게시일: 2020. 3. 9 오전 8:41:18
셸코드를 사용한 멀웨어는 탐지 어렵고 은밀해...주로 다운로더 개발에 사용돼
폰드락커처럼 페이로드 전체가 셸코드인 랜섬웨어는 처음...그 효용성은 의문
[보안뉴스 문가용 기자] 꽤나 독특한 랜섬웨어가 새롭게 등장했다. 이름은 폰드락커(PwndLocker)로, 지난 2월 보안 업체 크립시스 그룹(Crypsis Group)이 고객사에서 발생한 사건을 조사 및 분석하다 발견했다고 한다. 전체가 셸코드로 만들어졌는데, 이는 멀웨어 개발자들이 그리 좋아하는 방식은 아니었던지라, 상당히 의외다.
[이미지 = iclickart]
뿐만 아니라 공격자들이 스스로 만든 커스텀 암호화 알고리즘까지 갖추고 있다. 다행히 이는 강점으로 작용하지는 않고 있다. “이 암호화 알고리즘은 뚫어내는 게 가능하고, 실제 공격을 성공시키기도 했습니다. 하지만 공격자들이 알고리즘 정도는 쉽게 바꿀 수 있어서, 알고리즘을 뚫어냈다고 해도 큰 성과라고 하기는 어렵습니다.”
크립시스 그룹의 수석 컨설턴트인 맷 탱스턴(Matt Thanxton)은 “주목해야 할 건 폰드락커가 셸코드로 만들어졌다는 점”이라고 지적한다. “이 때문에 훨씬 복잡하고, 탐지가 힘든 랜섬웨어가 됐습니다. 파워셸로 만들어졌다는 건, 하드디스크에 기록이 잘 되지 않는다는 것이고, 서명된 윈도우 프로세스에 주입되는 식으로 시스템에 침투한다는 뜻이기 때문입니다.”
셸코드는 이른 바 ‘파일레스 멀웨어’라고 불리는 악성 코드를 만드는 데 사용되는 재료 중 하나다. 그러나 폰드락커가 ‘파일레스’에 분류되기엔 부족하다고 탱스턴은 설명한다. 가짜 avi 파일에서 로딩이 되기 때문이다.
셸코드를 공격에 사용할 경우 탐지망을 회피할 수 있다는 커다란 장점이 있지만, 주로 추가 멀웨어를 다운로드 하는 ‘다운로더’형 멀웨어에서만 주로 활용이 되어 왔었다. 파워셸을 사용해 멀웨어 그 자체를 만드는 것이 꽤나 복잡하고 어려운 일이기 때문이다. “랜섬웨어의 주요 페이로드 전체가 파워셸로 되어 있는 건 처음 보는 일입니다.”
탱스턴은 “왜 공격자들이 굳이 이렇게 어려운 길을 택했는지 확실하게 알 수 없다”고 말한다. “탐지하기 어려운 파워셸 다운로더를 침투시켜 추가로 페이로드를 설치하는 것도 꽤나 훌륭한 공격인데, 아예 본 페이로드까지 파워셸로 만들었다는 건, 공격자들이 탐지되는 걸 끔찍하게 싫어한다는 걸 짐작케 합니다. 혹은 이전에 없던 멀웨어를 만들고자 하는 열망이 강한 자들이 배후에 있을 가능성도 있습니다.”
폰드락커의 또 다른 특징이라면, “이미 공개된 강력한 암호화 기술을 놔두고 공격자가 직접 수정한 커스텀 암호화 알고리즘이 사용되었다는 것”이다. 게다가 위에 언급했다시피 이 알고리즘은 기존 알고리즘들보다 약한 편에 속한다. “왜 굳이 어려운 길을 택해 약한 알고리즘을 삽입했는지 알 수가 없습니다.”
이 알고리즘이 얼마나 약한지, 보안 업체 엠시소프트(Emsisoft)는 이미 지난 주 폰드락커를 무력화 시키는 방법을 개발해 발표했다. 엠시소프트 측은 “현재 꽤 많은 기업과 정부 기관들이 폰드락커에 당했으며, 범인들은 피해자들에게 50만 달러 정도를 요구하는 상황”이라고 설명한다. 또한 여러 가지 버전이 있어 복구가 쉽지 않다고 한다. “그래서 저희의 디크립터를 사용하기 전에 약간의 커스터마이징을 거쳐야 합니다.”
엠시소프트는 여기(https://blog.emsisoft.com/en/35879/pwndlocker-ransomware-decryption-now-available/)서 디크립터를 배포하고 있다. 하지만 먼저 엠시소프트 측에 랜섬웨어 실행파일을 보내야만 커스터마이징이 가능하다.
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ
매우 특이한 형태인 멀웨어 폰드락커가 등장했다. 이 멀웨어의 가장 큰 특징은 모든 멀웨어의 구성, 동작, 페이로드가 셸코드로 이루어졌다는 것이다.
멀웨어가 셸코드로 이루어졌다는 것은 파일리스 멀웨어의 가능성이 있는데 avi 파일 안에서 로딩이 된다는 것을 보면 완전한 파일리스의 형태는 아닌 것 같다.
파일리스 멀웨어란 피해자의 컴퓨터에 악성 파일을 저장시키지 않으면서 공격하는 멀웨어의 종류이다. 이 멀웨어는 다른 멀웨어와는 다르게 해당 멀웨어가 있는 파일을 다운로드 받는 동시에 시스템 메모리에 직접 로드되어 악의적인 명령어들이 수행되어진다. 또한 이 멀웨어가 있는 파일은 분명히 멀웨어를 동작하는 매개체로서 작용했지만 악성 코드를 가지고 있지 않기 때문에, 보통의 백신으로는 찾아낼 수 가 없다.
이 멀웨어의 가장 큰 동작 방식은 사용자를 악의적인 사이트로 피싱한 후, 사이트에서 스태가노그래피로 화면 페이지 안에 악성 셸코드를 집어 넣거나, 매개 파일을 다운로드 하는 척을 하면서 악성 셸코드를 실행시키게 한다.
하지만 보통의 파일리스 멀웨어는 이 악성 셸코드를 집어 넣는 과정만 파워셸을 이용하는데, 본 멀웨어는 모든 기초 준비, 동작 과정을 파워셸을 통해 만들었다는 것이다.
이러한 멀웨어의 등장은 기본의 기법들을 응용해 더욱더 탐지가 어려운 멀웨어들이 점차 다양한 취약점을 이용해 나오는 시발점이 될 수 있을 것 같다. 따라서 해독 및 탐지가 어려운 취약 분야에 더욱 더 넓은 방향의 발전이
필요하다는 것을 느꼈다.