Home > 전체기사
새로운 키로거, 초보 범죄자들에게 절찬리 판매 중
  |  입력 : 2016-09-21 10:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
난독화 및 가짜 인증서 서명으로 탐지 솔루션 우회
소프트웨어 라이선스 키도 훔쳐... 암시장에서 패키지로 거래돼


[보안뉴스 문가용] 보안 전문업체인 지스케일러(Zscaler)가 새로운 키로깅 멀웨어를 발견했다고 ‘유의하라’는 권고문을 발송했다. 감염된 컴퓨터에서 이뤄지는 모든 키스트로크를 캡처할 수 있고, 다른 여러 가지 ‘감시’ 기능을 수행할 수 있는 멀웨어라고 한다. 여기에는 암호 탈취, 스크린샷 캡처, 클립보드 및 웹캠 모니터링 등이 포함된다. 이 멀웨어의 이름은 아이스파이(iSpy)다.

▲ 이제는 나도 (암)시장 분석가!


아이스파이는 커스터마이징도 가능하다고 한다. 피해자의 시스템에 따라 키스트로크 기록을 통해 암호는 물론이거니와 MS 오피스나 포토샵 같은 제품의 라이선스 번호도 훔치는 게 가능해진다. 여기에 더해 사용자 이름, 윈도우 버전, 설치되어 있는 백신 소프트웨어, 브라우저 버전, 방화벽 정보도 세세하게 수집, 파악할 수 있다. 그런 다음 FTP, SMTP, HTTP 프로토콜 등을 사용해 원격에 있는 C&C 컴퓨터로 이를 전송한다.

다른 여러 멀웨어 툴들과 마찬가지로 아이스파이는 스팸 이메일에 붙은 악성 첨부파일의 형태로 퍼지고 있다. 기존 솔루션 및 안티멀웨어 툴들로는 탐지가 힘들게 하는 각종 기능들을 가지고 있기도 하다. 암호화된 페이로드 자체는 .Net, 비주얼 베이직 6.0, AutoIT 등으로 작성된 패커로 압축되어 있다고 지스케일러는 설명하고 있다.

멀웨어도 그렇지만 이 패커 자체도 매우 교묘하다. 지스케일러가 분석한 패커에는 난독화 처리가 된 좀비 코드가 있어 멀웨어 분석에 시간이 더 소모되게끔 되어 있었다. 또 디지털 인증서로 서명이 된 패커도 발견되었다. “저희가 분석한 샘플만 해도 이런 탐지 우회 기능이 있었으니, 다른 아이스파이들에는 더 많은 기능들이 탑재되어 있을 가능성이 높습니다.”

키로깅을 통해 웹 브라우저를 감시하면서 각종 인터넷 서비스의 사용자 크리덴셜을 훔치는 건 아이스파이나 기존의 키로깅 멀웨어나 비슷하다. 하지만 아이스파이는 여기에 한 발 더 나아갔다. “특정 애플리케이션 설치에 필요한 사용자 라이선스 번호를 훔쳐내는 기능을 가지고 있습니다. MS 오피스나 어도비 포토샵 같은 제품들 말이죠.”

바로 여기에 멀웨어 제작자들의 의도가 숨어있는 듯 하다고 지스케일러는 분석하고 있다. “개인정보와 사용자 크리덴셜도 비싸게 팔 수 있지만 제품의 라이선스 번호 역시 이미 오래전부터 암암리에 거래되던 품목 중 하나죠.”

현재 아이스파이 멀웨어는 암시장에서 판매되고 있다. 한 번에 멀웨어를 통째로 구입하는 게 아니라 여러 버전과 옵션이 붙어 정액제로 구입이 가능하다. 가장 싼 건 브론즈 패키지(Bronze Package)로 약 25달러며, 멀웨어를 한 달 동안 사용하는 게 가능하다. 구매 후 AS는 무료이며 결제 즉시 활성화된다고 한다.

그 밖에 스몰 비즈니스(Small Business) 패키지도 있다. 35달러의 가격으로 약 6개월 간 사용할 수 있다. 가장 거래가 활발히 이루어지고 있는 건 45달러짜리 패키지로 이는 1년간 지속되는 사용권이다. 업데이트 및 AS는 당연히 정액제가 유효한 기간 동안 무료다.

“금전적인 이득을 위해 키로깅을 사용하는 사이버 범죄 행위가 조금씩 늘어나고 있습니다. 아이스파이는 여러 가지 기능을 가지고 있으면서도 사용이 쉽고 가격도 그리 높지 않은 편이라 이런 시장의 분위기에 정확히 치고 들어온 느낌입니다. 멀웨어 제작자들이 점점 직접 공격보다 암시장의 분위기를 읽고, 그에 대한 제품을 만들어내는 쪽으로 돌아서고 있는 듯도 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)