Home > 전체기사
망분리 시스템에 있는 정보를 탈취하는 새 멀웨어, 램세이
  |  입력 : 2020-05-15 16:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
일본에서 어느 날 바이러스토탈로 업로드 된 멀웨어...분석해 보니 이전에 없던 샘플
C&C와 통신하지 않고, 여러 드라이브 스캔해 워드 문서 가져가...버전도 여러 개 발견돼


[보안뉴스 문가용 기자] 새로운 사이버 정찰용 프레임워크가 발견됐다. 네트워크와 인터넷으로부터 분리된 시스템에 침투해 민감한 정보를 추출하는 기능을 가지고 있다고 하며, 이름은 램세이(Ramsay)라고 한다. 현재 개발자로 보이는 자들이 계속해서 실험과 계발을 거듭하는 중으로, 조만간 새로운 공격 방법을 해커들에게 제시할 것으로 보인다.

[이미지 = iclickart]


이를 처음 발견한 건 보안 업체 이셋(ESET)이다. 올해 초 램세이를 구성하는 일부 요소를 바이러스토탈(VirusTotal)에서 발견했다고 연구 팀장인 알렉시스 도레존카스(Alexis Dorais-Joncas)가 설명한다. 하지만 이 램세이라는 프레임워크가 공격자들 사이에서 언제부터 활용되어 왔는지는 알 수 없다.

첫 샘플은 일본에서부터 업로드 된 것으로 밝혀졌다. 이를 추적하면서 이셋의 연구원들은 더 많은 구성 요소들과 다른 버전의 램세이를 발견할 수 있었다. 그러면서 아직도 계발이 진행되고 있다는 걸 나타나는 충분한 증거를 찾아내는 데에도 성공했다. “아직 공격자들은 램세이를 배포하는 방식을 미세하게 조정 중에 있는 것으로 보입니다.”

현재까지 램세이에 당한 피해자는 그리 많지 않다고 이셋은 말한다. 이에는 두 가지 이유가 있을 수 있다. 하나는 아직 계발 단계에 있으니 본격적인 공격이 시작되지 않았다는 것이고, 다른 하나는 램세이가 망분리 된 시스템을 노리는 프레임워크이다보니 발견이 쉽지 않았을 거라는 것이다. “망분리 시스템을 노리는 새로운 멀웨어가 등장했다는 건 확실한 사실입니다. 다만 배후 세력에 대해서는 아직 분명하지 않습니다.”

심지어 램세이의 주요 표적도 확실하게 드러나지 않고 있다. 어떤 지역이나 국가를 노리는 건지, 어떤 산업을 노리고 만들어진 건지도 알아낼 수 없었다고 한다. 바이러스토탈의 첫 샘플이 일본에서 업로드 되었다는 건 아무런 힌트도 되지 못했다. “이것이 과거서부터 있어왔던 공격자들의 도구인지 아닌지조차 확실하지 않습니다. 완전히 새롭게 만들어진 어떤 미지의 단체가 만든 것일 가능성도 배제할 수 없고요.”

그렇다면 뭘 알아냈을까? 도레존카스는 “램세이가 정찰용 무기라는 건 확실하다”고 말한다. “인터넷을 통해 C&C 등에 연결되지 않아도 독자적으로 작동할 수 있는 무기입니다. 독자적으로 활동할 수 있다는 건, 망에서 분리된, 대단히 중요한 시스템을 표적으로 했을 가능성이 높다는 뜻이고요. 휴대용 드라이브의 연결 유무, 네트워크 공유 자원 등을 모니터링 하며 최대한 많은 정보를, 장기간 빼갑니다.”

또한 램세이를 구성하는 여러 파트들을 분석했을 때 고도의 정교함과 복잡성이 드러나기도 했다. “예를 들어 훔쳐낼 파일을 발견했을 때, 특정 폴더에 한 번에 저장해두는 게 아니라 파일 시스템 내 여러 곳에 눈에 띄지 않게 퍼트려 놓습니다. 그 정보들을 밖으로 전송하는 작업이 이뤄질 때까지 이런 시스템이 그대로 유지됩니다.”

현재까지 발견된 버전은 총 세 가지다. 핵심 기능은 세 가지 모두 동일하다. 다만 그 기능을 수행하기 위해 마련된 보조 기능들의 복잡성과 수준이 조금씩 차이를 보이고 있다. “세 버전 모두 워드 문서들을 수집한다는 점에서는 동일합니다. 그리고 파일 기반 프로토콜을 사용해 자신이 훔친 파일을 관리한다는 것도 같습니다.”

즉 램세이를 제작한 사람들의 궁극적 목표는 워드 문서들을 훔치는 것이라고 볼 수 있다. 수집된 워드 문건들은 램세이가 지정한 위치에 분산 저장 되는데, 이 위치는 램세이 버전에 따라 다르다. “심지어 버전에 따라 정보를 수집하는 위치도 달라집니다. 로컬 시스템 드라이브에서만 정보를 모으는 버전이 있고, 추가 드라이브를 검색해 워드를 가져오는 버전도 있습니다.” 이셋의 설명이다.

또한 램세이는 다른 멀웨어들과 달리 C&C 통신 프로토콜을 가지고 있지 않다. 원격 호스트에 연결해주는 기능도 없다. 설치되는 순간 네트워크 공유나 드라이브를 스캔해 워드 문서를 찾아낸다. “최근 버전으로 보이는 램세이는 워드만이 아니라 PDF 파일과 ZIP 파일도 검색하더군요.”

이셋의 연구원들이 블로그에 올린 글에 따르면 “램세이가 표적으로 삼는 드라이브와, 램세이의 증식 방식에 관계가 있다”고 한다. “망분리 된 시스템에 도착하려면 어떻게든 자가 증식이 되어야 합니다. 횡적인 움직임이 있어야 한다는 것이죠. 램세이는 문서를 찾기 위해 드라이브들을 스캔하는데, 그러면서 그 드라이브로 스스로를 옮기기도 합니다. 이 역시 램세이가 망분리 된 시스템을 감염시키기 위해 고안됐음을 시사합니다.”

버전들 사이에서 나타나는 가장 큰 차이점은 공격 지속성을 확보하는 기능과 관련이 있다. “예를 들어 두 번째 버전에는 첫 번째 버전에 없던 룻키트 사용 기능이 첨부되어 있습니다. 두 번째 버전은 a 버전과 b 버전으로 나뉘는데, a 버전은 안전한 정상 애플리케이션으로 위장되어 있는 스프레더(spreader)를 포함하고 있습니다. b 버전은 악성 파일을 통해 램세이 에이전트를 드롭하고요. 스프레더는 없습니다.”

이셋 측은 “배후 세력이 다양한 표적을 맞춤형으로 공격하기 위해 여러 가지 버전을 마련하고 있는 것으로 보인다”고 추측한다. “공격 대상에 따라 다른 공격 시나리오를 만들고, 그에 따라 서로 다른 기능을 수행하는 램세이를 제작 중에 있는 것으로 보입니다. 누군지 몰라도 대단히 방대하면서도 고난이도 작업을 하고 있는 겁니다.” 이렇게까지 많은 투자를 할 수 있는 건, 국가의 지원을 받고 있는 해커들로 보는 게 일반적이다. 그러나 이셋 측은 “이 역시 확실하지 않다”고 말했다.

3줄 요약
1. 전혀 새로운 멀웨어, 램세이, 두둥등장!
2. 여러 가지 특징을 봤을 때 망분리 시스템을 공격하기 위한 멀웨어가, 두둥등장!
3. 배후 세력에 대해서는 전혀 알 길이 없지만, 첫 샘플은 일본에서부터, 두둥등장!

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)