보안

블랙햇 2014 | 2일차, 레지스트리 악성코드와 크립토로커 피해자 지원 서비스

Steve Ragan | CSO 2014.08.08
블랙햇 USA 2014 해커 컨퍼런스 2일차, 오늘은 악성코드의 이상 형태에 대한 연구와 여전히 크립토로커 문제를 겪고 있는 시스템들을 위한 복구 옵션부터 시작한다.

라스베가스의 새벽(혹은 누군가에게는 늦은 밤)은 슬롯머신, 청소기 돌아가는 소리, 엘리베이터에서 나오는 음악소리를 제외하면 상당히 조용하다.

오늘은 이상 형태의 악성코드에 대한 연구부터 시작한다. 시스템 레지스트리에 온전히 담겨진 이 악성코드는 파일 없이도 동작하고, 최근에는 전파를 위해 마이크로소프트 워드의 취약점도 활용하는 것이 관찰됐다.


핀란드의 티모 아시카이넨이 미국 네바다주 라스베가스 만달레이 베이 컨벤션센터에서 개최된 블랙햇 USA 2014 해커 컨퍼런스의 디스플레이를 보고 있다.

레지스트리 악성코드(Registry Malware)
G데이터 소프트웨어(GData Software)의 폴 라스카네르는 최근 시스템의 레지스트리 내에 지속적으로 존재하는 악성코드 유형의 세부 사항에 대해 블로그에 게재했다. 이 악성코드는 파일 형태로 존재하지 않아서 보편적인 안티 바이러스 감지 기법을 무용지물로 만들어 감지하기가 더욱 어려웠다.

라스카네르는 "보안 연구원들이 악성코드에 대해 얘기할 때 이들은 보통 컴퓨터 시스템상에 저장되어 민감한 데이터를 훔치거나 기기를 파괴하는 목적을 가진 파일들을 거론한다. 이런 파일들은 안티바이러스 엔진으로 스캔해 지금까지의 방식으로 감지, 처리할 수 있다. 그러나 이런 기법은 지금까지 초점이 거의 맞춰지지 않았던 것이다"고 이 악성코드와 이로 인한 문제들에 대해 전했다.

G데이터의 검토 사례에서 보면, 최소한 악성코드 그 자체로 시스템을 감염시키기 위해 마이크로소프트 오피스의 취약점을 공격했다. 한 사례에서 이 악성코드는 미국 우체국 이메일이나 캐나다 우체국 메시지를 가장한 스팸을 통해 퍼져나갔다.

시스템상에 도달하면 자동-시작(auto-start) 키가 레지스트리상에 생성되지만, 레지스트리 키의 이름이 아스키 문자(ASCII character)가 아니어서 감지를 피한다. 이런 방식으로 레지스트리 편집기 같은 툴이 키를 읽는 것을 방지하고 실제로 수동적인 가시 검사에서도 모습을 감출 수 있다.

이후 악성코드는 파워셸(PowerShell)이 시스템상에 설치되어 있는지 확인하고 만약 없다면 다운로드해 설치시킨다. 이제 악성코드는 파워셸 스크립트를 실행하고 페이로드(payload)한다.

G데이터는 이 악성코드를 파워릭(Powerliks)이라 부르는데, 감염 과정에 대한 세부 사항은 블로그에서 확인할 수 있다.

같은 주제에 대해 트렌드 마이크로(Trend Micro)의 위협 분석가 로델 산토스는 윈도우 레지스트리를 공략하는 방식은 새로울 게 없지만, 이를 통해 미래를 예측해 볼 수 있다고 말했다.

산토스는 "회피 전술에서 레지스트리 활용은 파일 기반 안티바이러스 솔루션이 시스템상에 아무런 이상 상황을 감지하지 못하기 때문에 중요하다. 게다가 낌새를 알아채지 못하는 사용자들은 레지스트리를 확인하는 대신 의심스러운 파일이나 폴더를 검사할 것이다. 앞으로 안티바이러스 보안이 지속적으로 성장하면서 다른 악성코드들도 이와 같은 방식으로 떠돌 것이다"고 예상했다.

크립토로커(CryptoLocker) 피해자 지원
폭스IT(FoxIT)와 파이어아이(FireEye)는 공동으로 크립토로커 감염 문제로 힘들어하는 이들에게 도움을 제공한다. 크립토로커의 핵심 작업은 오프라인에서 벌어지고 있으며, 이를 지원하는 인프라는 근본적으로 파괴됐지만, 감염된 파일을 안고 있는 피해자들은 여전히 존재한다.

두 보안업체는 '디크립트크립토로커(DecryptCryptoLocker)'라는 이름의 서비스를 무상으로 제공하고 있다.

일부 사례에서 이 서비스는 크립토로커 피해자들을 돕고 파일을 복구할 수 있었다. 하지만 이들은 이 작업이 어떻게 가능한 지에 대해서는 상세히 설명하지 않았다.

피해자들은 암호가 걸린 파일을 업로드하고 프라이빗 키(private key)가 담긴 이메일이 오기를 기다리기만 하면 된다. 이 키는 자신의 하드 드라이브상의 파일 암호를 해제하기 위한 해제툴과 함께 사용할 수 있다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.