• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보 탈취 멀웨어 아스타로스, 수십 겹의 분석 방해 기능 선보여 2020.05.12

지난 9개월 동안 브라질 사용자들을 주로 노려...주로 피싱 이메일 통해 감염
감염 경로 대단히 복잡하고, 페이로드마다 분석 방해 기능 충실하게 적용돼

[보안뉴스 문가용 기자] 아스타로스(Astaroth)라는 정보 탈취형 멀웨어를 운영하는 자들이 탐지와 분석을 방해하기 위해 새로운 전략을 도입했다는 소식이다. 2017년 처음 발견된 아스타로스는 민감한 정보를 유출하는 데에 꾸준히 사용되어 온 멀웨어로, 피싱 메일을 통해 주로 퍼지는 것으로 알려져 있다.

[이미지 = iclickart]


지난 9개월 동안 아스타로스는 주로 브라질인들을 겨냥한 스피어피싱 공격에서 발견됐다. 그 중 최신 버전의 샘플들을 비교 분석했을 때 “경악할 속도로 업그레이드가 진행되고 있다”는 사실이 발견되었다고 시스코의 탈로스(Talos) 팀이 자사 웹사이트를 통해 밝혔다. 분석에 참여한 닉 비아시니(Nick Biasini)와 에드문드 브루마긴(Edmund Brumaghin), 닉 리스터(Nick Lister)는 “특히 최근 분석 방해 기능이 추가됐는데 이 때문에 상당히 골치가 아팠다”고 말했다.

브라질인들을 노린 피싱 이메일은 포르투갈어로 작성되었으며 다양한 ‘미끼’를 활용하고 있는 것으로 나타났다. 당연히 코로나 바이러스에 관한 내용도 포함되어 있지만, 그 외에도 여러 가지를 제목에 달아 피해자들의 클릭을 유도했다. 이메일 본문에는 링크가 하나 걸려 있는데, 이를 클릭할 경우 zip 파일이 하나 다운로드 된다. 이 zip 파일은 일종의 드로퍼 역할을 하면서 악성 .lnk 파일을 추가로 다운로드 받는다. 이 .lnk 파일에서부터 복잡한 감염이 시작된다.

.lnk 파일에는 배치 명령들이 저장되어 있다. 실행될 경우 난독화 기술이 겹겹이 적용된 JScript 파일이 생성된다. 이 파일의 난독화 장치를 전부 제거하면 또 다른 다운로더가 등장한다. 이 다운로더는 sqlite3.dll이라는 멀웨어 페이로드가 있는지 확인부터 한 후, 찾아내는 데 성공할 경우 아스타로스를 다운로드 받는다. 아스타로스는 여러 애플리케이션으로부터 다양한 정보를 훔쳐낸다.

아스타로스의 감염 과정은 물론 주요 페이로드들 모두는 강력한 분석 방해 기능으로 점철되어 있다. 예를 들어 감염 과정 중에 등장하는 JScript의 경우 아스키(ASCII) 문자들에 해당하는 10진수로 구성되어 있고, 이 10진수들을 전환해 실행시킴으로써 명령행 신택스가 포함된 문자열을 생성할 수 있게 만들어져 있다. 이는 정적 분석으로 찾아내기 어렵다고 탈로스 팀은 설명한다.

다운로드가 진행될 때 역시 현재 환경에 대한 검사를 여러 번 실시해 가상 환경이나 샌드박스, 하니팟 등에서 분석되고 있는 것이 아니라는 걸 확실시 한다. 단 한 번이라도 검사 결과가 이상하게 나올 경우, 그래서 가상 환경이 의심될 경우, 시스템을 강제로 재시작한다.

그 외에도 사용자들이 정상적으로 스크린샷을 캡쳐할 수 있도록 해주는 CreateToolhelp32Snapshot을 활용함으로써 분석을 방해하기도 한다. 가상 환경에서 흔히 발견되는 하드웨어들의 유무를 확인하기도 하고, 멀웨어 탐지에 사용되는 애플리케이션인 와이어샤크(Wireshark), 오토런즈(Autoruns), 프로세스 해커(Process Hacker), 임포트REC(ImportREC) 등의 유무도 확인한다.

“보통 난독화 기술을 적용한다고 해도 한두 겹 입히는 게 보통입니다. 그런데 이번 아스타로스 운영자들은 분석을 방해하기 위해 수십 개의 장치들을 적용했습니다. 기존 멀웨어들에서는 발견하기 힘든 것들도 제법 있습니다. 금전적인 목표를 가지고 활동하는 해커들이 얼마나 치밀하고 집요한지가 그대로 드러나는 부분입니다.”

또 하나 특징적인 부분은 아스타로스 운영자들이 여러 유튜브 채널을 개설하고, ‘채널 설명’이 들어가는 란을 C&C 도메인 목록으로 채워두었다는 것이다. 이를 통해 아스타로스와 원격의 공격자들이 서로 통신할 수 있게 된다. 이는 과거 아스타로스 공격에서도 발견된 바 있는 특징이다.

“이 역시 난독화를 위한 시도 중 하나라고 볼 수 있습니다. 정말 많은 사람들이 사용하는 서비스인 유튜브를 C&C 인프라에 포함시킨다는 건, 유튜브에 대한 일반 사용자들과 탐지 솔루션의 신뢰를 자신들의 목적에 맞게 악용하겠다는 것이죠. 치밀하고 꼼꼼하기가 참으로 놀랍습니다.”

3줄 요약
1. 정보 탈취형 멀웨어 아스타로스, 급격한 업그레이드 진행됨.
2. 특히 난독화와 분석 방해 기능에 있어서 상당한 집요함과 꼼꼼함 보여줌.
3. 돈을 훔쳐내고자 하는 공격자들의 집요함과 기술력이 아주 잘 드러난 공격 캠페인.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>