세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
백신 무력화 시도하는 사이버공격 더욱 거세진다
  |  입력 : 2018-10-12 17:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암호화폐 채굴 위한 악성코드, 국내외 백신 무력화 시도
갠드크랩 랜섬웨어, V3 제품 제거 관련해 공격자들 빠르게 대응


[보안뉴스 김경애 기자] 백신 무력화를 시도하는 공격이 최근 자주 발생하고 있어 이용자들의 각별한 주의가 필요하다. 암호화폐 채굴을 위한 악성코드가 국내외 백신 무력화를 시도했으며, 국내에 유포 중인 갠드크랩(GandCrab) 랜섬웨어 v5.0.2에서는 V3 제품 제거와 관련해 공격자의 악성행위 변화가 빠르게 진행되고 있다.

▲V3 Lite 언인스톨 관련 코드(GandCrab v5.0.3)[이미지=안랩]


지난 11일에는 갠드크랩(Gand Crab) 랜섬웨어의 새로운 버전인 v5.0.3이 유포되는 정황이 포착됐다. 최근 갠드크랩은 V3 제거 등 백신을 무력화하기 위해 빠르게 변화하는 양상을 보이고 있어 랜섬웨어에 감염되지 않도록 세심한 주의를 기울여야 한다.

이번에 발견된 새 버전 갠드크랩 랜섬웨어에 감염되면 변경된 바탕화면에는 v5.0.3 버전이 명시되어 있다. 랜섬노트는 업데이트 된 버전뿐만 아니라 어떤 경우에도 해당 파일을 삭제하지 말라는 경고 문구가 추가돼 있다.

이와 관련 안랩 ASEC 측은 “갠드크랩 v5.0.3이 실행되기 전 V3 Lite에 대해 삭제 행위를 시도하지만, 차단되어 동작하지 못하며 갠드크랩이 실행되더라도 랜섬웨어의 파일 감염 행위 Malware/MDP.Ransom.M1947는 행위기반으로 차단되고 있다”고 밝혔다.

이보다 하루 앞선 지난 10일에는 자바스크립트 형태(*.js)로 국내에 유포 중인 갠드크랩 v5.0.2에서 ‘Uninst.exe -Uninstall’를 이용한 제거와 함께 ‘AhnUn000.tmp -UC’를 통한 2가지 방식이 포착됐다. V3 제품 제거와 관련해 행위 변화가 지속적이고 신속하게 진행되고 있음을 여실히 보여준 셈이다.

[이미지=안랩]


지난 5일에는 국내외 다양한 백신 업데이트를 무력화하는 악성코드가 발견됐다. 바로 암호화폐 채굴 목적의 악성코드에서 실행하는 배치파일(*.bat)에 의해 안랩의 V3 Lite와 Safe Transaction 제품 등 다양한 백신 제품의 업데이트 무력화를 시도하는 형태가 확인됐다.

‘Windows Defender’ 및 ‘윈도우 업데이트 서비스’, ‘백신제품 업데이트 프로세스’를 방화벽 차단 리스트에 등록해 업데이트를 무력화를 시도하는 것이다.

해당 파일 실행 시 V3Lite 제품의 경우 업데이트 오류창이 발생한다. 따라서 정상적인 인터넷 사용이 가능한 환경에서 오류 창이 발생하면 해당 악성코드에 의한 방화벽 차단을 의심해볼 필요가 있다.

이와 관련 안랩 ASEC 측은 “악성코드에 의해 방화벽 차단으로 등록됐는지 여부는 윈도우 버튼 클릭 후 ‘프로그램 및 파일 검색’에서 ‘wf.msc’를 실행해 보여지는 프로그램을 통해 확인할 수 있다”며 “이미 감염돼 증상이 확인된 경우에는 전용백신(Registry Fix Tool)을 통해 방화벽 허용 조치 후, 백신을 업데이트 할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)