세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
안티 머신 러닝 기능에, 다른 멀웨어 흉내 내는 랜섬웨어
  |  입력 : 2018-09-11 11:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
머신 러닝도 우회하는 기능 가진 새로운 랜섬웨어, 록키 흉내 내
프랑스 중심으로 한 유럽 국가 노려...협박문은 영어, 불어, 한글, 이탈리아어


[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)의 전문가들이 록키(Locky)를 흉내 내는 랜섬웨어를 발견했다. 프랑스를 중심으로 유럽에서 스팸 이메일 형태로 퍼지고 있는 중이라고 한다.

[이미지 = iclickart]


이 랜섬웨어에는 파이록키(PyLocky)라는 이름이 붙었다. 돈을 요구하는 협박 편지는 영어, 불어, 한국어, 이탈리아어로 작성되어 있으며, ‘안티 머신 러닝’ 기능을 탑재하고 있어 탐지와 분석이 굉장히 어렵다고 한다. 특히 정적 분석 모델을 기반으로 한 보안 시스템으로서는 대처가 힘들다.

또한 파이록키는 침투한 시스템의 가시적인 메모리 크기가 4GB 미만일 경우 999999초 혹은 11.5일 정도를 슬립모드인 상태로 유지한다. 피해자의 파일들이 암호화가 된 후에는 암호화 키를 생성하고, C&C 서버와의 통신 채널을 마련한다.

트렌드 마이크로는 블로그 포스트를 통해 파이록키에 대해 이렇게 설명하고 있다. “파이록키는 관리자들에게만 허용이 된 정상 관리 툴을 남용하면서 침투하는데, 이는 심층적인 방어가 얼마나 중요한지를 다시 한 번 증명합니다. 또한 머신 러닝이 보안에 상당한 도움을 줄 것이지만, 만능 치료제가 아니라는 것도 파이록키를 통해 드러났습니다.”

파이록키는 마치 록키인 것처럼 스스로를 위장한다. 록키 외에도 이전에 악명을 떨쳤던 랜섬웨어의 이름을 빌려오기도 한다. 높은 이름값을 통해 피해자들의 공포심을 부추기기 위함이다. 그러나 파이록키는 다른 랜섬웨어와 전혀 관련성이 없으며, 파이선으로 작성되었고, 파이인스톨러(PyInstaller)로 패키징되었다.

트렌드 마이크로는 다량의 악성 이메일을 통해 파이록키가 퍼지고 있는 걸 발견했다. 일반적인 소셜 엔지니어링 기법이 적용된 이메일들로, 제목에 영수증이나 청구서 등의 단어가 포함되어 있고, 사용자들이 URL을 클릭하도록 유도하고 있었다. 물론 이 URL은 악성으로, 파이록키를 포함하고 있는 페이지로 연결된다.

“보다 구체적으로 말하면 이 URL을 클릭하면 집 파일이 하나 다운로드 됩니다. 이 집 파일은 랜섬웨어 일부 요소가 숨겨져 있으며, 사용자 시스템에서 이미지, 영상, 문서, 소리, 프로그램, 게임, 데이터베이스, 압축파일 등을 암호화시킵니다.”

파이록키는 특정 파일 확장자들을 암호화 하도록 설계되어 있다. 이 확장자의 목록은 랜섬웨어 바이너리 내에 하드코딩 되어 있다. 또한 윈도우 관리자 도구(WMI)를 어뷰징 해서 해당 시스템의 환경설정도 확인할 수 있도록 되어 있다.

3줄 요약
1. 록키 등 여러 유명 랜섬웨어 흉내 내는 랜섬웨어 등장. 이름은 파이록키.
2. 스팸 이메일을 통해 유럽 등지에서 퍼지고 있음.
3. 윈도우 관리자 도구(WMI)를 남용하기도 하고, 머신 러닝을 우회하는 기능도 탑재하고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)