똑똑한 PowerWare 랜섬웨어, 해킹공격에 PowerShell 사용

똑똑한 PowerWare 랜섬웨어, 해킹공격에 PowerShell 사용

Smart PowerWare Ransomware Uses PowerShell for the Dirty Work

Windows PowerShell로 작성된 새로운 랜섬웨어가 기업들, 특히 의료 기관들을 노리고 있습니다. 해당 랜섬웨어는 악성 매크로를 포함한 워드 문서가 인보이스로 위장하여 피싱 이메일을 통해 유포됩니다. Carbon Black에 따르면, PowerWare은 Microsft의 Word와 MS OS의 스크립트 언어인 PowerShell을 이용한다고 합니다. 

기존의 랜섬웨어 변종은 시스탬 내 새로운 악성 파일을 설치하는데, 이는 안티바이러스에 탐지될 확률이 높습니다. PowerWare은 Windows 시스템의 핵심 유틸리티 중 하나인 PowerShell이 악성행위를 수행하도록 합니다. 이 랜섬웨어는 PowerShell을 이용하여 디스크에 새로운 파일을 쓰는 것을 피하고, 정상적인 컴퓨터 동작에 뒤섞이고자 합니다. 

간단한 코드로 작성된 PowerWare은 랜섬웨어에 대한 새로운 접근을 보여줍니다. 

InfoArmer의 CIO는 PowerShell이 감염된 PC의 OS에서 매우 탄력적인 기능을 제공하기 때문에, 랜섬웨어 뿐만 아니라, 다른 사이버 스파이 활동의 악성코드들에도 사용된다고 말했습니다. 

또 많은 해커들이 스크립트 기반 시나리오를 사용하며, Windows 환경의 보안 통제를 우회하기 위해 다형성을 사용한다고 말했습니다. 

Lastline의 부사장은 PowerShell이 원래 자동화 툴로 제작되었으나 해커들의 툴로 많이 이용되고 있다고 언급했습니다. 

그가말한 PowerWare의 동작 방식은 워드 문서의 매크로가 Powershelgl을 호출하여 랜섬웨어 스크립트를 다운로드하고 실행하는 동작을 수행합니다. 

Powershelgl 스크립트 자체는 악성코드가 아니지만, 페이로드를 유포하는데는 최적의 수단입니다. 

기업사용자들은 이러한 위협에서 안전하기 위해서는 매크로를 비활성화 시키고 시스템을 백업해 두어야 압니다. 또한 매크로를 포함한 파일이 100% 믿을 수 없는 경우에는 아예 열어보지 말아야 합니다. 

현재 알약에서는 해당 악성코드에 대하여 Trojan.Downloader.doc.powershell과 Trojan.Ransom.Powershell로 탐지중에 있습니다. 

출처 : 

http://www.infosecurity-magazine.com/news/smart-powerware-ransomware-uses/