세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
랜섬웨어나 비밀번호 탈취 공격 하는 퀀트 로더 확산 중
  |  입력 : 2018-04-12 17:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여러 가지 방법 동원한 자잘한 공격으로 구성된 캠페인
최종 페이로드는 퀀트 로더...스크립트 언어 활용, 현재 대유행


[보안뉴스 문가용 기자] 피싱 및 소셜 엔지니어링, 취약점 익스플로잇과 난독화를 모두 동원한 공격이 최근 급증하고 있다. 이러한 공격들을 통해 퍼지고 있는 트로이목마가 하나 있는데, 바로 퀀트 로더(Quant Loader)라고 한다. 퀀트 로드는 최초 침입 이후 랜섬웨어 공격이나 비밀번호 탈취 공격을 실시한다.


이는 보안 업체 바라쿠다(Barracuda)가 발표한 것으로, 바라쿠다의 보안 전문가들은 지난 달부터 이러한 공격의 사례들을 발견해 추적해왔다고 한다. “퀀트 로더를 심기 위한 공격은 악성 zip 파일을 동반하는데, 이 압축파일 안에는 확장자가 .url인 MS 인터넷 바로가기 파일들이 들어있습니다. 또한 계산서와 관련된 파일들이라고 피해자들을 속이고 있죠. 하지만 해당 파일들을 클릭하는 순간 원격 스크립트 파일에 접근하게 됩니다.”

공격자들이 활용하는 건 CVE-2016-3353 취약점을 익스플로잇하는 개념증명 도구의 변종으로, 자바스크립트 파일 혹은 윈도우 스크립트 파일에 연결된 링크를 포함하고 있다. 또한 엄청나게 난독화 처리되어 있어 추적이나 탐지 모두 쉽지 않다. 하지만 다양한 난독화 기능 및 복잡한 다운로드 절차의 가장 마지막에는 반드시 퀀트 로더가 피해자의 시스템에 들어가도록 되어 있다.

바라쿠다는 제일 처음 굉장히 작은 규모의 캠페인들이 연쇄적으로 일어나는 것을 발견했다고 한다. “캠페인들이 하루 이상을 가지 않았어요. 도메인도 딱 한 개씩만 사용했었고요. 이 도메인들에는 악성 스크립트 파일과 퀀트 로더의 변종이 호스팅 되어 있었습니다.” 제목 외에는 아무 내용이 없는 이메일에 파일이 첨부된 공격 형태가 발견되기도 했다.

보안 업체 재스크(JASK)의 책임자인 로드 소토(Rod Soto)는 “최근 악성 공격들은 스크립트 언어들을 자주 동반하는 모습을 보여주고, 이번에 발견된 퀀트 로더 공격 역시 마찬가지”라고 말한다. “결국 이 스크립트 언어들을 가지고 익스플로잇을 실행하고 감염에 필요한 페이로드를 피해자 기기에서 실행시킴으로서 브라우저의 표준 보호 장치를 우회하는 것이 핵심입니다.”

스크립트 언어들은 일반적으로 운영 체제가 안전한 것으로 받아들인다고 로드 소토는 설명을 잇는다. “그러므로 실제 파일들보다 덜 위험한 것으로 사용자들 사이에서 받아들여지기도 하죠. 또한 악성 여부를 분석하기 위해서는 실제 코드를 깊숙하게 들여다 보기도 해야 합니다. 이런 방식의 공격이 인기를 끄는 이유가 있습니다.”

소토는 “스크립트 언어를 활용한 최근의 공격 유형도 일종의 파일레스 공격이라고 봐야 한다”고 경고하기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)