도움말 파일을 통해 부활한 크립토월

멀웨어를 .chm파일에 삽입하여 전송

[보안뉴스 주소형] 새로운 유형의 스팸이 수백 개의 메일함을 강타했다. 바로 악명 높은 멀웨어, 크립토월(CryptoWall)이다. 받은 메일 가운데 첨부된 .chm파일을 열면 크립토월이 실행된다고 비트디펜더(Bitdefender)의 멀웨어 연구팀이 밝혔다.

이메일 스팸은 전혀 새롭거나 창의적인 발상에서 나온 건 아니지만, 멀웨어를 퍼트리기에 가장 용이한 방법이기는 하다. 멀웨어가 삽입된 .chm파일의 경우 도움말 기능으로 피해자의 컴퓨터에서 자동으로 악성 멀웨어를 실행시키고 컨텐츠를 암호화시킨다.

확장자가 .chm인 파일은 한 마디로 압축된 HTML이다. 대부분의 소프트웨어 애플리케이션에서 F1을 누르면 팝업처럼 실행되는 도움말 코너를 떠올리면 된다. 이 포맷은 HTML 문서, 이미지, 자바 스크립트로 구성되어 있으며 하이퍼링크 된 목차, 인덱스, 텍스트 검색 기능이 구현된다.

도움말 파일이 위험한 이유

.chm 파일의 특징이라고 한다면 기존 문서와는 달리 사용자의 인터랙션이 가능하다는 점을 첫 손에 꼽을 수 있다. 또한 자바스크립트와 같은 여러 기술을 접목시키는 것도 가능하다. 이런 기술을 활용하면 예를 들어 사용자를 외부 URL로 우회시킬 수도 있게 된다. 해커들이 .chm을 주목하게 된건 바로 이런 '기능구현의 가능성' 때문인 듯 하다. 여러 가지 악성 기능을 심을 수 있다는 소리가 되니까.

하지만 다른 한편 사용자 인터랙션이 빈번하게 요구된다는 건 해커들에게 반갑지 않은 요소다. 사용자가 개입하는 빈도수만큼 해킹 행위나 멀웨어가 발견될 가능성이 높아지기 때문이다. 그래서 해커들은 사용자가 파일을 열면 자동으로 악성 페이로드가 실행되도록 만들었다. 사용자 인터랙션을 낮춰 감염 확률을 높인 것이다.

그래서 사용자가 .chm 파일을 실행하면 http://*********/putty.exe,에 있는 악성코드가 다운로드되고 %temp%atmasla2.exe라는 이름으로 저장되면서 멀웨어가 작동된다. 그 과정 중의 명령어는 윈도우에 보여진다.

크립토월은 지난해 정보보안 업계를 떠들썩 하게 했던 크립토락커(CrytoLocker)보다 더 고약하게 발전한 버전의 랜섬웨어로, 마치 도움말 파일과 같이 안전한 실행파일인 것처럼 위장한 채 뒤에서 중요한 파일들을 암호화시켜서, 그것을 풀어주는 대가로 돈을 요구하는 원리를 가지고 있다.

랜섬웨어는 멀웨어 가운데 대응하기 까다로운 편에 속하는 버그다. 특히 내부기밀이나 중요한 정보가 담겨져 있는 파일을 보호해야 하는 보안업체나 담당자들에게는 특히나 치명적으로 작용한다.

지난 2월 18일, 수백 쌍의 커플에게 이메일 폭탄이 발송됐다. 해당 스팸 서버는 베트남, 인도, 호주, 미국, 루마니아, 스페인 등에서 발견됐다. 받는 이의 도메인을 분석해보니 전송 지역도 다양했다. 피해 지역은 미국, 유럽, 호주 등을 포함한 전 세게 이용자들에게 발송한 것으로 파악됐다.

해당 멀웨어는 Trojan.GenericKD.2170937로 비츠디펜더가 발견했다.

크립토월 감염을 막는 법

비츠디펜더 연구원들이 크립토월 감염을 막을 수 있는 방법을 강구했다. 데이터를 외장 드라이브에 옮겨놓는 것도 하나의 방법이지만 여기서 좀 더 방어력을 강화하기 위해서 비츠디펜더가 개발한 것이 크립토월 이뮤나이져(CryptoWall Immunizer)다. 이는 사고를 미연에 방지하는 기능을 갖추고 있다. 이에 따라 비츠디펜더는 사용자들에게 안티바이러스 솔루션과 크립토월 이뮤나이져를 혼합해 사용하기를 적극 권장했다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)