놀이터 일간 추천 베스트 |
놀이터 일간 조회 베스트 |
작성자: 상현 조회 수: 6778 PC모드
국내 웹사이트에서 익스플로잇 킷 악용, 한글판 크립토락커 변종 등장
[보안뉴스 김경애] 국내에서 익스플로잇 킷(이하 EK)을 통해 랜섬웨어를 유포하는 사이트가 줄줄이 포착됐으며, 한글 버전의 크립토락커(CryptoLocker) 변종도 발견돼 이용자들의 주의가 요구된다.
1. EK 통해 랜섬웨어 유포
지난 21일에는 국내에 EK를 통해 랜섬웨어를 유포하는 사이트가 줄줄이 포착됐다. 이번에 발견된 랜섬웨어는 EK를 통해 유포되며, 공격자가 감염되는 PC마다 랜섬웨어 악성코드가 위치한 최종 바이너리 유포지 주소를 새로운 주소로 할당한다. 할당된 주소는 30분 정도만 지나면 사라지는 것으로 분석됐다.
이를 분석한 하우리 최상명 CERT 실장은 “랜섬웨어를 네트워크 기반에서 차단하는 것이 점점 어려워지기 때문에 엔드포인트단에서 행위기반으로 랜섬웨어를 차단하는 것이 필요하다”고 당부했다.
2. 한글판 크립토락커 변종 등장
한글판 크립토락커(CryptoLocker) 변종도 발견됐다. 지난 20일 악성코드 공유 사이트인 바이러스토탈에 크립토락커 변종이 등록됐다.
CheckMAL 자체 진단명은 ‘Trojan/Ransom.CryptoLocker’이며, ‘파일 위치는 C:ProgramDataPDF 문서이며, 아이콘 모양의 EXE 실행 파일이다.
이와 관련 보안전문 파워 블로거 울지 않는 벌새(이하 벌새)는 “악성 파일이 실행되면 자신을 프로그램 데이터(ProgramData) 폴더 내에 PDF 문서 아이콘 모양으로 추가해서 윈도우 실행시 자동 실행되도록 구성되어 있다”며 “이를 통해 explorer.exe 시스템 프로세스에 인젝션되어 파일 암호화(.encrypted)를 진행하고 돈을 요구하는 메시지를 생성한다”고 설명했다.
특히, 이번에 발견된 랜섬웨어 변종의 경우 기존과 다른 특이사항이 발견됐다. 보통 메시지는 txt, html, 그림 파일로 표시되나, 이번에 발견된 메시지는 explorer.exe 프로세스를 띄우고 있다. 이는 해당 프로세스를 사용자가 직접 종료해야 하는 구조라는 것.
이처럼 랜섬웨어 유포방식이 점점 확대되고, 지능화되는 양상이다. 이에 대해 벌새는 “개인 사용자들에게 보안 업데이트를 강조하고 메일내 첨부파일 클릭에 주의하라고 하지만 이들 유포 방식이 점점 다양화되고 있어 대응이 쉽지 않다”며 “특정 보안 솔루션이나 웹 브라우저(Chrome)만 사용하면 감염되지 않는다는 생각은 버려야 하며, 보안이슈에 좀 더 관심을 가지고 상호 보완적인 솔루션으로 대응하는 것이 바람직하다”고 밝혔다.
한편, 크롬은 지난 14일(47.0.2526.111), 16일(47.0.2526.111), 21일(48.0.2564.82) 취약점을 각각 패치했다. 따라서 이용자들은 크롬을 최신 버전으로 업데이트하는 것이 바람직하다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>.
좋은정보네요