[해외보안동향] 마스터 부트 레코드를 파괴하는 새로운 멀웨어 ‘롬버틱 Rombertik’

마스터 부트 레코드를 파괴하는 새로운 멀웨어 ‘롬버틱 Rombertik’

New 'Rombertik' malware destroys master boot record if analysis function detected

시스코의 연구원들이 다른 멀웨어들에 보다 뛰어난 탐지 회피 기술을 사용하는 새로운 멀웨어를 발견했습니다. 새롭게 발견된 멀웨어 롬버틱은 분석 툴이 탐지되었을 때 자신을 파괴하는 대신 장비의 마스터 부트 레코드(MBR: Master Boot Record)를 파괴합니다. 롬버틱은 스팸과 피싱 메시지를 통해 확산되고 있습니다.

한 샘플을 통해 확인한 결과, 공격자들은 사용자가 이메일에 첨부된 문서를 다운로드받도록 유도합니다. 파일이 다운로드되고 압축이 해제되면 문서 썸네일과 같은 파일이 생성됩니다. 이는 PDF 아이콘을 가장하고 있으나, 사실은 멀웨어를 포함하고 있는 .SCR 스크린세이버 실행가능파일입니다. 

롬버틱은 제일 먼저 자기 자신이 샌드박스 안에서 실행되고 있는지 확인하기 위해 분석툴을 체크합니다. 만약 실행되고 있지 않다면, 자기 자신을 복호화한 후 설치합니다. 자신의 두 번째 카피본을 생성한 후, 멀웨어의 코어 기능으로 이를 덮어쓰기합니다. 이 후, 메모리에서 분석되고 있지 않은지 한 번 더 체크합니다. 만약 분석되고 있다면, 롬버틱은 마스터 부트 레코드(MBR)을 파괴하며 컴퓨터를 무한 재부팅시켜 사용할 수 없도록 만듭니다.

시스코가 사용한 롬버틱 샘플에 포함되어 있는 패킹된 파일 중 97%는 사용되지 않는 75개의 이미지와 8,000개 이상의 기능들이 포함된 것으로 드러났습니다. 

   

일부 악성코드는 특정 시간 동안 잠적해 있어 샌드박스를 타임아웃시키는 방식으로 샌드박스 탐지를 회피합니다. 그러나, 롬버틱은 분석을 복잡하게 만들기 위해 9억 번 이상 랜덤 데이터를 사용합니다. 만약 분석 툴이 이를 모두 문서화시킨다면 100기가 이상이 필요할 것입니다. 

이 모든 프로세스는 사용자의 브라우저를 통해 전송되는 순수 텍스트 데이터를 캡쳐하기 위한 것입니다. 롬버틱은 자기 자신을 사용자의 브라우저 프로세스에 삽입하고, 순수 텍스트 데이터를 처리하는 API 기능을 후킹합니다. 공격자는 이러한 프로세스를 통해 사용자가 방문하는 대부분의 웹사이트 계정과 패스워드를 볼 수 있습니다.

현재 알약에서는 해당 악성코드를 Trojan.Rombertik, Gen:Variant.Symmi.50351로 탐지하고 있습니다.

참고:

http://www.scmagazine.com/cisco-writes-up-new-malware-campaign/article/413068/ 

http://blogs.cisco.com/security/talos/rombertik

http://www.theregister.co.uk/2015/05/05/rombertik_malware/