Home > 전체기사

랜섬웨어와 봇넷의 반갑지 않은 만남, 바이로봇

  |  입력 : 2018-09-24 09:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
각종 파일 암호화시킨 후 불어로 된 협박 편지 띄워
그러면서 아웃룩 통해 자신을 각종 시스템들에 퍼트려


[보안뉴스 문가용 기자] 랜섬웨어와 봇넷을 합친 새로운 멀웨어가 보안 업체 트렌드 마이크로(Trend Micro)에 의해 발견됐다. 이름은 바이로봇(Virobot)으로, 시스템에 침투해 파일들을 암호화시킬뿐만 아니라, 그 시스템을 봇넷에 편입시켜 바이로봇을 퍼트리기도 한다.

[이미지 = iclickart]


바이로봇은 2018년 9월 17일에 처음 발견된 것으로, 기기에 침투한 이후 특정 레지스트리 키들이 있는지부터 확인함으로써 암호화를 해야 하는지 아닌지를 결정한다.

랜섬웨어는 난수 발생기를 사용해 암호화 키 및 복호화 키를 생성한다. 이 암호화 및 복호화 키 정보와, 바이로봇이 컴퓨터로부터 모은 다른 데이터는 POST를 통해 C&C 서버로 전송된다.

바이로봇은 다음과 같은 파일들을 표적으로 삼고 암호화를 진행한다.
1) .txt 2) .docx 3) .xlsx, 4) .pptx, 5) .jpg 6) .png, 7) .csv, 8) .sql, 9) .mdb 10) .php 11) .asp 12) .xml 13) .psd 14) .odt 15) html.

암호화 과정이 전부 완료되면 바이로봇은 협박 편지를 화면에 띄워 사용자가 볼 수 있게 만든다. 이 편지는 불어로 작성되어 있지만, 신기하게 주요 감염 지역은 미국이라고 한다.

현재 바이로봇의 서버는 폐쇄된 상태다. 파일을 암호화 하려면 C&C 서버와의 통신이 필요하므로, 지금 당장 바이로봇은 랜섬웨어로서의 기능을 발휘하지는 못한다.

트렌드 마이크로에 의하면 바이로봇에는 키로깅 기능도 있다. 감염된 컴퓨터의 키보드가 눌리는 걸 전부 기록하고, 이걸 C&C 서버로 보내는 것이다. C&C와의 연결이 이뤄지고 나면 또 다른 멀웨어 바이너리를 다운로드 받고, 이를 파웨셸을 활용해 실행하기도 한다.

또한 바이로봇은 감염된 시스템에 설치된 마이크로소프트 아웃룩을 통해 스팸 이메일을 사용자의 연락처 목록에 있는 모든 사람들에게 보내기도 한다. 이 이메일에는 바이로봇의 복사본이나 C&C 서버로부터 추가로 다운로드 된 악성 페이로드가 첨부되어 있다.

트렌드 마이크로는 “바이로봇과 비슷한 복합형 멀웨어가 최근 들어 나타나기 시작했다”며, “이런 멀웨어를 막기 위해서는 여러 층위의 보안 장치와 전략들로 구성된 다단계 방어법을 사용해야 한다”고 강조했다.

3줄 요약
1. 새롭게 발견된 바이로봇 멀웨어, 랜섬웨어와 봇넷의 복합형.
2. C&C 서버와 통신하며 암호화하고, 추가 악성 페이로드 다운로드 받고.
3. 아웃룩 통해 바이로봇 첨부된 악성 메일 보내기도 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)