레지스트리에 숨어있는 Gootkit 악성코드
파일 없는 악성코드(fileless attack)
요즘 독일에서 가짜 게시판 글을 통해 악성코드를 퍼뜨리는 사례가 많다. 아래 그림(참2)과 같은 모양을 하고 있는데, 낯이 많이 익은 모습이다(관1).수법도 동일하다. 정상 사이트를 해킹해 가짜 글이 먼저 나타나게 하거나, 가짜 사이트를 만든 후 SEO poisoning 기술을 썼다. SEO poisoning은 검색 엔진을 속이는 것으로, 특정 검색어를 검색 사이트에서 검색하면 악성 사이트(가짜 혹은 광고하려는 사이트)가 상단에 나타나게 된다.
이에 속은 방문자가 링크의 압축 파일을 다운로드하고, 그 안에 있는 자바스크립트 파일을 실행하면 악성코드에 감염된다. 이 작전에서는 Gootkit이라는 트로이 목마나 Sodinokibi(관2, REvil이라고도 함) 랜섬웨어를 유포하고 있다.
주목할 점은, 파일 없는 악성코드 기법을 쓴 점이다. 별도의 exe 실행 파일을 생성하지 않는다. 악성코드는 암호화되어 txt 파일이나 레지스트리의 무작위한 위치에 저장된다. 이것을 Windows Powershell을 이용해, 메모리에서 바로 복호화하고 실행한다.
이 때문에 많은 보안 앱이 탐지를 못하거나, 탐지해서 차단하더라도 완전히 제거하지는 못하는 일이 생기고 있다. 이에 대한 보고서(참2)를 발표한 Malwarebytes의 제품은 레지스트리에 남은 잔당까지 완전히 소탕한다고 한다.
관련 자료
1. 무료 다운로드로 위장한 악성코드
2. 악성코드가 UAC 알림을 계속 나타낸다
참고 자료
1. Gootkit malware returns to life alongside REvil ransomware
2. German users targeted with Gootkit banker or REvil ransomware
댓글
댓글 쓰기