Home > 전체기사
가짜 윈도우 업데이트 통해 빠르게 번지고 있는 사이보그 랜섬웨어
  |  입력 : 2019-11-20 15:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이보그 랜섬웨어, 일반적인 살포식 공격 방법으로 퍼져...인당 500달러 요구
서비스형 멀웨어라는 직접적 증거 없지만, 깃허브에 호스팅 된 것 봤을 때 가능성 높아


[보안뉴스 문가용 기자] 가짜 윈도우 업데이트가 퍼지고 있다는 소식이다. 이를 통해 전파되는 건 실제 MS의 윈도우용 업데이트 파일이 아니라 사이보그(Cybort)라는 이름의 랜섬웨어라고 한다. 가짜 업데이트의 출처는 마이크로소프트인 것처럼 위장되어 있으며, “최신 중요 업데이트(lastest critical update)”라는 내용이 덧붙어 있다.

[이미지 = iclickart]


이 캠페인을 발견한 보안 업체 트러스트웨이브(Trustwave)는 “지금 전파되고 있는 파일의 확장자는 .jpg이지만 실제로는 실행파일”이라고 경고했다. 파일의 이름은 그 때 그 때 무작위로 바뀌는 것처럼 보이며, 파일 용량은 28kb 정도라고 한다. 닷넷(.NET)으로 만들어진 악성 다운로더로, 추가 멀웨어를 다시 한 번 다운로드 받는 기능을 가지고 있다.

“이 파일을 받은 사람이 파일을 클릭하면 마지막 페이로드가 깃허브(GitHub)로부터 다운로드 됩니다. 이름은 bitcoingenerator.exe이며, 깃허브의 btcgenerator라는 리포지터리에 저장되어 있는 것으로 나타났습니다. 하지만 실제로는 사이보그 랜섬웨어의 페이로드 입니다.” 트러스트웨이브가 발견한 랜섬웨어 샘플의 경우, 피해자들에게 요구하는 금액이 약 500달러 정도 되는 수준이었다.

이 bitcoingenerator.exe의 진짜 이름은 syborg1finf.exe다. 사이보그 랜섬웨어는 처음 발견된 건 아니지만 그렇다고 대단히 유명한 종류도 아니다. “바이러스토탈(VirusTotal)을 통해 검색해보니, syborg1finf.exe라는 이름으로 된 사이보그 샘플이 세 개 등록되어 있었습니다. 하지만 파일을 암호화 한 후 붙이는 확장자 명은 세 개가 전부 달랐습니다.”

그 말은 누군가 마음먹고 이 랜섬웨어를 계속해서 개조시키고 있다는 뜻이라고 트러스트웨이브는 풀이한다. “빌더가 존재한다는 뜻입니다. 그래서 웹을 검색했더니 정말로 ‘사이보그 빌더 랜섬웨어 1.0 버전 프리뷰’라는 유튜브 영상이 있더군요. 영상에는 링크가 하나 걸려 있었고, 좇아가 보니 사이보그 랜섬웨어 빌더가 깃허브에 호스팅되어 있었습니다. 이번 캠페인에서 발견된 샘플과 흡사한 버전이었습니다.”

현재 랜섬웨어 시장은 두 가지로 나뉘고 있다. 제법 크고 돈이 많은 조직을 겨냥해서 노리는 표적 공격형 랜섬웨어와, 일반 소비자 다수를 대상으로 살포되는 랜섬웨어다. 이번에 발견된 캠페인의 경우 후자에 속한다. 최근 랜섬웨어 공격자들은 전자를 선호한다는 걸 생각해보면 이번 사이보그 랜섬웨어의 출현은 다소 의외라고 볼 수 있다.

또한 서비스형 멀웨어가 해커들 사이에서 크게 유행하고 있다는 것도 다시 한 번 드러났다. “물론 사이보그가 서비스형 랜섬웨어로서 공격자들 사이에 배포되고 있다는 증거는 아직 나오지 않았습니다. 다만 깃허브에 호스팅 되어 있어 누구나 사용할 수 있도록 되어 있다는 것에서 서비스형 멀웨어의 느낌이 물씬 풍깁니다. 공격자 입장에서 배포 전략만 준비하면 사이보그를 언제고 사용할 수 있게 되어 있거든요.”

사이보그는 바이러스토탈에 겨우 세 개의 샘플만 등록되었을 정도로 비교적 새롭게 출현한 편에 속하는 랜섬웨어다. 구글에 검색을 해봐도 제대로 된 정보가 나오지 않는다는 걸 알 수 있다. 랜섬웨어 복호화 키를 무료로 제공하는 노모어랜섬(NoMoreRansom) 웹사이트에도 아직 복호화 도구가 언급되지 않고 있다. 수많은 랜섬웨어처럼 잠시 스쳐갔다가 사라지는 것이 될 수도 있고, 삼삼(SamSam)이나 갠드크랩(GandCrab)처럼 유명세를 떨칠 수도 있다. 빌더가 있을 가능성이 높은 것으로 보아, 후자가 될 가능성이 높다고 트러스트웨이브는 추측한다.

3줄 요약
1. MS에서 온 것처럼 위장된 가짜 최신 업데이트 파일.
2. 사실은 드로퍼 파일로, 깃허브에서 랜섬웨어 가져와 설치함.
3. 사이보그 랜섬웨어, 비교적 새로 나타난 멀웨어. 유행할 것인가 사라질 것인가?

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제