• >
  • Partner & Business
  • >
  • Community
  • Partner & Business

최근 소식

동훈아이텍은 가치창출을 통한 고객만족과 지속적인 성장을 추구하고 있습니다.

전체소식게시판
한반도에서 탄생한 새니 멀웨어, 업그레이드 돼 부활

한반도에서 탄생한 새니 멀웨어, 업그레이드 돼 부활

 

스피어 피싱 기법으로 멀웨어 전달...다단계 방식으로 감염
2012년에 최초로 발견...한반도가 탄생지로 여겨져

각 정부 기관들을 노리는 새로운 스피어 피싱 캠페인이 발견됐다. 이번 캠페인에서는 새니(Sanny)라는 멀웨어의 새로운 변종이 동원됐다고 한다. 새니는 5년 전부터 활동해 온 정보 탈취형 멀웨어로, 여러 단계를 거쳐 공격자의 서버로부터 로더와 설치 파일을 다운로드 받는다.  

 

[이미지 = iclickart]

 

새니는 한국이나 북한에서 탄생한 것으로 여겨지는데, 이번 버전에서는 윈도우 10 기반 시스템을 감염시키기 위한 것으로 보이는 명령행 우회 기술이 새롭게 장착됐다. 사용자 계정 제어(UAC) 우회 기술 또한 새롭게 발견됐다. 이는 보안업체 파이어아이(FireEye)가 블로그를 통해 발표한 내용이다. 

공격자들은 새로운 버전의 새니를 심기 위해 스피어 피싱 기술을 활용하고 있다. 공격 대상에게 MS 워드 문서가 첨부된 이메일을 보내되, 세계의 지정학적 이슈가 담긴 것처럼 위장하고 있다. 파이어아이가 확보한 샘플 문건은 러시아어로 작성되어 있었으며 유라시아 지역의 문제를 담고 있는 것처럼 보인다고 한다. 또 다른 문건은 영어로 작성되어 있으며 북한의 인도적 지원에 대한 내용이 담겨 있었다. 

하지만 이 두 샘플 모두에는 악성 매크로가 심겨져 있었다. 윈도우의 정상 유틸리티 중 하나인 certutil.exe를 어뷰징하는 기능을 가진 매크로였다. certutil.exe는 명령행 프로그램으로, PEM으로 암호화된 가짜 SSL 인증서의 형태로 URL에 저장되어 있는 윈도우 배치 파일(BAT)을 다운로드해서 복호화시키는 기능을 가지고 있다. 

새니는 certutil.exe 유틸리티의 복사본을 사용한다. 이 복사본은 ct.exe 등 여러 다른 이름으로 저장되어 있는데, 이는 여러 보안 솔루션들을 회피하기 위한 방책으로 보인다. 

파이어아이는 다운로드 되는 BAT 파일을 추가로 분석하고 나섰다. 파이어아이 블로그에 의하면 “BAT 파일은 암호화된 CAB 파일을 다운로드 받되, 이 때 감염시킨 기기의 사양에 따라 파일 이름과 다운로드 방식이 조금씩 달라진다”고 한다. 만약 카스퍼스키 랩의 백신 소프트웨어가 있는 기기라면, 이 멀웨어는 백신 우회 기능을 발동시킨다.

이 CAB 파일은 공격의 나머지 요소들을 설치한다. 그 중 하나인 install.bat 파일은 윈도우 시스템 서비스인 COMSysApp을 하이재킹해 최종 페이로드를 설치한다. 최종 페이로드의 기능은 정보를 훔쳐 FTP 프로토콜을 이용해 C&C 서버로 전송하는 것이다. 또한 환경설정 파일 하나와 두 개의 DLL 파일을 실행해 윈도우 7(환경설정 파일)과 윈도우 10(DLL 파일)에서 UAS를 우회한다.

“최근 새니 개발자들이 UAC를 우회하는 엔드포인트 공격법을 새롭게 익히고, 이를 통해 멀웨어를 업그레이드 하고 있음을 알 수 있습니다. 또한 다단계 감염법을 발동시킴으로써 리버스 엔지니어링과 분석도 어렵게 만들고 있습니다. 이렇게 하면 감염 성공률이 높아지고, 추적 당할 확률이 낮아지기 때문입니다.” 

파이어아이는 새니를 2012년 후반기에 최초로 발견한 바 있다. 당시는 러시아의 단체들을 공격하기 위한 것으로 보였었고, 마찬가지로 스피어 피싱 전략을 통해 배포되고 있었다. 

 

 

 

 

 

 

 

 

 

기사원문:

http://www.boannews.com/media/view.asp?idx=67884&kind=0