Home > 전체기사
셸코드로만 만들어진 사상 첫 랜섬웨어 폰드락커 등장
  |  입력 : 2020-03-09 11:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
셸코드를 사용한 멀웨어는 탐지 어렵고 은밀해...주로 다운로더 개발에 사용돼
폰드락커처럼 페이로드 전체가 셸코드인 랜섬웨어는 처음...그 효용성은 의문


[보안뉴스 문가용 기자] 꽤나 독특한 랜섬웨어가 새롭게 등장했다. 이름은 폰드락커(PwndLocker)로, 지난 2월 보안 업체 크립시스 그룹(Crypsis Group)이 고객사에서 발생한 사건을 조사 및 분석하다 발견했다고 한다. 전체가 셸코드로 만들어졌는데, 이는 멀웨어 개발자들이 그리 좋아하는 방식은 아니었던지라, 상당히 의외다.

[이미지 = iclickart]


뿐만 아니라 공격자들이 스스로 만든 커스텀 암호화 알고리즘까지 갖추고 있다. 다행히 이는 강점으로 작용하지는 않고 있다. “이 암호화 알고리즘은 뚫어내는 게 가능하고, 실제 공격을 성공시키기도 했습니다. 하지만 공격자들이 알고리즘 정도는 쉽게 바꿀 수 있어서, 알고리즘을 뚫어냈다고 해도 큰 성과라고 하기는 어렵습니다.”

크립시스 그룹의 수석 컨설턴트인 맷 탱스턴(Matt Thanxton)은 “주목해야 할 건 폰드락커가 셸코드로 만들어졌다는 점”이라고 지적한다. “이 때문에 훨씬 복잡하고, 탐지가 힘든 랜섬웨어가 됐습니다. 파워셸로 만들어졌다는 건, 하드디스크에 기록이 잘 되지 않는다는 것이고, 서명된 윈도우 프로세스에 주입되는 식으로 시스템에 침투한다는 뜻이기 때문입니다.”

셸코드는 이른 바 ‘파일레스 멀웨어’라고 불리는 악성 코드를 만드는 데 사용되는 재료 중 하나다. 그러나 폰드락커가 ‘파일레스’에 분류되기엔 부족하다고 탱스턴은 설명한다. 가짜 avi 파일에서 로딩이 되기 때문이다.

셸코드를 공격에 사용할 경우 탐지망을 회피할 수 있다는 커다란 장점이 있지만, 주로 추가 멀웨어를 다운로드 하는 ‘다운로더’형 멀웨어에서만 주로 활용이 되어 왔었다. 파워셸을 사용해 멀웨어 그 자체를 만드는 것이 꽤나 복잡하고 어려운 일이기 때문이다. “랜섬웨어의 주요 페이로드 전체가 파워셸로 되어 있는 건 처음 보는 일입니다.”

탱스턴은 “왜 공격자들이 굳이 이렇게 어려운 길을 택했는지 확실하게 알 수 없다”고 말한다. “탐지하기 어려운 파워셸 다운로더를 침투시켜 추가로 페이로드를 설치하는 것도 꽤나 훌륭한 공격인데, 아예 본 페이로드까지 파워셸로 만들었다는 건, 공격자들이 탐지되는 걸 끔찍하게 싫어한다는 걸 짐작케 합니다. 혹은 이전에 없던 멀웨어를 만들고자 하는 열망이 강한 자들이 배후에 있을 가능성도 있습니다.”

폰드락커의 또 다른 특징이라면, “이미 공개된 강력한 암호화 기술을 놔두고 공격자가 직접 수정한 커스텀 암호화 알고리즘이 사용되었다는 것”이다. 게다가 위에 언급했다시피 이 알고리즘은 기존 알고리즘들보다 약한 편에 속한다. “왜 굳이 어려운 길을 택해 약한 알고리즘을 삽입했는지 알 수가 없습니다.”

이 알고리즘이 얼마나 약한지, 보안 업체 엠시소프트(Emsisoft)는 이미 지난 주 폰드락커를 무력화 시키는 방법을 개발해 발표했다. 엠시소프트 측은 “현재 꽤 많은 기업과 정부 기관들이 폰드락커에 당했으며, 범인들은 피해자들에게 50만 달러 정도를 요구하는 상황”이라고 설명한다. 또한 여러 가지 버전이 있어 복구가 쉽지 않다고 한다. “그래서 저희의 디크립터를 사용하기 전에 약간의 커스터마이징을 거쳐야 합니다.”

엠시소프트는 여기(https://blog.emsisoft.com/en/35879/pwndlocker-ransomware-decryption-now-available/)서 디크립터를 배포하고 있다. 하지만 먼저 엠시소프트 측에 랜섬웨어 실행파일을 보내야만 커스터마이징이 가능하다.

3줄 요약
1. 처음부터 끝까지 셸코드로 만들어진 랜섬웨어 발견됨.
2. 이 랜섬웨어의 이름은 폰드락커로, 암호화 알고리즘도 공격자들이 직접 만듦.
3. 엠시소프트에서 디크립터를 개발했지만, 사용 전에 커스터마이징이 필요함.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)