세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
두터운 난독화 적용된 멀웨어 제작 툴, 파워스테이저 발견
  |  입력 : 2018-01-16 15:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
파워스테이저, 지난 4월부터 활동했으나 난독화 덕분에 이제 발견
여러 가지 옵션 통해 유연성도 뛰어나...사이버 범죄 더욱 쉬워져


[보안뉴스 문가용 기자] 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 2017년 4월부터 감시망을 피해 사용되어 온 악성 툴을 발견해 발표했다. 이 툴은 탐지를 피해가기 위해 고도화된 난독화 기술을 탑재하고 있었다고 한다.

[이미지 = iclickart]


팔로알토는 이 툴에 파워스테이저(PowerStager)라는 이름을 붙였다. 2017년 12월까지 온갖 해킹 공격에 활용되어 왔다. 파이선 스크립트로 개발됐으며, C 소스코드를 사용한 윈도우용 실행파일을 생성한다. 특히 셸코드 페이로드를 실행하기 위해 파워셸 스크립트를 작동시키는데, 이 과정에서 다양한 난독화 기술을 동원한다.

“파워스테이저는 독특한 난독화 기술을 가지고 있으며 동시에 다양한 환경설정 옵션 덕분에 유연성도 뛰어납니다. 이 ‘다양한 환경설정 옵션’을 통해 x86과 x64 플랫폼을 선택해서 공격할 수 있게 되고, 디폴트 설정보다 더 두터운 난독화 기술을 입힐 수도 있습니다. 오류 메시지도 커스터마이징 할 수 있고, 실행파일 아이콘 역시 유명 소셜 네트워크의 아이콘들 중에 고를 수 있게 해줍니다.”

그뿐만이 아니다. “미터프리터(Meterpreter)라는 툴을 사용할 수 있기도 하고, 그 밖에 여러 셸코드 페이로드를 사용하는 것도 가능하게 해줍니다. 원격에서 페이로드를 가져오게 하거나, 실행파일에 심어두는 것도 간단히 해결해줍니다.”

팔로알토는 파워스테이저를 가지고 악성 실행파일을 직접 만들어 보았다. 그 파일을 분석했을 때 ‘파일 생성에 일정한 규칙이 있음’을 알게 되었다. “파일 내 임베드된 문자열이 모든 실행파일에 공통적으로 존재하고 있었습니다.” 이를 바탕으로 생성되는 실행파일의 종류를 분류했는데, 총 7가지가 나왔다.

2017년 12월, 팔로알토는 502개의 고유한 파워스테이저 샘플을 발견한 바 있다. 이 샘플은 팔로알토가 위에서처럼 만들어낸 것이 아니라, 실제 공격 현장에서 발견된 것들을 말한다. 이 502개의 샘플 대부분 서유럽 국가의 매체와 도매업체를 겨냥하고 있었다. 하지만 일부는 실험용 멀웨어이거나 개념증명용 샘플이었다.

팔로알토는 이번 분석 보고서 말미에 다음과 같은 결론을 내린다. “파워스테이저가 악성 파일 제작용 툴 중 최고의 기술력을 보유하고 있는 건 아닙니다. 하지만 이를 개발한 자가 어떻게든 탐지되지 않으려고 난독화에 집중 투자했기 때문에 독특한 멀웨어가 되어버렸습니다. 현재 파워스테이지를 동적 분석으로 탐지해내기는 어렵습니다.”

게다가 사용자(공격자)를 위한 편의성도 꽤나 놀라운 수준이라고 팔로알토는 설명한다. “다행히 아직까지 사용자가 그리 많지는 않은 것으로 보입니다. 다만 사용량이 꾸준히 증가하고 있는 추세라는 건 확실합니다. 사이버 공격 하는 게 점점 더 쉬워진다는 염려가 진작부터 나왔었는데, 그 말이 점점 가시화되고 있습니다.”

해당 보고서는 여기(https://researchcenter.paloaltonetworks.com/2018/01/unit42-powerstager-analysis/)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)