보안

지불카드를 노리는 새로운 악성코드 '네메시스', "탐지하기도 제거하기도 어렵다"...파이어아이

Jeremy Kirk | IDG News Service 2015.12.08
네메시스(Nemesis)는 부트킷의 일종으로 지불카드 데이터를 훔치기 위해 설계됐는데, 탐지하기도 제거하기도 매우 어렵다. 파이어아이는 이 악성코드 배후에는 금융 기관들을 표적으로 하는 'FIN1'이라는 러시아 사이버범죄 조직을 지목했다.

파이어아이는 "FIN1은 네메시스라 불리는 악성코드를 만들어 한 금융 거래조직을 감염시켰다. 아직 자세한 상황은 확인하지 못했다"고 밝혔다.

사이버범죄자들에게 있어 지불 카드 데이터는 수요가 아주 많다. 지난 수년간 카드 데이터를 다루는 초대형 조직들이 표적이 되어 타깃(Target), 홈데포(Home Depot), 그리고 많은 다른 기업들이 대형 데이터 침해 사고를 겪었으며, 일부 지불 시스템 또한 해킹당했다.

부트킷의 일종인 네메시스는 운영체제 하위 계층에 설치되어 운영체제를 재설치해도 그 자리에 남아있을 수 있다. 파이어아이는 부트킷 기능을 갖고 있는 악성코드는 윈도우 운영체제와는 거의 완전 독립적으로 설치되고 실행되어진다고 전했다.

올해 초, 사이버범죄자들은 부트래시(Bootrash)라 부르는 유틸리티를 사용하기 시작했는데, 이는 MBR(Master Boot Record)와 함께 사용되는 윈도우 기반의 VBR(Volume Boot Records)를 수정한다. 이 MBR은 운영체제를 로딩하기 전에 컴퓨터에서 가장 처음으로 보게 되는 PC의 하드드라이브의 첫번째 부분이다.

부트래시는 이 운영체제가 켜지기 전에 실행하기 때문에 운영체제에 의해 진행되는 무결성 검사를 피한다. 파이어아이는 부트래시의 요소는 윈도우 파일 시스템 밖에 저장되어 안티바이러스 제품들에 의해 탐지되지 않는다고 전했다.

파이어아이는 "이 부트킷은 MIR(Mandiant Intelligent Response)이라 부르는 맨디언트 포렌식 부서의 자체 툴을 사용함으로써 발견했다"며, "부트킷을 포함한 이 악성코드를 대응하기 위해서는 로우 디스크에 접속하고 검색할 수 있는 포렌식 툴이 필요할 것이다"고 말했다.

이 툴은 운영체제 외부에 있는 악성코드를 지속적으로 찾기 위해 로우 디스크에 접속할 수 있다.

감염이 탐지됐다 하더라도 해킹당한 운영체제를 재설치하는 것만으로는 충분치 않다. 시스템 관리자들은 부트킷에 해킹된 어떤 시스템도 남김없이 물리적으로 완전히 삭제한 후 운영체제를 재설치해야 한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.