세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
아이스드아이디, 새롭게 등장한 고급 뱅킹 멀웨어
  |  입력 : 2017-11-14 09:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새로운 뱅킹 멀웨어, 기존 유명 멀웨어의 전략 본 따
상당한 실력자 뒤에 있는 듯...동유럽이 근원지로 보여


[이미지 = iclickart]

[보안뉴스 문가용 기자] 새로운 뱅킹 멀웨어가 발견됐다. 기존의 유명 뱅킹 트로이목마인 고지(Gozi), 제우스(Zeus), 드리덱스(Dridex)와 유사하다고 하는데, 코드가 겹치지는 않는다고 한다. 이 멀웨어의 이름은 아이스드아이디(IcedID)로 IBM의 엑스포스 팀에서 발견해 명명했다. IBM 보안 부문의 담당자인 리모 케셈(Limor Kessem)은 “바로 그 이상한 유사성이 문제”라고 말한다.

케셈에 따르면 “새로 등장한 뱅킹 멀웨어치고 기존 멀웨어에 바탕을 두고 있지 않은 경우는 거의 없다”고 한다. “올해 등장한 스카일렉스(Scylex)는 제우스와 흡사했습니다. 최근 나타난 사일런스(Silence)는 카르바낙(Carbanak)과 비슷했고요.” 하지만 9월에 처음 발견된 아이스드아이디는 조금 다르다.

“아이스드아이디는 은행, 지불카드 공급업체, 모바일 서비스 업체, 급여 대상 관리 업체, 웹 메일, 전자거래 사이트 등을 주로 노립니다. 특히 미국과 캐나다에서 기승을 부리고 있죠. 영국의 큰 은행 두 곳 역시 아이스드아이디의 표적이 되고 있습니다.” 여기까지야, 기존 뱅킹 멀웨어와 크게 다르지 않다.

그런데 아이스드아이디는 이모텟(Emotet)이라는 또 다른 트로이목마를 타고 퍼지고 있다. 이모텟은 뱅킹 멀웨어는 아니다. 봇넷을 유지하고 확대시키는 기능을 가지고 있다. 또한 이모텟은 스팸 이메일을 통해 주로 배포되며 악성 매크로가 심긴 업무용 문건 등의 형태로 피해자들을 속인다. 그리고 엔드포인트에 최대한 오랜 기간 머무르며 멀웨어를 계속해서 퍼트린다. 한 마디로 ‘배포’에 최적화된 멀웨어라는 것.

아이스드아이디가 이런 이모텟을 타고 퍼져가고 있다는 건 공격자들이 대기업을 노리고 있다는 뜻이 된다. 케셈은 “이렇게 대규모로 퍼져나가도록 설계된 공격 방식은 국가 간 사이버전에서나 목격되던 것이지, 뱅킹 멀웨어가 이렇게 작동하는 건 흔치 않은 일”이라고 설명한다. “금융권이 아니라 일반 대기업의 네트워크에 어떻게 해서든 침투하려고 할 때 이런 공격 방식이 활용되죠.”

또한 뱅킹 멀웨어가 피해자의 온라인 활동을 감시하는 기능도 독특하다. “아이스드아이디는 로컬 프록시 설정을 조작해서 엔드포인트 단에서 일어나는 통신을 전부 모니터링 합니다. 웹 인젝션 공격과 고급화된 우회 전략을 전부 활용하고 있는데, 이는 드리덱스가 가졌던 특징이기도 합니다.”

아이스드아이디의 우회 공격은 굉장히 교묘하다. 은행의 정상 URL이 주소창에 노출되고 정상적인 SSL 인증서 역시 사용자 눈에 보이도록 했다. 멀웨어는 특정 URL을 표적으로 삼고 기다리고 있다가 나타나면 웹 인젝션 공격을 실시한다. 피해자들은 순식간에 가짜 은행 웹사이트로 우회되고, 아무런 의심 없이 로그인 정보를 입력한다. 이 정보는 공격자들의 서버로 전송된다.

여기서부터 진행되는 세션은 공격자들의 통제 하에 이뤄진다. 공격자들은 소셜 엔지니어링 공격을 통해 다양한 인증 정보를 추가로 얻어낸다. 케셈은 “이러한 고차원적인 공격 방식을 봤을 때, 아마추어 단체의 소행은 아닌 것으로 보인다”고 믿고 있다. “공격 방식이 고급화된 것은 물론 과거 유명 범죄 단체로부터 많은 것들을 부분부분 따온 것으로도 보인다.”

이모텟은 동유럽의 사이버 범죄 단체 사이에서 주로 활용된다. 아이스드아이디의 코드를 분석해보면 러시아어로 보이는 코멘트들이 군데군데 눈에 띈다. 이러한 이유로 케셈은 “아이스드아이디의 근원지가 동유럽인 것으로 보고 있다.” 하지만 기존 유명 뱅킹 멀웨어 제작자들이 새롭게 프로젝트를 시작한 것인지, 새로운 실력자가 나타난 것인지는 확실치 않다.

현재 아이스드아이디는 여러 버전의 윈도우에서 돌아갈 수 있도록 설계되어 있다. 분석 방지 기능은 거의 존재하지 않는다. 하지만 일부 샌드박스 기능을 탐지해 피해가는 기능 정도는 갖추고 있다. 전문가들은 아직 아이스드아이디의 개발이 완료되지 않은 것으로 보고 있다. “앞으로 포렌식 방해 기능이 더 추가될 것을 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)