독일 랜섬웨어활동으로 본 악성코드들의 생존 방식

게시일: 2017-1-4 l 작성자: Trend Micro

지난 12월 초에는 독일어 사용자, 특히 인사부 직원들을 표적으로 한 골든아이 랜섬웨어(트렌드마이크로 탐지명, RANSOM_GOLDENEYE.A)가 발견되었습니다. Petya(RANSOM_PETYA)와 Mischa(RANSOM_MISCHA) 랜섬웨어를 결합한 후 이름을 변경한 GoldenEye는 제임스 본드 007 시리즈의 제목을 딴 것이며 기존 랜섬웨어의 공격 벡터도 그대로 따르고 있습니다.

랜섬웨어가 정체기에 접어들고 있는 현 위협 환경에서는 생존을 유지하고 표적을 다양화하는 것이 관건입니다. GoldenEye는 멀웨어 모방을 통해 공격의 범위와 영향력 및 수익을 높이고자 하는 공격자들의 현실을 그대로 반영하고 있습니다.

GoldenEye 외에도 독일에서는 스팸 활동과 Cerber(RANSOM_CERBER), Petya(RANSOM_PETYA) 및 Locky(RANSOM_LOCKY)의 탐지율이 급증하였습니다. 이들 멀웨어의 소셜 낚시글은 독일어로 되어 있지만 위험도와 영향력은 모든 이들에게 동일하게 적용됩니다.

최근 독일에서 발생된 랜섬웨어 사건

Smart Protection Network의 정보에 따르면 2016년 1월부터 11월까지 랜섬웨어가 가장 많이 탐지된 유럽 국가는 독일, 터키, 이태리, 스페인 및 프랑스였습니다.

독일의 경우 랜섬웨어의 3분의 1 가량이 악성 URL에서 발견되었고 감염 벡터의 대부분(63%)을 차지한 것이 스팸 이메일이었습니다. Locky와 관련된 악성 URL은 11월 둘째 주에 700건 이상이 발견되며 최고치를 기록하였습니다. 11월 마지막 주에서 12월 중순까지 우리가 차단하고 감시한 URL들은 50 – 400건에 달했습니다.

Petya나 HDDCryptor와 마찬가지로 GoldenEye도 시스템의 MBR(마스터 부트 레코드)을 덮어 쓰기 할 수 있습니다. 이 랜섬웨어는 취업 지원자들의 서신을 가장한 스팸 이메일을 통해 전파되었으며 이력서로 가장한 PDF 파일과 악성 매크로가 포함된 엑셀 스프레드시트 형태로 전송되었습니다.


그림1. GoldenEye가 유포시킨 XLS 파일이 첨부된 스팸 이메일(우측)과 가짜 PDF 파일(좌측)의 스냅샷

최근 독일에서 발견된 또 다른 캠페인은 잠재 피해자들에게 금품 갈취 공격을 사용했습니다. 공격자는 쾰른의 사이버 수사대에서 발송된 것처럼 보이는 스팸 이메일을 제작하였습니다. 수신인들이 사기 혐의로 고소장이 접수되었으니 첨부파일을 열어보라는 내용이며 이는 Cerber를 모방한 랜섬웨어(RANSOM_HiddenTearCerber.A)를 다운로드하여 실행시키는 악성 매크로가 삽입된 Word® 파일이 포함된 .ZIP 파일(W2KM_CERBER.DLBZY)이었습니다. 이 모방 랜섬웨어는 변형된 멀웨어들이 어떻게 사용자 인터페이스를 모방하고 CryptXXX, Locky 및 Cerber와 같은 멀웨어 패밀리의 악명과 성공을 발판으로 쉽게 수익을 올리고 있는 지를 보여주고 있습니다.

Cerber 모방 멀웨어는 오픈소스 랜섬웨어인 Hidden Tear를 기반으로 제작되며 탐지를 피하기 위해 세 가지 빌드로 제작됩니다. 이는 128개 파일 유형을 암호화하고 감염된 시스템의 볼륨 일련 번호를 조회하며 암호화된 파일에 .cerber 확장자를 첨부합니다.


그림2. Hidden Tear Cerber의 랜섬 메모

Sharik/Smoke Loader

이 외에도 이동통신회사를 가장한 또 다른 캠페인이 확인되었습니다. 이동통신회사의 URL이 포함되어 있는 이 스팸 메일에는 모바일 휴대전화 고지서가 첨부되어 있다고 적혀있습니다. 사용자는 압축된 PDF 첨부파일을 의심 없이 열게 되고 결국 Sharik/Smoke Loader (TROJ_SHARIK.VDA) 트로잔 변종에 감염됩니다.

Sharik/Smoke Loader는 정상적인 프로세스에 자신을 삽입시키고 C&C 서버에 시스템 정보를 전송합니다. 그러면 원격으로 시스템을 제어하여 다른 멀웨어를 다운로드하거나 시스템의 FTP, IM, 이메일 클라이언트 및 웹 브라우저의 자격 증명을 도용하는 악의적 활동을 진행할 수 있습니다.


그림3. Sharik/Smoke Loader가 포함된 스팸 이메일 스냅샷

구형 방식이지만 여전히 만연한 뱅킹 트로잔

상당히 오래된 뱅킹 트로잔이 여전히 활개를 치고 있습니다. 같은 기간 동안 독일에서는 EMOTET (TSPY_EMOTET), DRIDEX (TSPY_DRIDEX) 및 ZeuS/ZBOT (TSPY_ZBOT)의 탐지율도 크게 증가하였습니다. DRIDEX의 활동은 여전히 잠잠했지만 12월 중순에 250여 건의 활성 URL이 탐지되었고 11월에는 EMOTET이 100개 이상의 URL을 사용하였습니다. 2007년부터 진화를 거듭해 온 Zeus/ZBOT은 상당히 많은 활성 URL을 사용하고 있으며 10월부터 12월 중순까지 250개의 URL이 탐지되며 최고치를 기록했습니다.

ZeuS/ZBOT, EMOTET 및 DRIDEX는 구형 멀웨어지만 지금도 널리 이용되며 작업 방식과 소셜 엔지니어링에 다소 차이가 있지만 모두 데이터 도용(로그인 자격 증명 절도)에 주로 사용되었습니다. 이 멀웨어의 배후 공격자들은 피해자의 은행 계좌에서 직접 돈을 빼내가거나 지하 시장에 데이터를 판매합니다.

위험 경감

사용자들은 데이터를 백업해 두거나 불필요한 이메일에 첨부된 파일에 대해 매크로를 비활성화하는 보안 습관을 통해 위험을 경감시킬 수 있습니다. 피싱 사이트/페이지를 방문하거나 의심스러운 이메일에 포함된 링크를 클릭할 때엔 주의를 기울여야 합니다. 공격자들은 이러한 방식으로 사용자들을 속여 부주의하게 개인 정보를 넘기도록 유도하기 때문입니다. 그리고 운영 체제와 소프트웨어 및 어플리케이션을 지속적으로 업데이트하는 행동도 정보 절도 및 데이터 암호화 멀웨어에 시스템이 노출되지 않도록 방지하는데 도움이 됩니다. 온라인 뱅킹 자격 증명을 정기적으로 업데이트함으로써 원격 하이재킹이나 절도 위험을 완화시킬 수 있습니다.

수상한 어플리케이션과 프로세스, 의심스러운 네트워크 활동 그리고 시스템 성능 저하는 IT 관리자가 기업 네트워크 보안 유지 시 반드시 파악해야 하는 적색 경고들입니다. 기업들은 출처가 불분명한 이메일을 차단할 수 있는 관리 정책과 계정 제한을 구현하는 것이 좋습니다.

트렌드마이크로 솔루션

이러한 유형의 위협들이 발생할 때마다 대응하는 방식의 보안으로는 충분치 못합니다. 보안을 위한 전략적 계획과 사전에 대응하는 다계층 방식을 게이트웨이, 엔드포인트, 네트워크서버 전체에 적용시켜야 합니다.

트렌드마이크로 엔드포인트 및 사용자 보안 솔루션Worry-Free 비즈니스 시큐리티와 같은 트렌드마이크로 엔드포인트 솔루션들은 악성 파일과 스팸 메시지를 탐지하고 멀웨어와 관련된 모든 악성 URL을 차단하여 위협들로부터 사용자와 비즈니스를 보호합니다. 트렌드마이크로 Deep Discovery™에는 악성 첨부파일과 URL을 탐지하여 기업을 보호하는 이메일 검사 계층이 포함되어 있습니다.

트렌드마이크로 오피스스캔 XGen 엔드포인트 보안은 랜섬웨어와 지능형 멀웨어를 막기 위한 포괄적인 보호를 위해 하이파이 머신 러닝에 글로벌 위협 인텔리전스 및 다른 탐지 기술을 탑재하였습니다.


원문: Recent Spam Runs in Germany Show How Threats Intend to Stay in the Game