[최신 바이러스 정보]
Trojan/Win32.MalPe.R299953
최초 발견일: 2019-12-13
종 류: 트로이목마
형 태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설 명: Trojan/Win32.MalPe.R299953은 정상적인 실행파일에서는 흔히 쓰이지 않는 패커이며 사용자의
의심을 피하기 위해 정상프로그램으로 위장한다.
Malware/RL.Generic.R243904
최초 발견일: 2019-12-13
종 류: 트로이목마
형 태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설 명: Malware/RL.Generic.R243904은 사용자 정보 수집 및 탈취, 공격자로부터의 명령 수행 등의 악의적인 행위 가능성이 존재하는 악성코드이다.
JPG/Scam
최초 발견일: 2019-12-13
종 류: 트로이목마
형 태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설 명: JPG/Scam은 JPG 파일에
보여지는 거짓 정보를 통해 사용자를 속게 하며, 사용자의 개인정보나 금전 등을 공격자의 이메일 및
계좌로 요구하는 유형의 악성코드이다.
[보안TIP]
부활한 워터베어 캠페인, 이번에는 API 후킹 기능도 탑재
[보안뉴스
문가용 기자] 오래된 공격 캠페인 중 하나인 워터베어(Waterbear)가 API 후킹(API Hooking)이라는 새로운 탐지 우회 기능을
가지고 부활했다. 이 기술을 통해 워터베어 공격자들은 자신들이 네트워크 안에서 벌이는 행위를 감출
수 있게 된다고 한다. 보안 업체 트렌드 마이크로(Trend
Micro)가 발표했다.
워터베어
캠페인의 배후에는 블랙테크(BlackTech)라는 사이버 정찰 그룹이 있는 것으로 알려져 왔다. 보안 업체 이셋(ESET)은 올해 초 블랙테크가 에이수스(ASUS) 업데이트 절차를 악용해 멀웨어를 퍼트리고 있는 것을 발견하기도 했다. 워터베어 캠페인에서 블랙테크는 모듈화 된 멀웨어를 활용해, 원격에서
각종 기능을 덧붙이는 것을 특징으로 한다.
이번에
새롭게 시작된 워터베어 캠페인의 경우 “API 후킹이라는 기술이 새롭게 추가됐”는데, “아태지역에 있는 한 보안 업체의 탐지를 피하기 위해 활용되고
있다”고 한다. 이 업체는 블랙테크가 표적으로 삼고 있는
국가들과 밀접한 관련이 있는 것으로 나타났다. “블랙테크는 이 업체에서 내는 제품들이 정보를 수집하고
분석하는 방식을 잘 알고 있는 것으로 보입니다.”
워터베어는 DLL 로더를 사용해 RC4로 암호화 된 페이로드를 복호화 하고
실행시킨다. 이 페이로드는 1단계 백도어로, 성공적으로 안착해 실행될 경우 또 다른 페이로드를 가져와 실행시킨다. 이
두 번째 페이로드 역시 백도어로, C&C 서버와 접속하거나 특정 포트를 관찰하는 기능을 수행한다.
워터베어
캠페인의 일환으로 벌어지는 공격 중 일부에서는 암호화 된 페이로드에 대한 파일 경로가 하드코드 되어 있기도 했다. “이를 봤을 때 공격자들은 표적의 환경에 대해 아주 잘 알고 있다는 걸 알 수 있습니다. 워터베어 캠페인을 운영하는 자들은 표적의 네트워크에 오래 머물기 위해 여러 장치를 활용하고 있을 가능성이
높습니다.” 트렌드 마이크로의 설명이다.
DLL 로더의 경우 두 가지 종류가 발견됐다. 하나는 정상 서버 애플리케이션을 바꿔 로더를
임포트 하고 로딩하는 방식으로 작동하고, 다른 하나는 가짜 DLL
하이재킹 및 DLL 사이드 로딩을 실시하는 방식으로 작동한다. 두 DLL 로더 모두 실행된 이후 하드코드 된 파일 경로를 찾고, 그 경로에 걸려 있는 페이로드를 가져와 복호화 한다. 복호화
된 페이로드는 정상 윈도우 서비스인 LanmanServer에 주입된다(svchost.exe).
페이로드는
악성 행위를 실행하기 직전까지 기능을 암호화 해서 감춘다. 메모리 내에서의 스캐닝을 피하기 위해서다. 필요할 때마다 기능을 복호화 해서 실행시키고, 일이 끝나면 다시
암호화 한다. “최근 공격에서는 두 가지 페이로드가 사용됐습니다.
하나는 특정 보안 제품에 코드를 주입해 백도어를 감추는 것이었습니다. 워터베어 캠페인에서는
처음 보는 것이었습니다. 다른 페이로드는 전형적인 1단계
백도어였습니다.”
1단계
백도어를 감추기 위해 API 후킹을 통해 보안 제품을 무력화시킨다.
트렌드 마이크로는 이를 다음과 같이 풀어서 설명한다. “페이로드가 보안 제품 프로세스의
메모리에 있는 기능을 조작합니다. 이 때문에 해당 보안 제품이 정상적으로 작동하지 않게 되고, 따라서 탐지가 잘 되지 않게 됩니다.”
트렌드 마이크로는 “워터베어
캠페인을 운영하는 자들이 백도어를 감추려고 하는 건 처음 있는 일”이라고 말한다. “그것도 이렇게 구체적인 제품만을 불능 상태로 만드는 걸 보면 이들이 자신의 표적을 매우 꼼꼼하게 이해하고
있다는 걸 알 수 있습니다. 해당 조직이 어떤 보안 제품을 사용하는지, 그 제품이 어떤 식으로 작동하는지까지도요.”
http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/
|