유효한 디지털서명을 탑재한 랜섬웨어 GlobeImposter 변종 등장
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.
Globeimposter 랜섬웨어 변종 중 유효한 디지털 서명을 탑재한 형태가 해외에서 등장하고 있어 이용자분들의 각별한 주의가 요망됩니다.
잘 아시는 분들도 계시겠지만, 일반적으로 특정 파일에 유효한 디지털 서명이 탑재되어 있다는 것은 무결성이 보장된다는 의미와 함께 정상적인 파일(화이트 리스트)임을 증명하는 용도로 활용되기도 합니다.
그러다보니 일부 악의적인 해커들은 정상적인 디지털 서명 데이터를 무단 탈취하여 악성프로그램 제작에 악용되는 경우가 종종 발생하기도 합니다.
그런 와중에 2017년 7월 29일과 31일에 제작된 GlobeImposter 랜섬웨어 변종 2개에서 각각 다르지만 유효한 디지털 서명이 탑재된 것이 발견되었습니다.
[그림 1] MIKROSOFT 디지털 서명이 포함된 랜섬웨어
[그림 2] Media Lid 디지털 서명이 포함된 랜섬웨어
GlobeImposter 계열의 랜섬웨어 변종이 해외에서 다양하게 제작되고 있고, 거기에 유효한 디지털 서명까지 포함한 형태로 진화를 거듭하고 있습니다.
특히, 최근에는 이메일 첨부파일을 통해 다양한 형태가 유포되고 있고, 이른바 매트릭스(Matrix) 랜섬웨어 종류와 간혹 유사한 아이콘 리소스를 이용해 전파를 시도하고 있기도 합니다.
아울러 이번에 보고된 최신 랜섬웨어에 감염될 경우 다음과 같은 랜섬노트(Ransom Note) 화면을 보여주며, 특정 이메일 주소로 연락하도록 유도합니다.
[그림 3] MIKROSOFT 디지털 서명이 포함된 랜섬웨어의 랜섬노트 화면
[그림 4] Media Lid 디지털 서명이 포함된 랜섬웨어의 랜섬 노트 화면
GlobeImposter 랜섬웨어 시리즈들은 다양한 형태가 제작되고 있는데, 일부 변종은 여타 기존 랜섬웨어와 유사하게 특정 토르(Tor) 기반 웹 사이트 주소로 접속을 유도하고, 비트코인 결제를 요구하기도 합니다.
하지만 이번에 유효서명을 탑재한 형태로 발견된 2종은 이용자의 주요 데이터를 암호화시킨 이후 모두 공격자가 지정한 특정 이메일 주소로 연락하도록 유인하는 특징을 가지고 있습니다.
▶ i-absolutus@bigmir.net
▶ oceannew_vb@protonmail.com
이런 경우 공격자는 토르(Tor)나 명령제어(C2)용 웹 사이트 등을 별도 구축하지 않아도 되는 이점을 적절하게 활용할 수 있으며, 대응측면에서 해외 이메일 차단에 다소 시간이 소요되거나 어려움이 존재할 수 있습니다.
이처럼 전 세계 사이버 범죄자들은 최신 랜섬웨어 제작시 다양한 보안환경 탐지를 회피하기 위해 다양한 기법을 도입하고 있다는 점에 주목해야 합니다.
현재 알약 제품에서는 해당 악성파일을 'Trojan.Ransom.GlobeImposter' 탐지명으로 진단 및 치료하고 있습니다.