안티 머신 러닝 기능에, 다른 멀웨어 흉내 내는 랜섬웨어

머신 러닝도 우회하는 기능 가진 새로운 랜섬웨어, 록키 흉내 내
프랑스 중심으로 한 유럽 국가 노려...협박문은 영어, 불어, 한글, 이탈리아어

[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)의 전문가들이 록키(Locky)를 흉내 내는 랜섬웨어를 발견했다. 프랑스를 중심으로 유럽에서 스팸 이메일 형태로 퍼지고 있는 중이라고 한다.

[이미지 = iclickart]

이 랜섬웨어에는 파이록키(PyLocky)라는 이름이 붙었다. 돈을 요구하는 협박 편지는 영어, 불어, 한국어, 이탈리아어로 작성되어 있으며, ‘안티 머신 러닝’ 기능을 탑재하고 있어 탐지와 분석이 굉장히 어렵다고 한다. 특히 정적 분석 모델을 기반으로 한 보안 시스템으로서는 대처가 힘들다.

또한 파이록키는 침투한 시스템의 가시적인 메모리 크기가 4GB 미만일 경우 999999초 혹은 11.5일 정도를 슬립모드인 상태로 유지한다. 피해자의 파일들이 암호화가 된 후에는 암호화 키를 생성하고, C&C 서버와의 통신 채널을 마련한다.

트렌드 마이크로는 블로그 포스트를 통해 파이록키에 대해 이렇게 설명하고 있다. “파이록키는 관리자들에게만 허용이 된 정상 관리 툴을 남용하면서 침투하는데, 이는 심층적인 방어가 얼마나 중요한지를 다시 한 번 증명합니다. 또한 머신 러닝이 보안에 상당한 도움을 줄 것이지만, 만능 치료제가 아니라는 것도 파이록키를 통해 드러났습니다.”

파이록키는 마치 록키인 것처럼 스스로를 위장한다. 록키 외에도 이전에 악명을 떨쳤던 랜섬웨어의 이름을 빌려오기도 한다. 높은 이름값을 통해 피해자들의 공포심을 부추기기 위함이다. 그러나 파이록키는 다른 랜섬웨어와 전혀 관련성이 없으며, 파이선으로 작성되었고, 파이인스톨러(PyInstaller)로 패키징되었다.

트렌드 마이크로는 다량의 악성 이메일을 통해 파이록키가 퍼지고 있는 걸 발견했다. 일반적인 소셜 엔지니어링 기법이 적용된 이메일들로, 제목에 영수증이나 청구서 등의 단어가 포함되어 있고, 사용자들이 URL을 클릭하도록 유도하고 있었다. 물론 이 URL은 악성으로, 파이록키를 포함하고 있는 페이지로 연결된다.

“보다 구체적으로 말하면 이 URL을 클릭하면 집 파일이 하나 다운로드 됩니다. 이 집 파일은 랜섬웨어 일부 요소가 숨겨져 있으며, 사용자 시스템에서 이미지, 영상, 문서, 소리, 프로그램, 게임, 데이터베이스, 압축파일 등을 암호화시킵니다.”

파이록키는 특정 파일 확장자들을 암호화 하도록 설계되어 있다. 이 확장자의 목록은 랜섬웨어 바이너리 내에 하드코딩 되어 있다. 또한 윈도우 관리자 도구(WMI)를 어뷰징 해서 해당 시스템의 환경설정도 확인할 수 있도록 되어 있다.

3줄 요약
1. 록키 등 여러 유명 랜섬웨어 흉내 내는 랜섬웨어 등장. 이름은 파이록키.
2. 스팸 이메일을 통해 유럽 등지에서 퍼지고 있음.
3. 윈도우 관리자 도구(WMI)를 남용하기도 하고, 머신 러닝을 우회하는 기능도 탑재하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)