보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어

입력 : 2022-07-12 16:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
플래시 업데이트로 위장했던 각종 멀웨어들이, 플래시가 사라지고 나서 다른 탈 것을 찾기 시작했다. 그리고 현재에는 구글과 마이크로소프트의 소프트웨어 업데이트가 멀웨어 유포에 활용되는 추세다. 그 트렌드에 맞는 랜섬웨어도 하나 새롭게 등장했다.

[보안뉴스 문가용 기자] 점점 더 많은 위협 행위자들이 가짜 마이크로소프트와 구글 소프트웨어 업데이트를 활용해 멀웨어를 퍼트리고 있다. 이런 멀웨어들 가운데 최근 하바나크립트(HavanaCrypt)라는 랜섬웨어가 눈에 띈다. 보안 업체 트렌드마이크로(Trend Micro)에 의하면 하바나크립트는 구글 소프트웨어 업데이트(Google Software Update) 애플리케이션으로 위장되어 있다고 하며, C&C 서버는 마이크로소프트 웹(Microsoft Web) 호스팅 IP 주소 하나에 호스팅되어 있다고 한다. 랜섬웨어로서는 매우 특이한 경우라고 트렌드마이크로는 밝혔다.

[이미지 = utoimage]


하바나크립트가 전문가들의 관심을 끄는 것은 여러 가지 기능들을 탑재하고 있기 때문이다.
1) 가상 환경인지 아닌지 먼저 확인하는 기능
2) 암호화 단계에서 오픈소스 키 관리 프로그램인 키패스 패스워드 세이프(KeePass Password Safe)의 코드 일부를 사용
3) QueueUserWorkItem이라는 닷넷(.NET) 함수를 활용해 암호화 속도 높이기
하지만 정작 피해자들에게 전달되는 협박 편지는 없어, 트렌드마이크로는 하나바크립트가 현재도 한창 개발되는 중에 있는 멀웨어일 가능성이 높다고 보고 있다.

최근 가짜 윈도 10, 마이크로소프트 익스체인지, 구글 크롬 업데이트로 위장한 랜섬웨어와 멀웨어의 수가 크게 증가하고 있고, 하바나크립트는 그러한 멀웨어들 중 하나다. 지난 5월에는 윈도 10 업데이트를 가장한 랜섬웨어인 마그니버(Magniber)가 출현하기도 했었다. 그보다 전에는 보안 업체 멀웨어바이츠(Malwarebytes)가 마이크로소프트 에지 브라우저 업데이트인 것처럼 보이도록 만들어진 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 발견하기도 했었다.

과거에도 이런 식의 공격 전략이 분명히 존재했었다. 다만 그 때는 대부분 어도비 사의 플래시(Flash)가 거의 대부분 연루됐었다. 플래시 업데이트로 위장된 멀웨어 유포 전략이 수년 동안 유행했던 것을 대부분 기억할 것이다. 이에 어도비는 플래시의 개발을 완전히 종료하기에 이르렀다. 그렇게 플래시가 사라지고, 가짜 소프트웨어 업데이트를 활용한 전략은 잠시 사라진 듯 보였다. 그러더니 곧 각종 브라우저들의 가짜 업데이트가 판치기 시작했다.

가짜 소프트웨어 업데이트를 만든다는 건 공격자들에게 있어 극히 사소한 일이다. 그렇기 때문에 모든 종류의 멀웨어들을 이런 식으로 포장하여 유포하는데, 랜섬웨어, 정보 탈취 멀웨어, 트로이목마 등 종류도 다양하다. 익명을 요구한 인텔471(Intel471)의 한 분석가는 “업데이트 파일로 멀웨어를 위장시키면 IT 분야에 익숙하지 못한 사용자들이 속기 쉽다”고 말한다. “하지만 보안 전문가들이나 분석가들은 이런 수법에 잘 넘어가지 않습니다.”

보안 전문가들은 오랜 시간 각종 멀웨어의 공격을 막기 위해 다계층의 방어 체계를 구축해야 한다고 강조해 왔다. 여기에는 주로 다음과 같은 것들이 포함된다.
1) 엔드포인트 탐지 및 대응 시스템
2) 사용자들의 행동 패턴 모니터링 기능
3) 망분리를 통한 횡적 움직임 제한
4) 데이터 암호화(디스크 암호화)
5) 아이덴티티 및 접근 제어(다중인증 등)

사이버 공격자들이 최근 들어 여러 기업과 기관들을 노린다고는 하지만 아직 일반 개인들도 적극적으로 공격한다. 때문에 위와 같은 다층 방어 체계는 물론 사용자를 대상으로 한 교육도 계속해서 이어져야 한다. 특히 각종 피싱 및 소셜엔지니어링 전략에 대해서는 여러 모로 반복 교육이 필요하다. 소프트웨어 업데이트로 위장된 멀웨어 공격 역시 사용자들에게 알려주는 것이 마땅하다.

하바나크립트, 어떻게 공격을 성공시키나
하바나크립트는 닷넷 기반 멀웨어로, 옵퓨스카(Obfuscar)라는 오픈소스 도구를 사용해 코드를 숨긴다. 피해자의 시스템에 설치된 직후에는 제일 먼저 구글업데이트(GoogleUpdate)라는 레지스트리가 시스템 내에 존재하는지를 확인한다. 그리고 그러한 레지스트리가 없을 때에만 악성 기능을 발휘한다.

그 다음은 자신들이 심긴 시스템이 가상 환경이 아닌 것을 확인하기 위해 4단계의 절차를 거친다.
1) 먼저는 VM웨어 툴즈(VMWare Tools)와 가상기계에서 흔히들 사용하는 vm마우스와 같은 요소들이 있는지 확인한다.
2) 그 다음은 가상 장비들과 관련이 있다고 알려진 파일들이 있는지 확인한다.
3) 그 다음은 가상 환경에서 자주 사용되는 파일 이름 문자열이 존재하는지 확인한다.
4) 마지막으로 감염된 시스템의 맥 주소와 고유 식별자 프리픽스(주로 가상기계 환경에서 사용되는 것)를 비교한다. 
이 중 하나라도 걸려서 가상 환경이 의심된다면 모든 기능을 종료시킨다.

가상 환경이 의심되지 않는 상황에서라면 하바나크립트는 곧바로 기능을 발휘하는데, 제일 먼저는 C&C 서버에서 배치 파일을 가져와 실행시킨다. 이 C&C 서버는 정상적인 마이크로소프트 웹(Microsoft Web) 호스팅 서비스에 호스팅되어 있다. 배치 파일에는 윈도 디펜더를 설정하는 명령어들이 포함되어 있다. 그 외에도 수많은 프로세스들을 중단시키는 명령어들도 포함되어 있다. 이 명령어들은 SQL과 MySQL과도 관련이 되어 있다.

다음 단계에서 하바나크립트는 감염시킨 시스템으로부터 셰도우 복사본들을 삭제하고, 데이터 복구 기능을 없애고, 시스템 정보를 모은다. 그 다음 QuereUserWorkItem이라는 함수와 코드를 키패스 패스워드 세이프(KeePass Password Safe)로부터 가져와 암호화를 실시한다. QuereUserWorkItem은 스레드 풀을 만들 때 사용되는 표준 기술이라고 인텔471은 설명한다. “스레드 풀을 활용하면 파일 암호화 속도가 높아집니다.”

보안 업체 넷엔리치(Netenrich)의 수석 연구원인 존 밤베넥(John Bambenek)은 “공격자들이 마이크로소프트의 호스팅 서비스를 사용해 C&C 서버를 마련했다는 것을 보면, 공격자들 사이에서 정상 서비스를 활용해 자신들의 악성 행위를 감추려 하는 시도가 전반적으로 유행한다는 것이 확인된다”고 설명한다. “그 유행 때문에 오늘 날 클라우드 환경에 얼마나 많은 악성 요소들이 숨어 있는지 모르겠습니다. 전부 아마존, 구글, 마이크로소프트와 같은 이름 뒤에 숨은 것들이죠. 이 때문에 이전까지 보안 방어막 중 하나였던 화이트리스팅이 무용지물이 되고 있습니다.”

3줄 요약
1. 최근 공격자들, 구글과 MS의 소프트웨어 업데이트를 가장하여 멀웨어 유포.
2. 그런 멀웨어들 중에 하바나크립트라는 랜섬웨어가 눈에 띔.
3. 아직 개발 중인 것으로 보이는 하바나크립트는 다채로운 기능을 가지고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)