와이어리점퍼, 코인 지갑처럼 위장한 새로운 멀웨어 드로퍼

바이러스토탈에서 낮은 탐지 비율 기록해...제어 흐름과 로우 레벨 코드 추상화 활용
비정상적으로 큰 용량과 실행 시 뜨는 여러 개의 창 등 의심할 요조 많은 것도 사실

[보안뉴스 문가용 기자] 독특한 난독화 기술이 적용된 멀웨어 드로퍼가 최근 새롭게 발견됐다. 이 드로퍼는 가상의 코인 지갑인 것처럼 스스로를 위장하고 있으며, 시스템을 감염시킨 후 넷와이어(Netwire)라는 페이로드를 전파한다고 한다. 이에 대해 보안 업체 어베스트(Avast)가 발견했다.

[이미지 = iclickart]

어베스트는 이 드로퍼에 와이어리점퍼(WiryJMPer)라는 이름을 붙였다. 얼른 보기에는 CD/DVD/블루레이 이미지를 ISO로 변환시켜주는 일반 WinBin2Iso 바이너리처럼 생겼다. 그러나 정상 바이너리보다 용량이 세 배나 크다. 덩치가 큰 .rsrc 요소가 존재하기 때문이다.

와이어리점퍼에는 JMP 명령이 포함되어 있는데, 원래는 윈도우 메시지를 처리하는 데 사용되어야 하지만, 이 경우는 .rsrc 부분으로 건너뛴다. 그 결과 아무런 응답이 없는 WinBin2Iso 창이 잠깐 열리고 ABBC 코인 지갑 창이 열린다. 또한 이 기능은 ‘시작 프로그램’에 등록되어 공격 지속성을 확보하기도 한다.

“하나하나 뜯어보면 새로운 게 없는 기능들이 집합되어 있고, 샌드박스 우회 기능조차 포함되어 있지 않지만, 전체적으로 보면 꽤나 독특한 구성이라고 할 수 있습니다. 제어 흐름 난독화와 로우 레벨 코드 추상화라는 기술을 혼합했기 때문입니다. 그래서 멀웨어의 작동 원리를 분석하는 게 굉장히 지루하고 귀찮은 일이 되었습니다.” 어베스트 분석가들의 설명이다.

첫 번째로 분석했을 때 바이러스토탈(VirusTotal)에서 와이어리점퍼 바이너리가 기록한 탐지 비율은 낮은 편이었다. 추가로 분석을 이어가면서 어베스트는 와이어리점퍼가 맞춤형으로 만든 스택 기반 가상 기계를 RC4 키 스케줄 과정에서 사용하고 있다는 것 또한 발견할 수 있었다고 한다.

한편 WinBin2Iso 바이너리가 .rsrc 요소로 건너뛰고 나서는, 로더가 복호화 되어 메모리로 로딩된다. 이 로더가 그 뒤로 이어지는 감염 프로세스의 대부분을 처리하게 되는데, 이는 다음과 같은 순서로 진행된다.
1) 로더가 ntdll.dll을 메모리에 로드한다.
2) LNK 파일이름이나 RC4 복호화 비밀번호와 같은 보조 데이터를 복호화한다.
3) 넷와이어 멀웨어를 복호화한다.
4) 동시에 미끼 역할을 하게 될 바이너리인 ABBC 코인 지갑을 복호화한다.

넷와이어 멀웨어 역시 메모리에 로딩이 된다. 그 다음 미끼용 바이너리는 디스크에 작성된다. 로더는 원래의 바이너리를 %APPDATA%\abbcdriver.exe에 복사함으로써 공격 지속성을 확보하기도 한다. 시작 프로그램 폴더에 LNK 파일을 만들기도 한다.

다음으로 제어 흐름을 넷와이어로 우회시키기 시작한다. 넷와이어는 와이어넷(Wirenet)으로 알려져 있기도 하다. 넷와이어는 원격 접근 툴로, 2012년 처음 등장했다. 당시는 비밀번호를 훔치는 기능이 주력이었다. 하지만 최근 버전은 시스템 전체를 장악하는 멀웨어로 변모한 상태다.

“와이어리점퍼가 혁신적으로 새로운 멀웨어인 것은 아닙니다. 하지만 여러 방법을 독특하게 구성해 탐지 비율을 낮추는 데는 확실하게 성공했습니다. 지금 차용하고 있는 난독화 기술과 제한된 확산력이 제대로 작용하고 있는 것이죠. 조금 민감한 사용자라면 큰 용량과, 갑자기 사라지는 화면, 전혀 상관없는 제목이 나오는 것에 대해 의심을 해보겠지만, 미끼용 바이너리 때문에 안심할 사용자들도 많은 것으로 보입니다.”

3줄 요약
1. 코인 지갑처럼 생긴 와이어리점퍼 드로퍼가 새롭게 발견됨.
2. 와이어리점퍼는 로더를, 로더는 넷와이어를 차례로 실행시킴.
3. 넷와이어는 시스템 장악을 주력으로 하는 멀웨어.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)