FBI, 영국 국가범죄수사국(National Crime Agency), 다수의 국제 법 집행 기관이 전 세계적으로 가장 위험한 금융 사기 목적의 악성 코드 Gameover Zeus 봇넷과 Cryptolocker 랜섬웨어 네트워크를 교란시켰습니다. FBI는 시만텍을 포함한 여러 민간 부문 파트너들과 협력하면서 이러한 두 보안 위협에 이용되는 인프라스트럭처의 상당 부분을 찾아내 압수했습니다. 이번 작전을 후방 지원한 시만텍은 Gameover Zeus에 감염된 피해자가 이를 완전히 제거할 수 있는 새로운 툴을 출시하였습니다.
Gameover Zeus는 2011년 9월에 처음 발생한 이래 그 감염 사례가 전 세계적으로 수백만 건에 달합니다. 이를 이용하는 공격자들은 온라인 뱅킹 세션이 진행되는 동안 거래를 가로채는 수법으로 전 세계 수백여 개 금융 기관 고객들의 재산을 갈취했습니다. 또한, 최근 업데이트를 통해 해당 트로이 목마가 제거되는 것을 방해하기 위한 로우-레벨(low level) 드라이버 구성 요소가 추가되었습니다. 시만텍이 제공하는 새로운 툴을 사용하면 이 트로이 목마를 제거하고 다른 Gameover Zeus 구성 요소도 제거할 수 있습니다.
Crytpolocker는 최근에 등장한 매우 위협적인 형태의 랜섬웨어이며, 피해자의 하드 드라이브에 저장된 파일들을 암호화하는 방식으로 동작합니다. 대부분의 기존 악성 코드들과 달리 아직 암호화된 파일들을 다시 복호화하는 툴은 아직 발표되지 않았습니다. 따라서 피해자는 감염 후 개인용 데이터의 복구를 아예 포기하거나 공격자에게 돈을 지불하는 수 밖에 없습니다.
Gameover Zeus: 지능적인 금융 사기 트로이 목마
Gameover Zeus는 흔히 'Zeus'라고 부르는 Trojan.Zbot의 변종으로, 명령 및 제어(C&C)를 목적으로 P2P(peer-to-peer) 네트워크와 도메인 생성 알고리즘(Domain Generation Algorithm, DGA)을 사용하고 있습니다. 이번 작전에서는 Gameover Zeus에 타격을 주기 위해 피어 네트워크의 주요 노드와 DGA로 생성된 도메인을 사용 불가능하게 만들었습니다.
시만텍은 이 봇넷이 처음 등장했을 때부터 예의 주시해 왔습니다. 특히 봇마스터는 세계 각처의 감염된 시스템 수십만 대로 구성된 네트워크를 상당히 안정적으로 관리해 왔습니다.
그림 1. Gameover Zeus 감염 최다 발생 국가
Gameover는 가장 진화된 Zeus 변종으로 볼 수 있으며 Citadel Trojan, IceX Trojan과 같은 다른 변종과 달리 재판매되지 않습니다. 이 봇넷은 피해자 수천 명의 온라인 뱅킹 세션을 하이재킹하는 수법으로 대규모 금융 사기에 이용될 우려가 있습니다. Gameover Zeus의 배후 조직은 이 봇넷을 이용하여 실시간으로 사기 행각을 벌입니다. Gameover Zeus는 대개 송장을 가장한 이메일을 통해 유포됩니다. 공격받은 사용자가 감염된 시스템으로 본인의 뱅킹 웹 사이트에 접속하면 Gameover는 이른바 MITB(man-in-the-browser)라는 기술을 통해 온라인 세션을 가로챕니다. Gameover는 이중(2-factor) 인증을 피하고 사용자에게 가짜 뱅킹 보안 메시지를 표시하여 거래 승인에 필요한 정보를 얻을 수 있습니다. 공격자는 이 정보를 입수하는 즉시 사용자의 뱅킹 거래를 조작하여 돈을 훔쳐낼 수 있습니다.
그림 2. 사기 거래가 시도될 때 사용자가 일반적으로 경험하는 상황
이 트로이 목마의 정교함으로 미루어 볼 때 공격의 배후 조직은 탄탄한 기반을 갖추었으며, Gameover Zeus가 등장하기 전에도 경제적 동기에서 비롯된 여러 공격에 사용되었을 것으로 추정하고 있습니다. 한편 이 트로이 목마는 2011년 5월에 유출되었던 Zeus 소스 코드에서 더욱 발전하였습니다. 한때 대체 암호화 체계, DGA, 무엇보다 P2P 통신 기법을 도입하는 등 빠른 속도로 발전하던 시기가 있었습니다. 이와 같은 첨단 기술에 힘입어 이 봇넷의 C&C 서버가 분산되고 무수히 많은 시스템을 감염시킨 후 이를 활용하여 보다 성공적으로 단속을 피할 수 있게 되었습니다.
2014년 Gameover는 이 악성 코드를 쉽게 제거할 수 없도록 하는 로우 레벨(low level) 드라이버를 추가했습니다. 이 드라이버는 잘 알려진 Backdoor.Necurs 보안 위협과 유사한 속성을 갖고 있습니다. Gameover Zeus 배후 조직이 이 구성 요소를 개발했을 가능성은 낮아 보이며 외부에서 참조하거나 구매했을 것으로 예상됩니다. 이와 같은 여러 단계의 추가 적용을 통해 저항력이 한층 더 강화되었기 때문에 해당 악성 코드를 제거하기 위해 더욱 복잡한 과정을 거쳐야 합니다(아래의 삭제 툴 링크 참조).
그림 3. Gameover Zeus P2P 봇넷의 규모
Gameover Zeus는 적어도 두 차례, 즉 2012년 봄과 가을에 있었던 교란 시도를 성공적으로 회피했습니다. Gameover Zeus 조직은 기존에 감염시킨 시스템으로 구성된 네트워크를 지속적으로 활용하기 위해 의심스러운 움직임을 주의 깊게 모니터링해 왔습니다. Gameover Zeus 조직에게는 수익성 높은 사업에 해당하므로 이러한 네트워크를 지킬 가치가 충분한 셈입니다. 알려진 바에 따르면, 이들은 네트워크의 취약점을 찾아낸 후 필요한 경우 재구축하기도 합니다. 이번 Gameover 단속이 장기적으로 얼마나 효과를 거둘지는 아직 지켜봐야 합니다.
시만텍은 지속적으로 Gameover 네트워크를 모니터링하고 세계 각처의 인터넷 서비스 업체(ISP)와 CERT에 적극적으로 관련 데이터를 제공합니다. 이러한 데이터는 이렇듯 현재 진행 중인 봇넷을 퇴치하기 위한 노력의 일환으로 피해자를 찾아내 피해 사실을 알리는 데 활용되고 있습니다.
Cryptolocker: 효과적인 갈취 수단
Cryptolocker는 피해자의 시스템을 잠그거나 파일을 암호화한 다음 금품을 요구하는 방식의 수많은 랜섬웨어 보안 위협 중 하나입니다. Cryptolocker는 현재 유포 중인 랜섬웨어 중 가장 위험한 변종인데, 해독되지 않는 강력한 암호화 기술을 사용하기 때문입니다.
이 보안 위협은 2013년 9월에 처음 등장했으며 전체 랜섬웨어 감염 사례에서 차지하는 비율은 아직 낮지만, 피해자가 파일을 백업해 두지 않은 경우 공격자가 요구한 대로 돈을 지불하지 않으면 파일을 잃게 된다는 점 때문에 관심의 대상이 되었습니다.
Cryptolocker와 같은 랜섬웨어는 공격자에게 매우 큰 수익을 안겨 주는 것으로 확인되었습니다. 시만텍의 조사에 따르면, 일반적으로 감염된 사용자의 3%는 공격자가 요구하는 비용을 지불해 왔으며, 랜섬웨어 유포자들이 지난해 수천만 달러를 벌어들였을 것으로 파악하고 있습니다.
주로 피해자는 사회공학적 수법을 구사하면서 첨부된 zip 파일을 열도록 유도하는 스팸 이메일을 통해 감염됩니다.
그림 4. Cryptolocker 스팸 이메일의 예
위장한 실행 파일이 시작됩니다. 이 실행 파일은 Trojan.Zbot, 즉 Zeus를 다운로드하게 되며, Zeus에 감염된 시스템은 Trojan.Cryptolocker 또한 다운로드하게 됩니다. 이후 Cryptolocker가 내장된 도메인 생성 알고리즘(DGA)을 통해 생성된 C&C 서버에 접속을 하게 됩니다. C&C 서버 접속에 성공한 Cryptolocker는 파일들의 암호화에 사용할 공개 키를 감염된 시스템으로 다운로드합니다. 이와 쌍을 이루는, 즉 파일 복호화에 필요한 개인 키는 C&C 서버에 있습니다.
보호:
시만텍은 안티바이러스 소프트웨어를 우회하고 무력화시키는 Gameover Zeus 구성 요소를 제거하는 새로운 툴도 발표했습니다. 이 페이지를 방문하여 툴을 다운로드하십시오. 이 툴을 사용하면 문제의 구성 요소를 제거한 다음 Gameover Zeus 감염 문제도 해결할 수 있습니다.
Gameover Zeus 안티바이러스 탐지
관련 구성 요소 탐지:
침입 차단 시그니처
Symantec.Cloud 서비스를 이용하는 시만텍 고객은 이러한 보안 위협으로부터 보호받을 수 있습니다.