포스팅 내용

국내외 보안동향

Scranos: 빠르게 진화 중인 루트킷(Rootkit) 지원 스파이웨어 발견

Scranos: New Rapidly Evolving Rootkit-Enabled Spyware Discovered


루트킷을 지원하는 강력한 스파이웨어가 발견되었습니다. 


해커들은 크랙 버전 소프트웨어 또는 동영상 플레이어, 드라이버, 안티바이러스 제품 등의 정상 소프트웨어로 위장한 프로그램을 통해 해당 악성코드를 유포하고 있습니다. 


루트킷 (rootkit)이란?


공격자가 시스템에 사용자 몰래 침입하기 위해 설치해 둔 프로그램으로 백도어, 원격 접근 프로그램, 침입 흔적 로그 삭제 프로그램 등으로 구성된다.


Scranos로 명명된 이 루트킷 악성코드는 작년 처음 발견되었으며, 아직 개발 중인 것으로 보입니다.


또한, 새로운 컴포넌트를 테스트하고 예전 컴포넌트들을 정기적으로 개선함으로써 더욱 심각한 위협이 되고 있습니다.


Scranos는 로그인 크리덴셜 및 지불 계정 탈취, 검색 히스토리 및 쿠키 추출, 유튜브 구독자 페이로드, 광고 표시, 페이로드 다운로드 및 실행하는 기능이 포함되어 있습니다.


비트디펜더가 공개한 보고서에 따르면, 이 악성코드는 감염된 기기에 디지털 서명된 루트킷 드라이버를 설치함으로써 지속성을 얻습니다.


연구원들은 공격자들이 'Yun Yu Health Management Consulting (Shanghai) Co., Ltd'에서 발행된 유효한 디지털 코드 서명 인증서를 악용한 것으로 추측하고 있습니다. 


해당 인증서는 아직까지 폐지되지 않은 상태며, 루트킷은 Shutdown 콜백을 등록하여 지속성을 얻습니다. 


셧다운 시, 해당 드라이버는 디스크에 기록되며 시작 서비스 키가 Registry에 생성됩니다.


사용자 PC가 이 루트킷 악성코드에 감염되면, 정식 프로세스에 다운로더를 주입한 후 공격자가 제어하는 C&C 서버와 통신하고 페이로드를 다운로드합니다.


<이미지 출처: https://labs.bitdefender.com/2019/04/inside-scranos-a-cross-platform-rootkit-enabled-spyware-operation/>


아래는 데이터 및 패스워드 탈취 페이로드를 나열한 것입니다.


패스워드 및 브라우징 히스토리 탈취 페이로드 

- 구글 크롬, 크로미움, 모질라 파이어폭스, 오페라, 마이크로소프트 엣지, 인터넷 익스플로러, 바이두 브라우저 및 얀덱스로부터 브라우저 쿠키, 로그인 크리덴셜을 탈취합니다.

- 사용자의 페이스북, 유튜브, 아마존, 에어비앤비 계정으로부터 쿠키 및 로그인 정보를 탈취할 수 있습니다.


확장 프로그램 인스톨러 페이로드 

- 크롬에 애드웨어 확장 프로그램을 설치하고, 사용자가 방문하는 모든 웹사이트에 악성 광고를 표시합니다. 

- 일부 샘플은 Chrome Filter, Fierce-tips, PDF Maker와 같은 가짜 브라우저 확장 프로그램을 설치합니다.


스팀 데이터 탈취 페이로드 

- 이 컴포넌트는 피해자의 스팀 계정 크리덴셜 및 정보를 탈취해 공격자 서버로 전송합니다. 

- 설치된 앱 및 게임, 하드코딩된 버전 등의 정보를 포함합니다.


피해자의 계정으로 페이스북과 유튜브 사용해


다른 일부 페이로드는 피해자의 계정으로 여러 웹사이트를 사용할 수도 있습니다.


<이미지 출처: https://labs.bitdefender.com/2019/04/inside-scranos-a-cross-platform-rootkit-enabled-spyware-operation/>


유튜버 구독자 페이로드

- 크롬을 디버깅 모드로 실행해 유튜브 페이지를 조작합니다. 

- 브라우저에 영상을 시작하고, 음소거, 채널 구독, 광고 클릭 등과 같은 행동을 지시할 수 있습니다.


페이스북 스팸 제작 페이로드 

- 수집한 쿠키와 기타 토큰을 활용해 악성 코드가 다른 사람들에게 페이스북 친구 신청을 보내도록 지시할 수 있습니다. 

- 피해자의 페이스북 친구들에게 악성 안드로이드 APK가 포함된 메시지를 보낼 수 있습니다.


안드로이드 애드웨어 앱 

- 공식 구글 플레이 스토어에 “Accurate scanning of QR code" 앱으로 위장해 공격적으로 광고를 표시합니다.

- 감염된 피해자들을 추적하고 윈도우 악성 코드와 동일한 C&C 서버를 사용합니다.


인기 있는 웹사이트로부터 지불 정보 훔쳐


메인 드로퍼에 포함된 DLL의 목록은 아래와 같습니다:


페이스북 DLL 

- 지불 정보, 친구 목록, 관리하는 페이지 등 사용자의 페이스북 계정과 관련된 정보를 추출합니다.


아마존 DLL 

- 사용자의 아마존 계정에서 정보를 추출합니다. 

- 특정 버전은 로그인된 에어비앤비 계정으로부터 정보를 추출하도록 설계되었습니다.


Scranos는 전 세계의 사용자들을 노리고 있으나 인도, 루마니아, 브라질, 프랑스, 이탈리아, 인도네시아 사용자들을 특히 집중 공격하고 있습니다.


이 악성코드의 가장 오래된 샘플은 2018년 11월 발견되었으며, 지난 12월과 1월 악성코드 샘플 발견 수치가 크게 증가했습니다.


그리고 2019년 3월부터 다른 종류의 악성코드를 배포하기 시작했습니다. 


연구원들은 이 네트워크가 설치 수만큼 돈을 지불하는 'Pay-Per Install' 시스템을 사용하는 명백한 지표라고 설명했습니다.




출처:

https://thehackernews.com/2019/04/scranos-rootkit-spyware.html

https://labs.bitdefender.com/2019/04/inside-scranos-a-cross-platform-rootkit-enabled-spyware-operation/

티스토리 방명록 작성
name password homepage