을 하나 새로 생성한다. 이름은 WindowsUpdate.lnk이며, 이를 사용해 시스템 부팅 이후 확장된 PE 파일을 실행시킨다. 이 역시 공격의 지속성을 확보하는 방법이다.

이 멀웨어의 감염을 통해 전파되는 3단계 페이로드는 간단한 TCP 프로토콜을 사용해 C&C 서버와 통신한다. 이 페이로드 역시 새 버전이 존재하는데, TCP가 아니라 HTTP 및 HTTPS를 사용해 C&C와의 통신을 시도한다.

그 다음은 공격자가 자체 개발한 프로토콜을 사용해 4단계 멀웨어가 다운로드 된다. 다운로드를 받는 주소는 하드코드 처리되어 있다. 3단계 멀웨어는 기초적인 봇 기능을 가지고 있는데 반해 4단계 멀웨어는 다운로더로서의 기능만을 가지고 있다. 그러므로 5단계나 6단계의 공격이 더 있을 가능성이 높으나 아직 발견된 바가 없다.

리트스푸프의 3단계 멀웨어는, 현재까지 발견된 것만 따지면 두 가지 버전으로 존재한다. 하지만 기능은 다운로드 및 업로드, 프로세스 시작, 자가 파괴 등에서 크게 벗어나지 않는다. 어베스트의 전문가들이 분석했을 때 굉장히 빠른 시간 안에 개발된 것으로 보이며, 두 버전이 동시에 활동하기도 한다.

리트스푸프의 C&C 서버에는 기초적인 지오펜스(geofence) 기능이 도입되어 있다. 그래서 피해자의 IP 주소가 미국일 때에만 다음 단계(4단계) 페이로드를 배포하기 시작한다. “리트스푸프는 2019년 1월 동안 엄청난 활동량을 보였습니다. 정상 인증서도 여러 개 사용하는 등 배후의 공격자가 다양한 시도를 했습니다. 3단계 멀웨어를 구현하는 방법도 다양화했고요.”

리트스푸프 공격자의 작업 방식과 동기는 아직 정확하게 밝힐 수 없는 상태다. 어베스트도 아직 감염 사슬 전체를 파악하지 못하고 있다. “봇 기능도 일부에서 발견됐으나, 실제로는 드로퍼의 역할만 하고 있는 상태입니다. 또한 미국인들만 노리는 데에도 분명한 이유가 있을 것으로 보이고요. 아직은 수수께끼로 가득한 위협입니다.”

이에 대해 어베스트는 “아직 실험 단계에 있는 것일 수도 있다”고 설명했다. “매일 업데이트를 한다는 것 역시 공격자가 실험 중에 있다는 걸 알려주는 것일 수도 있고요. 감염이 다단계로 진행되는 만큼 철저한 실험이 필요하긴 할 겁니다.”

3줄 요약
1. 리트스푸프라는 멀웨어, 4단계 넘는 감염 사실 가지고 있는 위협.
2. 하지만 아직까지는 봇 기능과 다운로더 기능만 가지고 있는 페이로드만 발견됨. 최종 페이로드는 미발견.
3. 또한 1월부터 매일 업데이트 되고 있기도 함. 아무래도 공격자가 실험 중인 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>