안티 랜섬웨어 솔루션 우회 변종 크립토월 포착 外

연구소, 대학입학처, 예비역 장성모임 사이트 등 악성링크 삽입...피싱·파밍도 기승
안티 랜섬웨어 솔루션 우회하는 변종 크립토월 3.0 포착

[보안뉴스 김경애] 한 주간 신규 경유지를 비롯해 전반적으로 악성코드의 활동이 감소한 반면, 파일공유(P2P) 사이트를 통한 악성코드 유포는 지난주에 비해 증가했으며, 안티 랜섬웨어 솔루션을 우회하는 변종 크립토월(CryptoWall) 랜섬웨어가 발견되는 등 국내 웹사이트의 보안이 여전히 문제가 되고 있다.

 

 

▲지난 15일 크립토월 3.0 랜섬웨어가 발견된 중소기업XX지원센터 사이트 화면

 

 

안티 랜섬웨어 솔루션 우회하는 변종 크립토월 3.0 포착

먼저 지난 15일 중소기업XX지원센터 사이트에서 추석 기간에 발견되었던 크립토월 3.0 랜섬웨어가 발견됐다.
최근에는 안티 랜섬웨어 솔루션 및 실시간 파일백업 솔루션을 우회하는 변종 크립토월 랜섬웨어가 확인됐다. 25일 알약 블로그에 따르면 해당 크립토월의 경우 앵글러 익스플로잇 킷(Angler Exploit Kit)을 활용해 유포되고 있는 것은 기존과 유사하나, 이전 크립토월과 다르게 안티 랜섬웨어 기능을 우회할 수 있도록 암호화하는 동작방식을 일부 변경했다고 밝혔다.

 

 

▲랜섬웨어가 파일암호화를 진행하기 전에 사용자 PC에 저장된 파일명을 임의로 변경한 모습

 

 

파일이 변경되는 부분을 감지해 랜섬웨어의 공격을 차단하고 파일을 실시간으로 백업하는 기능을 가진 몇몇 안티 랜섬웨어 솔루션의 감시를 회피하기 위해 새로 발견된 랜섬웨어는 기존 사용자 PC에 존재하는 파일명을 한번 변경한 후에 암호화를 진행하고 있다.

먼저 ‘A.doc’라는 사용자 문서파일을 기존에 바로 암호화하던 방식을 변경해 ‘A.doc.tf4’와 같은 형태로 1차 파일명을 임의로 변경한다. 이를 통해 파일확장자 형식(doc, hwp, xlsx, pdf 등)을 변경해 기존 안티 랜섬웨어 솔루션들의 감시대상 모니터링을 우회할 수 있게 된다. 그 이후에 랜섬웨어가 다시 파일 암호화를 진행하게 된다.

이러한 방식을 통해 안티 랜섬웨어 솔루션들이 랜섬웨어의 암호화 시점을 체크하기 어렵게 방해하고 있다.

이처럼 랜섬웨어 공격은 계속 진화되고 있다. 초반 랜섬웨어가 쓰기권한이 없는 문서는 암호화하지 않는 것을 착안해 중요문서의 파일 권한을 읽기전용으로 변경하면 파일을 보호할 수 있다는 내용이 알려지자, 얼마 전부터 크립토락커(Crypt0L0cker)에서는 파일권한에 쓰기 속성이 없는 경우 파일 권한을 강제로 변경한 후, 암호화를 진행하는 형태로 사용자의 방어를 무력화시키고 있다.

 

 

 

연구소, 대학입학처 등 악성링크 삽입

이어 한 주간 악성링크 삽입도 기승을 부린 것으로 나타났다. 25일 빛스캔에 따르면 XXXXXXX석면연구소, XXX닷컴, XX대입학처 사이트에 악성링크가 삽입된 정황이 포착됐으며, 개인 카드정보를 요구하는 모바일 악성앱과 유·무선을 통한 개인금융정보 탈취도 지속적으로 발생하고 있다. 또한, 시간차 공격 역시 2주 연속 지속적으로 발견되고 있으며, 차후 공격통로로 활용될 수 있는 카운터링크도 꾸준히 발견됐다는 설명이다.

 

 

 

▲지난 20일 발견된 구글 사칭 피싱 사이트 화면

 

 

한 주간 피싱과 파밍, 잇따라 포착

한 주간 피싱과 파밍 사이트도 잇따라 발견됐다. 지난 20일에는 구글을 사칭한 피싱사이트가, 이보다 앞선 지난 15일에는 계정정보 입력을 요구하는 iCloud 사칭 피싱사이트가 발견됐다. 이외에도 지난 XX매니아 사이트에서 가짜 플래시 플레이어 설치를 유도하는 정황도 포착됐다.

 

 

 

▲지난 12일 악성코드 경유지로 악용된 XX산전 사이트 화면

 

이어 지난 15일에는 u-cityXXX포럼 사이트에서 파밍용 악성코드가, 12일에는 XX산전 사이트가 악성코드를 유포하는 경유지로 활용된 정황이 발견됐다. 이어 같은 날 XX투어 사이트에서도 파밍용 악성코드를 유포하는 정황이 포착됐다.

이와 관련 보안전문가 메가톤(닉네임)은 “XX산전 관리자 페이지가 해킹당해 경유지로 악용된 것 같다”며 이용자들의 주의를 당부했다.

보안전문가 AuditorLee 역시 “관리자 페이지가 해킹당한 것으로 보인다”며, “XX투어에 접속하면 XX산전으로 자동 연결된 후, 또 다른 사이트로 접속돼 악성코드에 감염되는 구조”라고 설명했다.

 

 

예비역 장성모임 사이트, 악성링크 반복 삽입

지난 10일에는 예비역 장성모임인 XX회 사이트의 공용모듈에 악성링크가 삽입된 정황이 포착됐다.

 

 

▲지난 10일 악성링크가 삽입된 XX회 사이트 화면

 

 

해당 사이트는 기존에 국내에서 발견된 공격도구가 아닌 플래시 파일을 통해서 바이너리를 다운로드하여 실행하는 것으로 확인됐으며, 이 과정에서 중복 실행과 분석을 방지하기 위한 체크루틴도 포함되어 있었다. 또한, 발견된 악성링크의 IP 확인 결과 위치가 인도로 확인됐다.

이에 대해 빛스캔 측은 “XX회를 통해 지속적으로 비슷한 유형의 악성링크가 반복적으로 삽입·삭제되고 있다”며 “현재도 공격자는 해당 사이트에 대한 권한이 있는 것으로 볼 수 있어 정밀점검을 통해 피해를 차단해야 한다”고 밝혔다.

특히, 해당 사이트에 방문하는 접속자가 대부분 고위 장성 출신일 가능성이 높기 때문에 민감한 정보도 유출됐을 가능성이 제기되고 있다.

이외에도 웹사이트 화면을 변조하는 디페이스 해킹 정황이 지난 17일 XX간호학회 사이트에서 발견됐다. 해당 사이트는 디페이스 해킹을 당한 후, 광고 화면이 삽입됐다.

 

 

출처 : 보안뉴스 http://www.boannews.com/media/view.asp?idx=48667