Home > 전체기사

셸코드로만 만들어진 사상 첫 랜섬웨어 폰드락커 등장

  |  입력 : 2020-03-09 11:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
셸코드를 사용한 멀웨어는 탐지 어렵고 은밀해...주로 다운로더 개발에 사용돼
폰드락커처럼 페이로드 전체가 셸코드인 랜섬웨어는 처음...그 효용성은 의문


[보안뉴스 문가용 기자] 꽤나 독특한 랜섬웨어가 새롭게 등장했다. 이름은 폰드락커(PwndLocker)로, 지난 2월 보안 업체 크립시스 그룹(Crypsis Group)이 고객사에서 발생한 사건을 조사 및 분석하다 발견했다고 한다. 전체가 셸코드로 만들어졌는데, 이는 멀웨어 개발자들이 그리 좋아하는 방식은 아니었던지라, 상당히 의외다.

[이미지 = iclickart]


뿐만 아니라 공격자들이 스스로 만든 커스텀 암호화 알고리즘까지 갖추고 있다. 다행히 이는 강점으로 작용하지는 않고 있다. “이 암호화 알고리즘은 뚫어내는 게 가능하고, 실제 공격을 성공시키기도 했습니다. 하지만 공격자들이 알고리즘 정도는 쉽게 바꿀 수 있어서, 알고리즘을 뚫어냈다고 해도 큰 성과라고 하기는 어렵습니다.”

크립시스 그룹의 수석 컨설턴트인 맷 탱스턴(Matt Thanxton)은 “주목해야 할 건 폰드락커가 셸코드로 만들어졌다는 점”이라고 지적한다. “이 때문에 훨씬 복잡하고, 탐지가 힘든 랜섬웨어가 됐습니다. 파워셸로 만들어졌다는 건, 하드디스크에 기록이 잘 되지 않는다는 것이고, 서명된 윈도우 프로세스에 주입되는 식으로 시스템에 침투한다는 뜻이기 때문입니다.”

셸코드는 이른 바 ‘파일레스 멀웨어’라고 불리는 악성 코드를 만드는 데 사용되는 재료 중 하나다. 그러나 폰드락커가 ‘파일레스’에 분류되기엔 부족하다고 탱스턴은 설명한다. 가짜 avi 파일에서 로딩이 되기 때문이다.

셸코드를 공격에 사용할 경우 탐지망을 회피할 수 있다는 커다란 장점이 있지만, 주로 추가 멀웨어를 다운로드 하는 ‘다운로더’형 멀웨어에서만 주로 활용이 되어 왔었다. 파워셸을 사용해 멀웨어 그 자체를 만드는 것이 꽤나 복잡하고 어려운 일이기 때문이다. “랜섬웨어의 주요 페이로드 전체가 파워셸로 되어 있는 건 처음 보는 일입니다.”

탱스턴은 “왜 공격자들이 굳이 이렇게 어려운 길을 택했는지 확실하게 알 수 없다”고 말한다. “탐지하기 어려운 파워셸 다운로더를 침투시켜 추가로 페이로드를 설치하는 것도 꽤나 훌륭한 공격인데, 아예 본 페이로드까지 파워셸로 만들었다는 건, 공격자들이 탐지되는 걸 끔찍하게 싫어한다는 걸 짐작케 합니다. 혹은 이전에 없던 멀웨어를 만들고자 하는 열망이 강한 자들이 배후에 있을 가능성도 있습니다.”

폰드락커의 또 다른 특징이라면, “이미 공개된 강력한 암호화 기술을 놔두고 공격자가 직접 수정한 커스텀 암호화 알고리즘이 사용되었다는 것”이다. 게다가 위에 언급했다시피 이 알고리즘은 기존 알고리즘들보다 약한 편에 속한다. “왜 굳이 어려운 길을 택해 약한 알고리즘을 삽입했는지 알 수가 없습니다.”

이 알고리즘이 얼마나 약한지, 보안 업체 엠시소프트(Emsisoft)는 이미 지난 주 폰드락커를 무력화 시키는 방법을 개발해 발표했다. 엠시소프트 측은 “현재 꽤 많은 기업과 정부 기관들이 폰드락커에 당했으며, 범인들은 피해자들에게 50만 달러 정도를 요구하는 상황”이라고 설명한다. 또한 여러 가지 버전이 있어 복구가 쉽지 않다고 한다. “그래서 저희의 디크립터를 사용하기 전에 약간의 커스터마이징을 거쳐야 합니다.”

엠시소프트는 여기(https://blog.emsisoft.com/en/35879/pwndlocker-ransomware-decryption-now-available/)서 디크립터를 배포하고 있다. 하지만 먼저 엠시소프트 측에 랜섬웨어 실행파일을 보내야만 커스터마이징이 가능하다.

3줄 요약
1. 처음부터 끝까지 셸코드로 만들어진 랜섬웨어 발견됨.
2. 이 랜섬웨어의 이름은 폰드락커로, 암호화 알고리즘도 공격자들이 직접 만듦.
3. 엠시소프트에서 디크립터를 개발했지만, 사용 전에 커스터마이징이 필요함.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)