Home > 전체기사
재빠른 진화가 특징이었던 에스로더, 스타스로더로 업그레이드 돼 돌아와
  |  입력 : 2020-01-23 19:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2018년 처음 발견되었던 에스로더...‘공격자들의 잦은 업그레이드가 더 위협적’이라고 평가돼
최근 새로운 분석 방해 기능과 공격 탐지 기능이 추가된 버전 등장...이름은 스타스로더


[보안뉴스 문가용 기자] 악명 높은 에스로더(sLoader) 멀웨어가 업그레이드를 통해 더 강력해졌다고 마이크로소프트가 발표했다. 에스로더는 2018년 5월 처음 발견된 것으로 파워셸을 기반으로 하고 있다. 이번에 발견된 업그레이드 버전의 경우 ‘스타스로드(Starsload)’라는 이름이 붙었으며, 피해자의 시스템에 침투한 뒤 다운로더의 기능을 실시하는 것으로 분석됐다. 공격을 다단계로 실행하는 방식 자체에는 옛 버전과 큰 차이가 없으나 분석 방해 기능과 감염 추이를 모니터링 하는 기능이 새롭게 추가됐다.

[이미지 = iclickart]


마이크로소프트의 디펜더 ATP(Defender ATP) 연구 팀에 있는 수짓 마가(Sujit Magar)는 “에스로더는 여러 단계에 걸쳐 감염을 진행하고, 다형성의 특징을 가지고 있어 탐지가 까다로웠는데, 한 층 더 까다로워진 버전이 등장했다”고 말한다. “멀웨어들 중 배경 첩보 전송 서비스(Background Intelligence Transfer Service, BITS)를 사용해 정보를 빼내는 건 에스로더가 거의 유일했습니다. 심지어 BITS로 C&C와 통신하고 추가 페이로드를 가져오기도 했죠.”

2018년 5월 처음 발견되었을 당시 에스로더는 다양한 페이로드를 퍼트리는 역할을 하고 있었다. 대표적인 것으로는 램닛(Ramnit)과 어즈니프(Ursnif)라는 뱅킹 트로이목마와 굿킷(Gootkit), 다크VNC(DarkVNC), 사이엑스봇(PsiXBot) 등이 있다. 또 지오펜싱 기술까지 활용해 피해자의 위치에 따라 공격의 수위를 달리 하기도 했다.

마가는 “그러한 에스로더의 독특한 특성은 거의 그대로 유지되어 있는 상태”라고 스타스로더에 대해 설명한다. “ZIP이 첨부된 이메일로 첫 공격이 시작되는 것과, 그 이메일이 피해자에 맞게 만들어진다는 것도 똑같습니다. 피해자가 사용하는 언어로 작성된 메일에는, 피해자의 이름과 주소 등까지도 언급되어 있어 주의 깊게 살피지 않으면 악성 메일인 것을 분간할 수가 없습니다.”

다만 에스로더의 경우 첨부파일에는 VB스크립트가 저장되어 있었다. 스타스로더의 경우는 윈도우 스크립트 파일이 사용된다. “이 스크립트 파일은 .jpg 확장자가 붙어 있는 파워셸 스크립트를 다운로드 받습니다.” 그런 후 이 파워셸 스크립트는 윈도우에 있는 BITS를 통해 다양한 작업을 하는데, 대부분 에스로드의 그것과 겹친다. “정보 수집, 시스템 정보의 외부 전송, 추가 페이로드 다운로드 등입니다. 그러나 에스로더에 있던 스크린캡처 기능은 사라졌습니다.”

대신 감염이 어떻게 진행되고 있나 추적할 수 있는 기능이 생겼다. 이 정보는 계속해서 C&C로 전송되며, 공격자들은 이 정보를 통해 공격을 보다 효율적으로 정리할 수 있게 된다. “동시다발적인 공격을 실시하는 자들의 경우, 피해자들의 현황을 집계하고 분류할 필요가 있습니다. 혹은 피해자들의 정체를 분류하고 정돈할 필요가 있을 수도 있고요. 그런 활동을 하기 위해 이러한 기능을 추가한 것으로 추측합니다.”

분석을 방해하는 기능도 새롭게 추가됐다. “특정 조건이 성립할 때 분석가가 잘못된 분석 결과를 얻어내도록 하며, 실제 분석가의 시스템이라는 게 확인되면 파워셸 스크립트가 삭제됩니다.”

2018년 보안 업체 프루프포인트(Proofpoint)는 “에스로더가 계속해서 진화한다는 것에 주목해야 한다”는 보고서를 발표한 바 있다. 발견된 지 얼마 되지 않는 시점인데 벌써부터 공격의 여러 가지 요소들이 바뀌거나 향상되어 있다는 내용이었다. 이번 스타스로더의 발견은 프루프포인트가 경고한 내용이 사실이었음을 증명한다.

MS는 스타스로더에 대해 상세히 분석해 발표했으며, 이는 여기(https://www.microsoft.com/security/blog/2020/01/21/sload-launches-version-2-0-starslord/)서 열람이 가능하다(영문).

3줄 요약
1. 2018년 발견됐던 다운로더인 ‘에스로더’, 업그레이드 된 모습으로 등장.
2. 가장 큰 특징은 분석을 방해하는 기능과 감염 상태 추적하는 기능 덧붙은 것.
3. 앞으로 어떻게 변할까...가 더 우려스러운 멀웨어.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)