|
Windows 10 업데이트로 위장한 랜섬웨어 AhnLab / 2015-08-12
마이크로소프트사(이하 MS)의 마지막 Windows OS가 될 Windows 10이 7월 29일 출시됐다. 출시 후 며칠이 지나지 않아 Windows 10 업데이트 파일로 위장한 랜섬웨어가 메일로 유포된 것을 볼 때, Windows 10의 출시는 일반 사용자뿐만 아니라, 악성코드 제작자들의 흥미 또한 유발한 것으로 보인다. 특히, 해당 악성코드를 첨부한 메일 본문에서 공격자의 치밀함이 여실히 드러난다.
[그림 1] 악성코드가 첨부 된 메일 본문 (출처: Cisco Blogs)
공격자는 발신인, 본문 내용과 더불어 ‘악성코드 스캔 후 이상 없다’는 마지막 문장[그림 1 참조]을 첨부하여, 수신자가 해당 메일을 읽은 뒤에 의심 없이 첨부파일을 다운로드 및 실행하도록 유도했다. 심지어 메일 내 첨부된 악성파일의 아이콘이 아래 [그림 2]와 같이 Windows 로고를 표시하므로, 평소 보안의식이 강한 사용자가 아니라면 거부감 없이 해당 파일로 마우스 포인터를 옮길 것이다.
[그림 2] Windows 10 파일로 위장한 악성코드
이 파일을 실행하면 Windows 10 업데이트가 아닌 랜섬웨어가 실행되어, 사용자 시스템 내 파일이 암호화되어 버린다. 실행된 랜섬웨어 악성코드는 C:\DOCUME~1\[사용자 계정]\LOCALS~1\Temp\ 경로에 파일명 “lrxjxii.exe”로 자가 복제하고, 레지스트리를 통해 서비스에 등록되어 시스템 시작 시 마다 실행된다.
[그림 3] 랜섬웨어 감염 시 바탕화면
랜섬웨어 악성코드는 시스템 내 파일을 암호화한 뒤 파일 복호화 안내를 상단의 [그림 3]과 같이 바탕화면에 표시한다.
이번에 발견된 랜섬웨어도 그 동안 안랩에서 소개했던 여러 랜섬웨어들과 크게 다르진 않다. 하지만 이번 사례에서 이용된 사회공학 기법은 악성코드 유포 방법이 점차 지능화되고 있으며, 결국 사람이 가장 큰 취약점이란 것을 새삼 느끼게 해준다.
올해 4월 국내 특정 대형커뮤니티에서 드라이브 바이 다운로드(Drive-by Download)를 통해 유포되었던 랜섬웨어의 경우, 사용자의 취약한 시스템을 노린 공격이었으므로, 평소 Windows 보안 패치 및 응용프로그램(Adobe, java 등)의 업데이트를 성실히 수행해 온 사용자라면 악성코드 감염을 피할 수 있었을 것이다. 하지만 이번 사례와 같이 메일을 통해 유포되는 악성코드를 친절하게 다운로드 및 실행하는 건 사용자의 판단에 기반한 행동이다. 보안 패치로 굳게 닫혀있는 시스템을, 악성코드의 노크에 직접 문을 열어주는 것은 사용자의 판단부재에 따른 것이다. “절대로 메일 내 첨부파일을 함부로 다운로드 및 실행해선 안 된다.”는 시스템의 안전을 위한 가장 기초적이고 중요한 사항을 수 없이 강조하게 되는 이유는 바로 이 때문이기도 하다.
현재 MS는 Windows 10을 ‘더욱 익숙하고 친숙한 OS’라 칭하며, ‘예상하지 못 했던 작업을 하세요’라는 슬로건을 내세우고 있다. 하지만 이 말은 즉, ‘예상하지 못했던 보안 위협’을 뜻하기도 한다. 새로운 기능은 새로운 위험요소를 내재할 수 있으며, 새로운 위험 요소는 또 다른 공격의 통로가 될 수 있다.
하루가 멀다 하고 진보하는 IT 기술 덕분에 사용자들은 어제보다 더 스마트한 오늘을 살고 있다. 하지만 과연 보안의식 또한 스마트해지고 있는 것일까? 백신만으로 모든 공격을 막을 수 없는 현실 속에서 최소한의 보안지식과 생활화된 보안의식이 동반된다면, 그것이 바로 사용자를 끊임없는 악성코드 공격으로부터 보호할 수 있는 최선의 또한 최고의 방어라고 생각한다.
Windows 10 업데이트로 위장한 랜섬웨어는 V3 제품에서 아래와 같이 진단하고 있다.
<V3 제품군의 진단명> Trojan/Win32.CTBLocker (2015.08.03.03) |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| 어도비 플래시 플레이어 신규 보안취약점 35개…주의 (0) | 2015.08.25 |
|---|---|
| 상상도 못한 엑셀 활용 팁 - 모눈종이, 주소라벨, 상장 만드는 방법 (0) | 2015.08.24 |
| 윈도우 10 : 가장 먼저 사용해 봐야 할 새 기능 10선 (0) | 2015.08.12 |
| [Expert Column] 다시 생각해보는 악성코드와 윤리 (0) | 2015.08.11 |
| 휴면계정 전환 '개인정보 파기’ 이메일이 쏟아지는 이유는? (0) | 2015.08.10 |