보안

"최신 악성코드 롬버틱, 발각되면 PC 데이터 파괴” : 시스코

Jeremy Kirk  | IDG News Service 2015.05.06
보안 검사를 실행하는 도중에 발견되면 컴퓨터의 하드웨어를 파괴하는 새로운 형태의 악성코드가 발견돼 사용자의 주의가 당부되고 있다.

시스코 시스템즈가 롬버틱(Rombertik)이라고 칭하는 이 악성코드는 브라우저 창에 입력한 모든 일반 텍스트를 가로채는 것으로 알려졌다. 지난 4일(현지 시각) 시스코의 탈로스 그룹(Talos Group) 블로그에 게재된 글에 따르면, 이 악성코드는 스팸 및 피싱 메시지를 통해 확산되고 있는 상황이다.

롬버틱은 윈도우 컴퓨터에서 보안 검사가 진행되면, 해당 컴퓨터가 자신의 존재를 탐지했는지를 여러 번 확인한다.

탈로스 그룹의 벤 베이커와 알렉스 치우는 “이러한 형태는 일부 악성코드 형태에서 흔히 찾아볼 수 있으나, 롬버틱은 악성코드 분석과 연관된 특정 행동을 감지했을 때 컴퓨터를 적극적으로 파괴한다”고 밝혔다.

이와 같은 와이퍼(Wiper) 악성코드는 지난해 2013년 한국을 겨냥한 320 사이버테러와 지난해 소니 픽처스 엔터테인먼트(Sony Pictures Entertainment)를 겨냥한 사이버 공격에 사용됐던 것과 같은 것으로 알려졌다. 와이퍼 악성코드는 백신 프로그램을 무력화한 뒤 컴퓨터의 부팅영역을 파괴하고, 하드디스크를 망가뜨린 뒤 데이터를 삭제한다.

롬버틱이 수행하는 가장 마지막 단계가 가장 위험하다. 롬버틱은 메모리 리소스의 32 비트 해시를 계산하는데, 만일 해당 리소스 또는 컴파일 시간이 바뀌면 롬버틱은 저절로 데이터를 파괴하는 트리거를 건다.

해당 악성코드는 운영체제 시스템을 로딩하기 전에 컴퓨터가 읽어들이는 PC 하드 드라이버의 첫 번째 섹터인 마스터 부트 레코드(Master Boot Record, MBR)을 겨냥한다. 만일 롬버틱이 MBR에 액세스할 수 없으면, 무작위 RC4 키를 이용해서 사용자의 홈 폴더에 저장된 모든 파일을 파괴한다.

MBR가 파괴되거나 홈 폴더가 암호화되면, 해당 컴퓨터는 재시작한다. MBR의 정보가 파괴된 탓에 컴퓨터는 무한 재부팅된다. 그리고 컴퓨터 화면에는 “Carbon crack attempt, failed”라는 문구가 표시된다.

컴퓨터에 해당 악성코드가 설치되면, 자체적으로 파일 압축이 해제된다. 압축을 해제한 파일 콘텐츠의 약 97%가 합법적으로 보이도록 설계되었으며, 실제로는 사용되지 않은 75개의 이미지와 8,000개의 유인 기능들이 포함돼 있다.

탈로스는 “이 공격자는 파일에 포함된 모든 기능을 살펴보는 행위를 무력화함으로써 분석 도구를 무용지물로 만들려는 시도를 했다”고 말했다.

또한, 샌드박싱(Sandboxing) 또는 실제 사용자 PC라고 판단하기 전까지는 악성코드를 격리하는 작업을 우회한다. 일부 악성코드는 샌드박스 시간이 초과해서 다시 일어날 때까지 기다리기도 한다.

롬버틱은 깨어있지만, 응용 프로그램 추적 도구에 대한 분석을 복잡하게 만들기 위해 메모리에 1바이트의 데이터를 9억 6,000만 번 기록한다.

탈로스는 “만일 분석 도구가 9억 6,000만 개의 모든 쓰기 명령에 접속할 시도를 한다면, 해당 로그는 100GB 크기로 증가할 수도 있다”고 덧붙였다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.