게시일: 2020. 9. 1 오후 1:30:49
셸코드를 사용한 멀웨어는 탐지 어렵고 은밀해...주로 다운로더 개발에 사용돼
폰드락커처럼 페이로드 전체가 셸코드인 랜섬웨어는 처음...그 효용성은 의문
[보안뉴스 문가용 기자] 꽤나 독특한 랜섬웨어가 새롭게 등장했다. 이름은 폰드락커(PwndLocker)로, 지난 2월 보안 업체 크립시스 그룹(Crypsis Group)이 고객사에서 발생한 사건을 조사 및 분석하다 발견했다고 한다. 전체가 셸코드로 만들어졌는데, 이는 멀웨어 개발자들이 그리 좋아하는 방식은 아니었던지라, 상당히 의외다.
[이미지 = iclickart]
뿐만 아니라 공격자들이 스스로 만든 커스텀 암호화 알고리즘까지 갖추고 있다. 다행히 이는 강점으로 작용하지는 않고 있다. “이 암호화 알고리즘은 뚫어내는 게 가능하고, 실제 공격을 성공시키기도 했습니다. 하지만 공격자들이 알고리즘 정도는 쉽게 바꿀 수 있어서, 알고리즘을 뚫어냈다고 해도 큰 성과라고 하기는 어렵습니다.”
크립시스 그룹의 수석 컨설턴트인 맷 탱스턴(Matt Thanxton)은 “주목해야 할 건 폰드락커가 셸코드로 만들어졌다는 점”이라고 지적한다. “이 때문에 훨씬 복잡하고, 탐지가 힘든 랜섬웨어가 됐습니다. 파워셸로 만들어졌다는 건, 하드디스크에 기록이 잘 되지 않는다는 것이고, 서명된 윈도우 프로세스에 주입되는 식으로 시스템에 침투한다는 뜻이기 때문입니다.”
셸코드는 이른 바 ‘파일레스 멀웨어’라고 불리는 악성 코드를 만드는 데 사용되는 재료 중 하나다. 그러나 폰드락커가 ‘파일레스’에 분류되기엔 부족하다고 탱스턴은 설명한다. 가짜 avi 파일에서 로딩이 되기 때문이다.
셸코드를 공격에 사용할 경우 탐지망을 회피할 수 있다는 커다란 장점이 있지만, 주로 추가 멀웨어를 다운로드 하는 ‘다운로더’형 멀웨어에서만 주로 활용이 되어 왔었다. 파워셸을 사용해 멀웨어 그 자체를 만드는 것이 꽤나 복잡하고 어려운 일이기 때문이다. “랜섬웨어의 주요 페이로드 전체가 파워셸로 되어 있는 건 처음 보는 일입니다.”
탱스턴은 “왜 공격자들이 굳이 이렇게 어려운 길을 택했는지 확실하게 알 수 없다”고 말한다. “탐지하기 어려운 파워셸 다운로더를 침투시켜 추가로 페이로드를 설치하는 것도 꽤나 훌륭한 공격인데, 아예 본 페이로드까지 파워셸로 만들었다는 건, 공격자들이 탐지되는 걸 끔찍하게 싫어한다는 걸 짐작케 합니다. 혹은 이전에 없던 멀웨어를 만들고자 하는 열망이 강한 자들이 배후에 있을 가능성도 있습니다.”
폰드락커의 또 다른 특징이라면, “이미 공개된 강력한 암호화 기술을 놔두고 공격자가 직접 수정한 커스텀 암호화 알고리즘이 사용되었다는 것”이다. 게다가 위에 언급했다시피 이 알고리즘은 기존 알고리즘들보다 약한 편에 속한다. “왜 굳이 어려운 길을 택해 약한 알고리즘을 삽입했는지 알 수가 없습니다.”
이 알고리즘이 얼마나 약한지, 보안 업체 엠시소프트(Emsisoft)는 이미 지난 주 폰드락커를 무력화 시키는 방법을 개발해 발표했다. 엠시소프트 측은 “현재 꽤 많은 기업과 정부 기관들이 폰드락커에 당했으며, 범인들은 피해자들에게 50만 달러 정도를 요구하는 상황”이라고 설명한다. 또한 여러 가지 버전이 있어 복구가 쉽지 않다고 한다. “그래서 저희의 디크립터를 사용하기 전에 약간의 커스터마이징을 거쳐야 합니다.”
엠시소프트는 여기(https://blog.emsisoft.com/en/35879/pwndlocker-ransomware-decryption-now-available/)서 디크립터를 배포하고 있다. 하지만 먼저 엠시소프트 측에 랜섬웨어 실행파일을 보내야만 커스터마이징이 가능하다.
3줄 요약
1. 처음부터 끝까지 셸코드로 만들어진 랜섬웨어 발견됨.
2. 이 랜섬웨어의 이름은 폰드락커로, 암호화 알고리즘도 공격자들이 직접 만듦.
3. 엠시소프트에서 디크립터를 개발했지만, 사용 전에 커스터마이징이 필요함.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
------------------------------------------
셸코드로 만든 랜섬웨어는 탐지가 매우 어렵다고 본문에서 나왔다. 그런데 왜 자신들만의 독자 알고리즘으로 암호화를 하였는지가 의문이다. 말 그대로 돈이 목적이 아닌, 실력 과시를 위한 랜섬웨어일지도 모르겠다. 이런 사례가 생겼으니, 인터넷에서 단순 실행파일을 다운받는 것을 극도록 주의해야 할 것이다.