지금 저와 비슷한 30대의 나이인 분들은 어도비(Adobe) 사의 플래시 플레이어(Flash Player)를 설치해서 사용해 본 경험이 있으실 거라 생각합니다. 2000년대 초반에 졸라맨, 마시마로와 같은 플래시 애니메이션들이 유행하면서 반드시 설치해야했던 프로그램이었는데요. 그런데 이 당시 플래시 플레이어 업데이트 파일로 위장한 악성코드가 굉장히 많이 유행했었죠. 피싱 사이트에서 업데이트 파일이라며 내려받도록 유도했던 방식을 주로 사용했던 것으로 기억하는데, 2021년부터 플래시 플레이어를 지원하지 않으면서 그 수가 줄어들긴 했습니다. 그런데 지금은 구글이나 MS 소프트웨어 업데이트로 위장한 멀웨어가 증가하고 있는데, 오늘은 이 부분에 대해 알아보도록 하겠습니다.
과거도 그렇고 지금도 굉장히 많은 정상 프로그램으로 위장한 악성코드들이 OO 업데이트 파일이라는 이름을 사용했는데요. 이전에는 장기간 동안 사용자 시스템에서 상주하며 정보를 얻어가는 트로이 목마(Trojan) 형태라면, 지금은 랜섬웨어로 동작하는 형태가 가장 많죠. 랜섬웨어에 감염되는 경우가 가장 골치아프긴 한데, 사실 개인 PC에 설치하는 V3와 같은 안티 바이러스 프로그램에서도 대부분 랜섬웨어 탐지 기능이 있어서 어느 정도 방어가 가능합니다. 그리고 특정 파일을 다운로드 받을 때 해시값을 비교하여 실행을 차단하는 기능이 존재하기 때문에, 악성코드 DB 최신화를 위해 항상 백신 프로그램을 최신으로 업데이트하라고 강조하고 있죠.
특히 이 멀웨어에는 최근 들어 굉장히 많은 기능이 추가되었는데, 대표적인 것이 보안 업체에서 악성코드가 분석되는 것을 방지하기 위한 가상환경 우회 기술입니다. 이 가상환경 우회라는 기법은 이전 글들에서 굉장히 많이 말씀드렸었는데요. 분석가들이 난독화된 악성코드를 실행시키지 않고 코드를 분석하는 방법으로는 충분히 알아내기 어려워서 VM(Virtual Machine)과 같은 가상환경 시스템에 실행시키죠. 하지만 해당 악성코드에 가상환경을 탐지하는 기법이 적용되어 있다면, 가상환경을 탐지했을 때 악성 행위를 수행하지 않고 멈춰버리게 됩니다. 이 멀웨어들을 분석해야 이후 악성코드 DB에 추가하여 차단할텐데, 이렇게 되면 백신 업데이트가 굉장히 지연되겠죠.
마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어
점점 더 많은 위협 행위자들이 가짜 마이크로소프트와 구글 소프트웨어 업데이트를 활용해 멀웨어를 퍼트리고 있다. 이런 멀웨어들 가운데 최근 하바나크립트(HavanaCrypt)라는 랜섬웨어가 눈에
www.boannews.com
이러한 악성코드는 가상 환경이 의심되지 않는 상황일 때만, 추가적인 C2(Command & Control) 서버를 통해서, 추가 악성코드를 다운로드 받아서 실행시키게 되는데요. 가상환경을 탐지하는 방법들은 굉장히 다양한데 설명하면 길어지니 추후에 더 자세히 말씀드리도록 하구요. 중요한 건 플래시 플레이어 지원 종료 이후로 최근 악성코드들이 이런 안티 기법들을 가지고 MS나 구글 소프트웨어의 업데이트로 위장한다는 겁니다. 검색을 통해서 들어간 사이트나 메일에서 업데이트를 해야한다면서 파일을 다운로드 받아 실행시키도록 유도한다면 항상 의심하시기 바랍니다. 그럼 이번 글은 여기서 마치도록 하죠. 읽어주셔서 감사합니다.
'Security Essay' 카테고리의 다른 글
| 이상한 변호사 우영우가 본 쇼핑몰 개인정보 유출사건 (1) | 2022.08.20 |
|---|---|
| KISA 디도스(DDoS) 사이버대피소 운영 사례 (0) | 2022.08.14 |
| 딥페이크 활용한 소셜 엔지니어링 사례 (0) | 2022.08.06 |
| 하이브 랜섬웨어 복구 툴 배포 사례 (0) | 2022.07.28 |
| 악성코드 분석 서비스 개인정보 유출 사례 (0) | 2022.07.20 |
댓글