Home > 전체기사
현재 사이버 범죄자들 사이에서 인기 높아지고 있는 멀웨어, 피닉스
  |  입력 : 2019-11-21 11:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
키로거로 분류되지만 종합 정보 탈취형 멀웨어라고 봐도 무방할 정도의 성능
개발자의 사후 지원도 훌륭한 듯...당분간 여기 저기서 출현할 가능성 높아 보여


[보안뉴스 문가용 기자] 현재 다크웹 암시장에서 새롭게 각광받고 있는 멀웨어가 있다. ‘서비스형 멀웨어(MaaS)’ 형태로 배포되고 있는 키로거 및 정보 탈취형 멀웨어인 피닉스 키로거(Phoenix Keylogger)다. 심상치 않은 속도로 인기가 올라가고 있는 것으로 보인다.

[이미지 = iclickart]


보안 업체 사이버리즌(Cybereason)에 소속된 연구 팀인 녹터너스(Nocturnus)가 발견한 바에 의하면 피닉스는 암시장에서 반짝 주목 받았다가 사라진 알파(Alpha)의 개발자들의 작품이라고 한다. 알파는 피닉스가 시장에 등장하기 직전에 갑자기 자취를 감췄다. “두 멀웨어의 코드가 너무나 비슷합니다. 둘 사이에 연관성이 있는 건 분명합니다.” 녹터너스 측의 설명이다.

그렇다면 피닉스도 반짝했다가 사라질 가능성이 높은 건 아닐까? “MaaS라는 특성상 소비자인 사이버 범죄자들의 반응에 따라 수명이 달라질 겁니다. 그렇다는 건 피닉스 자체의 성능이 얼마나 뛰어난가, 가격은 얼마나 저렴한가, 구매자들에게 주어지는 추가 서비스는 어떤 게 있는가, 광고와 홍보 활동은 어떤 식으로 이뤄지는가 등 많은 요소들을 고려해야 한다는 뜻이 됩니다. 아직 기능성은 더 검증되어야 하지만 그 외 나머지 요소들은 꽤나 경쟁력을 갖춘 것으로 보입니다. 정액제의 시작 단가는 14.99달러로 부담스럽지 않고, 완전 구매 가격이라고 해도 78.99달러이거든요.”

게다가 다크웹 포럼에서의 반응들을 보면, 소비자의 평가도 그리 나쁘지 않아 보인다. 구매 후기들은 대부분 ‘대단히 사용자 친화적’, ‘개발자가 자동화 기술이나 봇을 사용한 게 아니라 직접 지원 서비스를 제공해줘서 좋았다’, ‘지금까지 써본 멀웨어 중 최고’와 같은 내용들로 가득하다. “낮은 비용과 후한 서비스가 제공되는 것 같아 일단은 시장에서 성공할 것으로 보입니다. 물론 자체 기능이 얼마나 좋느냐도 두고봐야 하겠지만요.”

그래서 녹터너스의 연구원들은 피닉스를 유심히 분석했다. “정보를 탈취하는 기능들을 다수 탑재하고 있습니다. 단지 키로깅하는 걸 넘어선, 종합적인 정보 탈취 멀웨어라고 볼 수 있습니다. 클립보드 정보를 훔쳐내고, 화면을 캡쳐하고, 비밀번호를 훔치며, 각종 데이터를 SMTP와 FTP, 텔레그램(Telegram)을 통해 빼돌리기도 하며, 다운로더, 안티 백신, 안티 디버깅, 안티 샌드박스 기능도 가지고 있습니다.”

현재까지 발견된 피닉스 멀웨어의 주력 배포 경로(혹은 감염 경로)는 피싱 이메일이다. RTF 문서나 MS 오피스 문서의 형태로 구성된 악성 파일이 첨부된 메일을 통해 피해자들을 양산하고 있다. 익스플로잇 되는 취약점은 CVE-2017-11882이며, 악의적으로 매크로를 활용하는 사례는 거의 없다고 한다. “하지만 모든 MaaS가 그렇듯, 감염 방법 자체는 구매자들이 선택하는 거라 앞으로 더 다양한 방법이 등장할 것으로 보입니다.”

피해자의 시스템에 무사히 설치가 되었다면 피닉스는 시스템 정보를 먼저 모아서 공격자에게 전송하기 시작한다. 이 과정에서 데이터를 디스크에 기록하는 일은 없고, 메모리 내에서 곧바로 처리한다. 때문에 탐지가 까다롭다. 그 외에도 피닉스 개발자들이 ‘스텔스’ 측면에서 많은 공을 들인 것이 드러나는데, 대부분의 코드 문자열들이 암호화 되어 있고, 메모리 내에서만 복호화 된다는 점이 특히 강조할 만하다. 일루젼(Illusion)이라는 이름으로 활동하고 있는 개발자는 고객들에게 서드파티 크립터를 사용할 것을 권고하기도 한다.

기본적인 시스템 정보가 수집되었다면, 다음으로 피닉스는 현재 환경이 분석 도구나 샌드박스, 하니팟과 같은 ‘적대적인’ 영역인지를 확인한다. 여러 윈도우 관리자 도구들을 무력화시키는 기능도 가지고 있다. “80개 정도의 보안 제품을 비활성화 시킬 수도 있습니다. 이 역시 개발자가 스텔스 모드에 많은 투자를 했다는 걸 보여주는 부분입니다.”

하지만 공격 지속성을 확보하기 위한 기능은 아직까지 발견되지 않고 있다. 보통 정보를 훔치기 위해 만들어진 멀웨어는 공격 시간을 최대한 확보하기 위해 여러 가지 시도를 하기 마련이다. 오랜 시간 시스템에 머물러 있어야 많은 정보를 캐갈 수 있기 때문이다. “개발자들이 추후 업그레이드를 통해 덧붙일 수도 있습니다. 어느 순간 지속성 확보 기능은 반드시 추가될 것이라고 예상합니다. 아직은 시장에 막 등장한 새 제품이기도 하고요.”

정보 탈취라는 행위 자체는 여러 모듈을 통해 발생한다. “민감한 정보를 저장한 레지스트리 키를 스캔하는 모듈이나 특정 파일을 검색하는 모듈 등이 있습니다. 18개의 브라우저, 4개의 이메일 클라이언트(아웃룩, 선더버드, 시멍키, 폭스메일), 파일질라(Filezilla), 피드진(Pidgin)을 침해할 수 있기도 하고요. 이렇게 다양한 곳에서 정보를 수집한 뒤, 주로 이메일, FTP, 텔레그램을 통해 정보를 유출시킵니다. 유출과 관련된 기능은 따로 C&C로부터 전달받는 게 아니라 멀웨어에 미리 탑재되어 있습니다.”

녹터너스의 연구원들은 “2020년이 되면 MaaS 시장이 더 커질 것”으로 보고 있다. “MaaS의 가장 큰 장점은 기술적으로 부족한 자들도 사이버 범죄에 뛰어들 수 있게 해준다는 것입니다. 따라서 수요가 높죠. 이미 하나의 커다란 시장이 된 사이버 범죄는, 시장 원리에 따라 움직일 수밖에 없습니다. 수요가 크면 공급도 늘어나죠. 그러면 경쟁이 심화되고, 그 가운데 MaaS는 기능적으로 향상될 겁니다. 보안 업계의 전망이 그리 좋지만은 않습니다.”

3줄 요약
1. 현재 다크웹 시장에서 피닉스라는 멀웨어가 각광받고 있음.
2. 기능도 나무랄 데 없고, 서비스도 좋은 듯 하며, 가격도 착함.
3. MaaS 시장은 현재 높은 수요와 함께 무럭무럭 자라고 있는 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)