|
악성코드, ‘이렇게’ 파고든다 AhnLab / 2015-12-30
최근 가장 화두가 되고 있는 악성코드는 단연 ‘랜섬웨어’다. 그러나 랜섬웨어가 올해의 유일한 악성코드도 아니다. 실제로 하루 평균 수십~수백만 개의 악성코드가 유포되고 있으며, 그 중 신•변종 악성코드가 평균 십만 개에 달하는 것으로 알려져 있다. 이 글에서는 랜섬웨어 외에 올 한 해, 우리를 괴롭힌 악성코드 4종을 되짚어 본다.
1. 매크로 악성코드의 부활
한동안 주춤했던 매크로(Macro) 악성코드가 올해 초 다시 증가했다. 2015년 3월 해외 언론을 통해 매크로 악성코드의 재등장이 알려진 이후, 국내에서도 지난 2월 한 달간 150개 이상의 매크로 악성코드가 안랩에 보고되었다. 이는 2014년 한해 동안 발견된 매크로 악성코드 수 보다 많은 수다.
[그림 1] 매크로 악성코드 관련 해외 언론 보도 (2015년 3월)
매크로(Macro)는 사용자가 입력하는 키보드 입력순서를 보관해 두었다가 그대로 실행하는 기능을 의미한다. 하지만 마이크로소프트사의 오피스 프로그램인 워드나 엑셀 같은 애플리케이션의 경우 매크로가 단순히 반복적인 키 입력뿐만 아니라 사용자가 원하는 어떤 행동을 할 수 있는 프로그램 언어처럼 되어있다.
이러한 기능을 이용하는 매크로 악성코드는 1995년 처음 등장한 이후 MS오피스 사용자들을 대상으로 널리 퍼졌다가 2000년 초에 거의 사라졌다. 하지만 지난 2014년부터 다시 조금씩 늘어나는 추세를 보이더니 2015년 초에만 매일 1~2개의 신종 매크로 악성코드가 발견되었다.
[그림 2] 매크로 기능 활성화(On)를 유도하는 악성 파일
[그림 2]는 스팸 메일의 첨부 파일 형태로 유포된 매크로 악성코드로, 사람들의 호기심을 자극하는 사회공학기법과 결합된 형태다.
해당 악성 파일은 본문 내용에 “본 문서는 보안상 모자이크 처리되었으며 문서 상단의 옵션을 클릭하여 매크로 활성화하라”는 영문과 함께 이미지를 모자이크 처리함으로써 사용자의 호기심을 자극하고 있다. 이 문서 파일에 삽입된 매크로 악성코드는 C&C 서버로부터 악성 파일을 추가로 다운로드하여 실행하며, 사용자 시스템 내의 정보를 탈취하는 키로깅을 수행하였다.
이러한 매크로 악성코드에 의한 피해를 최소화하기 위해서는 평소 MS오피스의 매크로 기능을 비활성화 상태로 유지하는 것이 바람직하며, 무엇보다 의심스러운 메일의 첨부 문서는 주의해야 한다.
2. 악성코드는 페이스북이 ‘좋아요(Like)’
SNS의 빠른 정고 공유, 특히 불특정다수가 항상 연결되어 있는 네트워크라는 점을 이용한 악성코드도 증가하고 있다. 대표적으로 유튜브(YouTube)의 성인물 동영상으로 가장한 링크가 첨부된 SNS 게시물을 이용한 사례가 있다.
[그림 3] 페이스북 악성 게시글
사용자가 SNS 게시물의 링크를 클릭하면 성인물 동영상을 재생하기 위해 플래시 플레이어 설치가 필요하다며 가짜 프로그램의 다운로드를 유도한다. 사용자가 가자 플래시 플레이어를 다운로드 및 설치하는 순간 악성코드에 감염되고, 이 악성코드는 C&C 서버로부터 변조된 악성 크롬(Chrome) 파일을 다운로드하여 실행한다.
이렇게 설치된 가짜 크롬은 사용자가 백신 제공업체 웹사이트 접근하는 것을 차단할 뿐만 아니라 사용자가 페이스북에 접속할 때 [그림 4]와 같이 사용자의 친구목록에 등록되어 있는 지인들을 성인물 게시글에 태깅한다. 이로 인해 이 악성코드는 단 이틀만에 11만명을 감염시키는 등 엄청난 속도로 확산되었다. SNS를 이용한 악성코드가 심각한 우려의 대상인 이유다.
[그림 4] 페이스북 사용자의 친구를 게시글에 태깅
3. 포털 사이트 접속을 방해하는 파밍 악성코드
[그림 5]는 올 한해 상당수의 사용자들이 주요 포털 사이트 접속 시 마주쳤던 ‘금융감독원 사칭 팝업창’이다.
[그림 5] 금융감독원 사칭 팝업창
이러한 허위 팝업창은 이른바 뱅키(Banki)류의 악성코드에 감염된 PC에서 포털 사이트 이용 시 나타난다. 즉, 뱅키 악성코드가 사용자 PC의 hosts 파일을 변조하여 정상적인 포털 사이트로의 접근을 방해한 것이다.
최근에는 사용자 PC뿐만 아니라 공유기의 DNS를 변조하는 뱅키류의 악성코드가 증가하고 있다. 제대로 관리되지 않는 공유기 및 네트워크 기기의 계정 정보를 탈취하여 악용하고 있는 것이다. 해당 악성코드는 사용자 PC와 연결된 네트워크를 탐색하여 공유기 관리자 계정으로 로그인을 시도한다. 공유기의 관리자 계정 접속에 성공하면 네트워크 주소 및 로그인 계정 등을 C&C 서버로 전송한다. 이렇게 C&C 서버로 전송된 정보를 통해 공격자는 공유기의 취약점을 이용한 원격 접속 및 악의적인 공격을 수행할 수 있게 된다. 이것이 보안 전문가들이 공유기 업데이트 등 공유기 보안을 강조하는 이유다.
그러나 대다수의 일반 사용자들로서는 공유기 업데이트나 보안 설정 방법을 알기가 쉽지 않다. 이와 관련해 안랩은 시큐리티레터(601호)를 통해 공유기 업데이트 방법을 소개한 바 있다.
4. 레지스트리에 숨어 사는 악성코드
사용자 시스템을 감염시키는 악성코드 중에는 시스템 시작 시 자동으로 악성코드를 실행하기 위해 레지스트리에 숨어드는 방법을 이용한다. 그런데 최근에는 여기서 한 단계 더 나아가 레지스트리에도 악성 파일을 남기지 않는 악성코드가 등장했다.
이른바 파워릭(Powerliks)으로 불리는 악성코드가 그것이다. 대부분의 악성코드들은 보통 <HKCU\Software\Microsoft\Windows\CurrentVersion\Run> 경로에 악성 파일의 경로 값을 저장한다. 그러나 파워릭은 Default 키에 난독화 된 문자열을 저장한 뒤, 동일 경로 내 0a 키 값으로 읽어 들이는 방식으로 실행된다.
파워릭은 <HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\(Default)> 경로의 암호화 된 키 값을 복호화한 뒤, 사전에 사용자 몰래 시스템에 설치했던 파워쉘(PowerShell)을 통해 DLL 파일을 메모리에 로드한다. 이로써 실제로는 파일이 시스템에 남지 않은 채 메모리에서만 동작한다. 이렇게 동작하는 파워릭 악성코드는 사용자 시스템의 정보를 공격자에게 전송하거나 공격자의 명령에 따라 악의적인 행위를 수행하게 된다.
지금까지 올 한해 자주 등장했던 악성코드 4가지를 알아보았다. 이 밖에도 다양한 랜섬웨어 변종을 비롯해 체리피커 등 POS 시스템 악성코드까지 다양한 종류의 악성코드들이 지속적으로, 그리고 더욱 진화하는 형태로 등장하고 있다. 이러한 위협으로부터 피해를 입지 않기 위해서는 무엇보다 사용자 스스로의 주의가 필요하다. 지겹도록 들어온 조언이지만 백신을 최신 업데이트 상태로 유지하고, 자주 사용하는 응용프로그램 또한 보안 업데이트를 적용해 최신 버전으로 유지하는 것, 이것이 악성코드 피해 예방의 첫걸음이다.
한편 V3 제품에서 위에서 살펴본 악성코드들을 아래와 같은 진단명으로 진단 및 탐지하고 있다.
<V3 제품군의 진단명> Dropper/Win32.Agent (2015.01.20.04) Trojan/Win32.Agent (2015.02.26.00) Trojan/Win32.Asprox (2015.01.28.02) Trojan/Win32.Vicepass (2015.03.31.00) Trojan/Win32.Caphaw (2014.08.04.02) Trojan/Win32.Poweliks (2014.08.05.00) |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| PC 방화벽, 뚝딱 설정하기! (0) | 2016.01.09 |
|---|---|
| MS 구버전 IE 지원 중단, 내 PC는 안전할까? (0) | 2016.01.08 |
| 키워드로 정리한 ‘2015년 5대 보안 위협‘ (0) | 2015.12.31 |
| '개인 파일 유포’ 협박하는 랜섬웨어 등장! (0) | 2015.12.30 |
| MS 12월 보안 패치 발표, 업데이트 하고 가세요! (0) | 2015.12.25 |