Home > 전체기사
랜섬웨어와 봇넷의 반갑지 않은 만남, 바이로봇
  |  입력 : 2018-09-24 09:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
각종 파일 암호화시킨 후 불어로 된 협박 편지 띄워
그러면서 아웃룩 통해 자신을 각종 시스템들에 퍼트려


[보안뉴스 문가용 기자] 랜섬웨어와 봇넷을 합친 새로운 멀웨어가 보안 업체 트렌드 마이크로(Trend Micro)에 의해 발견됐다. 이름은 바이로봇(Virobot)으로, 시스템에 침투해 파일들을 암호화시킬뿐만 아니라, 그 시스템을 봇넷에 편입시켜 바이로봇을 퍼트리기도 한다.

[이미지 = iclickart]


바이로봇은 2018년 9월 17일에 처음 발견된 것으로, 기기에 침투한 이후 특정 레지스트리 키들이 있는지부터 확인함으로써 암호화를 해야 하는지 아닌지를 결정한다.

랜섬웨어는 난수 발생기를 사용해 암호화 키 및 복호화 키를 생성한다. 이 암호화 및 복호화 키 정보와, 바이로봇이 컴퓨터로부터 모은 다른 데이터는 POST를 통해 C&C 서버로 전송된다.

바이로봇은 다음과 같은 파일들을 표적으로 삼고 암호화를 진행한다.
1) .txt 2) .docx 3) .xlsx, 4) .pptx, 5) .jpg 6) .png, 7) .csv, 8) .sql, 9) .mdb 10) .php 11) .asp 12) .xml 13) .psd 14) .odt 15) html.

암호화 과정이 전부 완료되면 바이로봇은 협박 편지를 화면에 띄워 사용자가 볼 수 있게 만든다. 이 편지는 불어로 작성되어 있지만, 신기하게 주요 감염 지역은 미국이라고 한다.

현재 바이로봇의 서버는 폐쇄된 상태다. 파일을 암호화 하려면 C&C 서버와의 통신이 필요하므로, 지금 당장 바이로봇은 랜섬웨어로서의 기능을 발휘하지는 못한다.

트렌드 마이크로에 의하면 바이로봇에는 키로깅 기능도 있다. 감염된 컴퓨터의 키보드가 눌리는 걸 전부 기록하고, 이걸 C&C 서버로 보내는 것이다. C&C와의 연결이 이뤄지고 나면 또 다른 멀웨어 바이너리를 다운로드 받고, 이를 파웨셸을 활용해 실행하기도 한다.

또한 바이로봇은 감염된 시스템에 설치된 마이크로소프트 아웃룩을 통해 스팸 이메일을 사용자의 연락처 목록에 있는 모든 사람들에게 보내기도 한다. 이 이메일에는 바이로봇의 복사본이나 C&C 서버로부터 추가로 다운로드 된 악성 페이로드가 첨부되어 있다.

트렌드 마이크로는 “바이로봇과 비슷한 복합형 멀웨어가 최근 들어 나타나기 시작했다”며, “이런 멀웨어를 막기 위해서는 여러 층위의 보안 장치와 전략들로 구성된 다단계 방어법을 사용해야 한다”고 강조했다.

3줄 요약
1. 새롭게 발견된 바이로봇 멀웨어, 랜섬웨어와 봇넷의 복합형.
2. C&C 서버와 통신하며 암호화하고, 추가 악성 페이로드 다운로드 받고.
3. 아웃룩 통해 바이로봇 첨부된 악성 메일 보내기도 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)