신종 트로이목마, 넷상에서 고삐풀린 채 날뛰어

이 트로이목마의 이름은 판데미야(Pandemiya)이며 그 기능과 성능은 기존의 트로이목마 멀웨어들과 크게 다르지 않다. 다만 코드 주입 방법과 코드 주입 후 침투한 기계 안에서 하는 행위들은 크게 차별화되어 있다. 판데미야의 제작자들은 암시장 사용자들이 선택한 플러그인 애드온에 따라 적게는 1,500달러에서 2,000달러까지 값을 요구하고 있는 것으로 알려졌다.

“굉장히 재미있는 사실은 판데미야의 코딩이 완전히 백지에서부터 시작됐다는 겁니다. 정말 희귀한 작업 방식이죠. 사실 트로이목마 대부분은 기존의 소스코드들을 약간씩 고치는 방식으로 만들거든요.” RSA 연구센터의 사이버범죄 연구실장인 유리 플레이더(Uri Fleyder) 씨의 말이다.

연구원들이 밝힌 바에 의하면 판데미야는 1년의 코딩 기간을 거친 프로그램으로 C 언어로 만들어졌고 2만 5천 줄의 고유 코딩으로 이루어져 있다. 판데미야와 제우스 변종과의 가장 큰 차이점은 주입 방식에 있다. “코더가 누구인지 몰라도 굉장히 신기한 방법으로 코드를 기기에 침투시키는 데 성공했습니다. 컴퓨터에서 새로운 프로세스가 시작될 때마다 침투하더군요. 이런 류의 공격에 있어서는 절대 흔한 방식이 아닙니다.”

판데미야는 모든 프로세스가 CreateProcess API를 통과하도록 강제하고 모든 DLL을 레지스트리 키 아래에 로딩시키는 윈도우의 함수방식을 악용하는 원리로 작동한다.

“이렇게 함으로써 판데미야는 한 번 침투한 컴퓨터에서 새로운 프로세스가 시작될 때마다 그 프로세스 안으로 침투하기를 반복할 수 있게 됩니다. 현재 사용되고 있는 엔드포인트 위주의 보안 솔루션들로는 판데미야를 잡아내기가 불가능할 것으로 보입니다. 전혀 새로운 행동방식을 보이고 있기 때문입니다. 판데미야를 잡으려면 새로운 패턴과 신호들을 파악한 후에 반영해야 합니다. 엔드포인트 솔루션들로서는 굉장히 힘든 방식이죠.”

또한 판데미야는 시스템에 계속해서 붙어있기 위해 새롭게 열리는 프로세스에 침투를 감행할 때마다 Explorer.exe 파일도 같이 침투시킨다. 이렇게 끈질긴 판데미야를 시스템에서 제거하려면 Regedit과 같은 툴을 활용해 레지스트리로부터 말끔하게 지워야 한다.

그렇다면 이렇게까지 새로운 방식으로 침투하는 목적은 무엇일까? 그건 여타 금융 관련 멀웨어와 크게 다르지 않다. 로그인 암호 등 중요한 데이터를 훔치는 것이다. 또한 C&C와의 암호화 통신, 네트워크 분석, 안티이베이전 기술 등 멀웨어 감지 프로그램을 회피할 수 있는 기능도 가지고 있다. 게다가 외부 플러그인 DLL도 로딩이 가능해 누구나 최초 판데미야에 새로운 기능을 더할 수 있다.

RSA 측은 이 DLL 기능 확장성 때문에 판데미야가 멀웨어 암시장에서 주력상품이 될 가능성이 크다고 예측했다. RSA 연구원들의 마지막 말이 의미심장하다. “간단하게 DLL 플러그인을 추가함으로써 무수한 변종이 생겨날 수 있습니다. 그렇기 때문에 사용하는 입장에서는 더 적극적으로 사용할 것이고, 방어하는 입장에서는 더 골치가 아파질 것으로 보입니다. 시간이 좀 더 흐르면 더 정확한 추이가 보이겠지요.” 

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>