인증서 파일로 가장한 DRIDEX(드라이덱스), 해외 온라인뱅킹을 노리다

게시일: 2016-06-08 l 작성자: Trend Micro

2016년 초반까지 활발하게 진행되던 온라인뱅킹 사기 도구인 DRIDEX 공격이 5월에 감소세를 보였습니다. 이러한 감소세로 인해 DRIDEX 공격 활동이 마무리되어 가고 있다고 생각하였습니다. 하지만 2016년 5월 25일, 트렌드마이크로는 DRIDEX를 배포하는 스팸메일의 급증을 확인했습니다. 해당 스팸메일은 미국, 브라질, 중국, 독일, 일본 등의 사용자를 주 타켓으로 공격하였습니다. 이번에 확인된 DRIDEX 스팸메일은 현재까지의 공격과 다른 몇 가지 차이점을 보였습니다. 가짜 ‘인보이스 또는 알림’이라는 일반적인 메일 제목 대신 ‘계정 정보 노출’이라는 문구로 사용자의 두려움을 자극합니다.

그림1. DRIDEX 스팸메일 공격 주요 활동 국가 (2016년 5월 25일)

메일 제목에 변화를 주는 것 이외에도 최근 DRIDEX가 사용하는 새로운 공격 수법도 확인되었습니다. 매크로를 사용하는 것과 더불어 인증서 서비스 관련 커맨드 라인 도구인 Certutil을 활용합니다. 마이크로소프트의 공인 도구인 Certutil은 PFX로 위장하여 Bae 64 인코딩 데이터를 디코딩할 수 있습니다. 이처럼 매크로와 Certutil의 두 가지 요소를 결합한 방법으로 DRIDEX를 확산할 경우 탐지가 어렵습니다.

불안감을 자극하다

사이버 범죄자들이 이번 스팸메일 공격에 어떤 수법을 사용하는지 살펴보겠습니다. 스팸메일의 원 제목은 “Account Compromised (계정 정보 노출)”입니다. 본문에는 제3자가 로그온을 시도했다는 내용과 함께 IP주소가 적혀있습니다. 하지만 메일을 잘 읽어보면 중요한 정보가 누락된 것을 알 수 있습니다. 바로 해킹된 계정이 메일 계정인, 은행 계정인지, 소셜미디어 계정인지, 즉 어떤 유형의 계정 정보가 노출되었는지 안내하지 않는다는 것입니다. 일반적인 계정 노출 알림 메일의 경우, 제3자가 로그온을 시도한 계정이 어떤 유형인지 적혀있기 마련입니다.

사용자들은 불안감에 메일에 첨부된 ZIP파일을 열어보게 됩니다. 하지만 압축파일을 열어볼 경우 빈 문서가 나타나고, 매크로를 실행할 것을 지시합니다. 물론 매크로를 활성화하면 사용자의 컴퓨터에서 DRIDEX가 활동을 시작합니다.

그림2. 스팸메일 예시

당사의 분석에 따르면 이번 DRIDEX 스팸 공격은 매크로를 이용한다는 점 그리고 동일한 이메일 탬플릿을 이용한다는 점에서 로키 랜섬웨어와 유사성을 확인할 수 있습니다.

Certutil의 이용

스팸메일을 통한 랜섬웨어의 공격이 급증하는 상황에서 DRIDEX 공격이 크게 위협적이지 않다고 생각할 수 있습니다. 그러나 Certutil 및 전자 인증서의 공개 키와 개인 키를 저장하는 데 사용되는 파일 형식인 Personal Information Exchange(확장자 .PFX)을 이용하는 DRIDEX의 새로운 기법으로 인해 DRIDEX가 온라인뱅킹 위협의 선두자리로 오를 수 있을 것입니다.

이번 DRIDEX 스팸 활동에는 약간의 변화도 발견할 수 있습니다. 사용자가 첨부된 ZIP 파일을 열어 Word 파일을 실행하면, 확장자 .PFX 파일이 생성됩니다. 하지만 해당 파일만으로 악성코드가 컴퓨터에서 실행되는 것은 아닙니다. 이 부분에서 Certutil이 등장합니다. Base 64 텍스트 파일을 디코딩하여 .PFX 파일을 .EXE 파일로 변환합니다. 이렇게 최종적으로 실행 가능한 .EXE 파일이 생성되면 DRIDEX 활동이 시작됩니다.

아마 사이버 범죄자가 컴퓨터 감염에 이와 같은 추가적인 단계를 만들어 놓았는지 의문을 가질 수도 있습니다. 처음에 생성되는 파일이 PFX 형식이기 댜문에 DRIDEX가 탐지를 회피할 수 있기 때문입니다. PFX 파일과 Certutil을 이용하면 악성 파일을 정규 인증서로 통과시킬 수 있습니다. 감염된 PC에서 악성 파일을 정규 인증서로 인식하게 되면, 이후에는 같은 인증서 또는 악성 파일도 탐지되거나 차단되지 않습니다. 이렇게 DRIDEX를 탐지하고 조치를 취하는 것이 어렵습니다. 이번에 이러한 새로운 기술이 등장하기 이전에도 가상환경(샌드박스) 기술에 의한 탐지를 피하기 위해 매크로를 사용하기도 했습니다. 끊임없는 발전을 통해 DRIDEX는 온라인뱅킹 사기 도구의 위협으로 군림하고 있습니다.

트렌드마이크로의 대책

DRIDEX의 위협으로부터 안전하기 위한 사용자의 노력이 필요합니다. 알 수 없는 출처로부터 도착한 이메일의 첨부파일을 열지 않거나 매크로를 활성화하지 않습니다. “계정 정보 노출”과 같은 제목의 메일을 수신한 경우, 먼저 발신자를 확인해야 합니다. 또한 첨부파일을 여는 등의 활동을 하기 전에 메일 내용을 잘 확인해야 합니다. 특히 기업의 경우, 출처가 명확하지 않은 첨부파일이 포함된 이메일을 차단하는 보안 정책을 시행하는 것도 효과적입니다. 직원들에게 이번과 같은 위협에 대한 정보를 공유하고, 공격 당했을 때 대처 방안에 대한 보안 교육을 권장합니다.

트렌드마이크로의 이메일 보안 제품 Deep Discovery Email Inspector는 악성 첨부파일, 스팸 메일 및 메일에 첨부된 악성 URL을 탐지하여 차단합니다. 엔드포인트 보안제품인 오피스스캔은 악성 파일을 감지하고 악성 URL을 차단하여 위협으로부터 보호하여 DRIDEX로부터 시스템 감염 및 정보 탈취를 방지합니다.

네트워크 보안 제품인 Tipping Point를 사용하는 고객은 다음의 MainlineDV Filter를 통해 위와 같은 위협에서 보호받고 있습니다.

  • 24747: TLS : Malicious SSL Certificate Detected (TSPY_DRIDEX.YVD)

이번 위협에 대한 SHA1 해시 값, URL 및 IP 주소 정보는 여기를 참조하세요.


원문: DRIDEX Poses as Fake Certificate in Latest Spam Run