세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
악명 높은 제이랫, 다크웹의 암호화 서비스 받아 ‘훨훨’
  |  입력 : 2018-03-28 15:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
공격자에게 모든 것 가능케 해주는 백도어, 암호화 서비스로 강화
다크웹의 큐립터 서비스, 주기적으로 페이로드 암호화시켜줘


[보안뉴스 문가용 기자] 최근 발견된 제이랫(jRAT) 백도어를 분석했던 보안 업체 트러스트웨이브(Trustwave)는 공격자들이 다크웹에 호스팅 된 크립터 서비스를 사용하고 있다는 걸 발견했다.

[이미지 = iclickart]


먼저 제이랫은 애드윈드(Adwind), 에얼리언스파이(AlienSpy), 프루타스(Frutas), 언리콤(Unrecom), 소크랫(Sockrat) 등의 이름으로도 알려져 있으며, 윈도우를 기반으로 한 원격 접근 트로이목마다. 2013년에서 2016년 사이에 활발히 활동하며 수백만 대의 사용자들을 감염시켰다.

제이랫은 공격자들에게 완벽한 원격 통제권을 넘겨준다. 한번 감염되면 그 기기는 공격자의 것이 되는 것이다. 공격자들은 제이랫을 활용해 키스트로크를 저장하고, 크리덴셜을 빼내며, 스크린샷을 저장하면서 각종 감시 활동을 할 수 있게 된다. 물론 추가 바이너리 실행도 가능하다.

트러스트웨이브는 제이랫에 대해 “유연성이 뛰어난 멀웨어로 공격자가 마음먹은 모든 것을 할 수 있게 해준다”며 “현재 대여 형태로 다크웹에서 판매되고 있으며, 한 달 사용료는 20달러 정도에 불과하다”고 설명한다.

트러스트웨이브는 올해 초부터 제이랫을 추적해왔다. 그러던 와중에 크립터 서비스가 접목되어 있다는 것을 발견한 것이다. “크립터 서비스 때문에 보안 솔루션들이 제이랫을 놓치는 경우가 많아졌고, 그래서 공격자들의 성공률이 올라갔습니다.”

현재 이 제이랫은 악성 이메일을 통해 퍼지고 있다. 이 이메일들은 대부분 영수증이나 견적서 등으로 위장되어 있다고 한다. 그런데 최근 샘플들에 공통적으로 발견되는 난독화 기술이 있었다. 모두 한 개의 토르 도메인에서 JAR 파일을 다운로드 받았던 것으로, 추적 결과 QUAverse라는 곳에서 호스팅 된 서비스와 연결되어 있었다.

QUAverse는 2015년부터 큐랫(QRAT)이라는 서비스형 RAT을 판매하던 곳이다. 더 조사를 시작한 트러스트웨이브는 제이랫 샘플들에서 QUAverse가 제공하는 큐립터(Qrypter) 서비스를 발견할 수 있었다. 큐립터는 서비스형 크립터(Crypter as a Service) 플랫폼으로, JAR 애플리케이션들을 변종으로 만듦으로써 탐지가 불가능하게 만들어준다. 일정 금액을 내면 JAR 파일을 주기적으로 암호화시켜주는 것이다.

“저희가 조사한 바로 큐립터 운영자들은 다양한 백신 제품들을 모니터링하고 분석합니다. 자신들이 약속한 대로 ‘탐지 불가능’함을 지속시키기 위함이죠. 그러다가 한 번이라도 탐지가 되면 파일을 다시 한 번 암호화해서 새로운 변종을 만듭니다. 일정 기간만이라도 탐지가 되지 않도록 만드는 겁니다.”

이렇게, 어둠의 서비스까지 활용한 제이랫이 기기에 올라타 실행되면, 탐지가 되지 않을 자신의 변종을 다시 한 번 다운로드 받는다. 출처는 당연히 큐립터다. 그리고 피해 기기 내 %temp% 폴더에 저장된다. 그러고 나서는 새롭게 암호화된 JAR 파일을 설치 및 실행하기 시작한다.

“제이랫 운영자들은 이메일을 살포하다시피 뿌려댔는데, 이제 탐지의 가능성도 희박하게 낮췄습니다. 다크웹의 산업화가 다시 한 번 주목되는 부분입니다. 서로가 서로의 기술을 보완해 공격의 효율은 높이고 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)