이모텟 멀웨어의 시대라고 해도 과언 아닐 정도로 다양한 변종 발견되고 있어
최근에는 와이파이 망 통한 증식 기능도 발견돼...2년 전부터 사용한 방법으로 보여[보안뉴스 문가용 기자] 이모텟(Emotet) 멀웨어의 변종이 발견됐다. 이 변종에는 와이파이 네트워크를 악용해 근처에 있는 장비까지도 감염시키는 일종의 ‘워머블’ 기능이 탑재된 것으로 나타났다. 현대 모바일 사용자들이 와이파이를 얼마나 사랑하는지를 생각했을 때, 이는 멀웨어 전염에 있어 획기적인 방법이라고도 할 수 있다.
[이미지 = iclickart]
새 이모텟 버전을 발견한 건 보안 업체 바이너리 디펜스(Binary Defense)로, 이곳의 위협 전문가 제임스 퀸(James Quinn)은 분석 보고서를 발표하기도 했다. 퀸은 보고서를 통해 “이모텟은 여태까지 스팸 방식으로만 퍼지던 것으로 알려져 있었지만, 이제 근처 와이파이 망을 통해서도 감염이 가능하게 되었다”며 “이번 이모텟 버전은 불안전한 비밀번호를 악용하는 것으로 분석됐다”고 공개했다.
이번 샘플이 제일 먼저 발견된 건 1월 23일이지만, 실행파일의 타임스탬프는 2018년 4월 16일로 찍혀 있다. 즉 이모텟은 지난 2년여 동안 와이파이를 통해 번져나갔다고도 볼 수 있다. 여태까지 이모텟을 추적했던 수많은 보안 전문가들이 일제히 이를 놓쳤거나, 이 공격이 실제로는 크게 성공하지 못했던 것으로 보인다.
이 샘플은 최초의 장비를 감염시킬 때, RAR 파일을 활용한다. 여기에는 두 개의 바이너리인 worm.exe와 service.exe가 포함되어 있고, 이 두 가지 모두 와이파이를 통한 번식에 활용된다. 피해자가 RAR 파일을 다운로드 받으면 압축이 자동으로 해제되며, 동시에 worm.exe가 저절로 실행된다. worm.exe가 제일 먼저 하는 일은 근처의 무선망을 검색하는 건데, 이 때 wlanAPI 인터페이스를 활용한다. wlanAPI는 와이파이 API가 무선망 프로파일링을 할 때 사용하는 API다.
이 과정이 끝난 후, 와이파이 프로파일을 취득하는 데 성공하면 worm.exe는 WlanEnumInterfaces라는 함수를 호출한다. 현재 시스템에서 접속 가능한 모든 와이파이 네트워크를 목록화 하는 기능을 가진 함수다. 목록화 할 때 와이파이망의 이름만이 아니라 SSID, 신호, 암호화 기술, 네트워크 인증 기술 등까지 망라된다. 그런 후에는 브루트포스 기법으로 각 망에 접속을 시도한다. 주로 공격자들이 사전에 취득한 비밀번호 목록을 대입하는 식인데, 이 비밀번호 목록 입수 과정은 아직 명확히 밝혀지지 않았다.
올바른 비밀번호가 대입되었고, 따라서 연결에 성공했다면, worm.exe는 14초 동안 슬립모드에 들어간다. 깨어난 후에는 HTTP POST를 C&C 서버로 전송하는데, 8080번 포트가 활용된다. 그런 후 방금 그 와이파이망에 다시 한 번 접속해 연결 상태를 만들어 놓는다.
다음으로 worm.exe는 새롭게 연결된 와이파이 망의 모든 사용자들에 대하여 브루트포스 공격을 시도한다. 관리자 계정도 포함된다. 성공할 경우 두 번째 바이너리인 service.exe를 설치한다. 공격 지속성을 확보하기 위해 service.exe 바이너리는 윈도우 디펜더 시스템 서비스(Windows Defender System Serive)라는 이름으로 설치된다.
바이너리 디펜스의 보고서는 이러한 과정을 “worm.exe 바이너리가 문을 열고 service.exe를 심는다”라고 표현한다. service.exe 바이너리의 타임스탬프는 2020년 1월 23일이다. service.exe는 설치된 이후 C&C와 통신을 시도한다. 그런 후 서버로부터 이모텟 실행파일을 받는다. 이렇게 이모텟은 빠르게 무선 망을 통해 퍼져가고 있다.
바이너리 디펜스는 “이런 식의 공격을 막으려면 강력한 비밀번호 관리 체계가 필요하다”고 권고한다. “또한 엔드포인트 모니터링을 통해 수상한 서비스가 설치되고 있다거나, 알 수 없는 프로세스가 임시저장 폴더 같은 곳에서부터 시작된다거나 하는 현상들도 탐지해야 합니다.”
3줄 요약
1. 이모텟, 와이파이 망 통해서도 자동 증식.
2. RAR이 최초 미끼 파일. 그 안에 두 가지 파일이 포함되어 있음.
3. worm.exe는 망을 옮겨 다니며 침투하는 역할 수행, service.exe는 문이 열린 곳에 들어가 자리를 차지하는 역할.
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=86309&page=1&mkind=1&kind=]
