유튜브 오디오 변환 사이트를 통해 유포되는 케르베르 랜섬웨어

유튜브 오디오 변환 사이트를 통해 유포되는 케르베르 랜섬웨어 AhnLab ASEC대응팀 / 2017-08-09     최근 유튜브(YouTube) 콘텐츠를 오디오 파일로 변환시켜주는 웹사이트를 통해 랜섬웨어가 유포되고 있어 사용자들의 주의가 요구된다.   유튜브는 전 세계 최대의 무료 동영상 공유 사이트로, 유명 가수나 음악인들의 노래 등 음성 콘텐츠부터 영화나 드라마, 뮤직비디오 등 영상 콘텐츠까지 수많은 콘텐츠를 보유하고 있다. 세계 최대의 동영상 공유 사이트답게 재미있고 참신한, 또는 쉽게 구하기 어려운 콘텐츠가 많다 보니 일부 이용자들은 자신이 좋아하는 콘텐츠를 소장하고 싶어하기도 한다. 하지만, 누구나 자유롭게 유튜브에 콘텐츠를 업로드하거나 시청할 수는 있지만 콘텐츠를 다운로드할 수는 없다. 때문에 유튜브 콘텐츠를 다운로드할 수 있도록 도와주는 유틸리티와 웹사이트가 많은 인기를 끌고 있다. 그리고 악성코드 공격자들도 바로 이 점에 주목했다.   최근 랜섬웨어가 발견된 웹사이트도 유튜브 콘텐츠를 오디오 포맷인 MP3로 변환시켜주는 사이트이다. [그림 1]은 랜섬웨어 유포 경로로 이용된 유튜브 콘텐츠 변환 사이트이다.   [그림 1] 유튜브 콘텐츠 변환 사이트   무료로 제공되는 대부분의 유틸리티 프로그램 및 웹사이트는 서비스 유지 및 수익 창출을 위해 광고를 노출한다. 랜섬웨어 유포지로 이용된 해당 사이트도 [그림 2]에 표시한 바와 같이 광고가 삽입되어 있다. 특히 언뜻 보기에는 배너 광고(1차 광고)만 존재하는 것처럼 보이지만 광고의 노출을 높이기 위해 2차 광고가 삽입되어 있다.   [그림 2] 유튜브 콘텐츠 변환 사이트 광고 영역   이번에 발견된 랜섬웨어는 바로 이 광고 영역을 통해 유포된 것으로, 이처럼 웹사이트에 삽입된 광고를 이용해 악성코드를 유포하는 방식을 멀버타이징(Malvertising)이라 한다. ‘멀버타이징’은 악성코드(Malware)와 광고(Advertising)의 합성어로, 안랩은 멀버타이징 기법에 관한 자세한 내용을 여러 차례 소개한 바 있다.   ► 랜섬웨어가 이용하는 멀버타이징 기법, 도대체 어떻길래?   사용자가 [그림 2]에 표시된 광고 영역을 클릭하면 광고 팝업 창이 나타난다. 이렇게 연결된 광고 서버는 랜섬웨어 제작자가 광고주로 위장한 서버로, 사용자의 웹 브라우저 보안 취약점을 이용해 사용자 PC에 랜섬웨어를 유입시킨다. 이때 공격자의 광고 서버에 의해 연결되는 웹 페이지에는 악성코드 유포를 위한 악성 스크립트가 존재한다. 공격자가 심어둔 악성 스크립트가 실행되면 사용자 PC의 보안 취약점을 이용하는 드라이브-바이-다운로드(Drive-By-Download) 방식으로 랜섬웨어를 감염시킨다. 즉, 사용자는 수상한 파일을 다운로드하거나 실행한 적이 없음에도 불구하고 랜섬웨어에 감염되는 것이다. 사용자가 직접 파일을 실행하지 않아도 악성코드가 실행되는 드라이브-바이-다운로드 공격 방법으로 인해 사용자는 랜섬웨어에 감염되었다는 사실을 알아차리기 어렵다.   이번에 유포된 랜섬웨어는 케르베르(Cerber) 랜섬웨어로, 다른 랜섬웨어와 마찬가지로 실행되면 파일을 암호화한 후 [그림 3]과 같이 사용자에게 감염 사실을 알리는 메시지를 보여준다.   [그림 3] 케르베르(Cerber) 랜섬노트   V3 제품은 행위 기반 진단을 통해 해당 케르베르 랜섬웨어를 아래와 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> Trojan/Win32.Ransom   [그림 4] V3제품 행위 기반 진단 차단 화면   이번 사례처럼 드라이브 바이 다운로드 방식을 이용한 랜섬웨어 공격은 사용자가 감염 사실을 인지하기 어렵다. 이와 관련해 안랩은 신•변종 랜섬웨어 전용 탐지 프로그램인 안랩 안티랜섬웨어 툴(Anti-Ransomware Tool. 베타버전)을 제공하고 있다. 최신 버전의 안랩 안티랜섬웨어 툴은 사용자 PC에 랜섬웨어가 유입되면 아래와 같은 안내 메시지와 함께 랜섬웨어를 탐지 및 차단한다.   [그림 5] 안티랜섬웨어 툴(Anti-Ransomware Tool) 차단 화면   안티랜섬웨어 툴의 최신 버전은 안랩의 랜섬웨어 보안센터에서 다운로드 및 설치할 수 있다.   ► ‘안랩 랜섬웨어 보안센터’ 바로가기   랜섬웨어를 비롯한 악성코드 공격 방식은 점점 더 교묘하게 진화하고 있다. 악성코드 감염을 예방하기 위해서는 주요 프로그램의 보안 업데이트를 정기적으로 적용해 보안 취약점 노출을 최소화하고, V3의 엔진 버전을 항상 최신으로 유지해야 한다. 또한 다운로드한 파일을 실행하기 전에 악성코드를 검사하는 등 올바른 PC 사용 습관이 필요하다.