비번 관리자 신뢰하는 심리 악용, 윈도우 사용자 집중 공격
글로벌 보안업체 ‘프룹포인트’ 주의보, “앱 가장한 ‘Piriform’의 일종”
[애플경제 김향자 기자] 패스워드 관리 시스템으로 위장한 ‘ZenRAT’(젠렛)이란 악성 코드가 윈도우 사용자들을 공격하고 있어 각별한 주의가 요망된다.
29일 사이버보안 사이트 ‘프룹포인트’와 이를 인용한 기술매체 ‘테크리퍼블릭’에 의하면 이는 프롭포인트가 개발, 널리 배포된 비밀번호 관리 시스템인 비트워든(Bitwarden)을 사칭하는 웹사이트로 위장, 사용자들을 속이고 있다. 윈도우 사용자들은 무심코 이런 가짜 사이트에 접속, 비트워든 소프트웨어를 다운로드함으로써 ‘젠렛’ 악성 코드에 감염되는 경우가 많다.
MS윈도우 운영 체제가 주요 타깃
불과 며칠 전 프룹포인트에 의해 이같은 사실이 알려졌기 때문에 국내에는 아직 이렇다할 감염 사례가 나타나지 않고 있다. 또 현재로선 사이버 스파이 활동이나 금융 사기를 위해 이런 악성 코드를 사용한 사례가 보고되진 않고 있다. 그럴수록 각별한 주의를 할 필요가 있다는 전문가들의 주문이다.
젠렛은 특히 MS윈도우 운영 체제를 대상으로 하는게 특징이다. 일단 실행되면 젠렛 악성코드는 시스템에 침투, 정보를 수집한다. 그렇게 절취한 정보는 브라우저 데이터 및 자격 증명과 함께 ZIP 아카이브 파일로 명령 및 제어 서버로 전송된다.
이 경우 ZIP 파일에는 ‘InstalledApps.txt’ 및 ‘SysInfo.txt’라는 두 개의 파일이 포함되어 있다. 이에 대해 프룹포인트는 “‘젠렛’이 크롬과 파이어폭스 모두에서 데이터를 훔치는 것을 발견했다”면서 “특히 대부분의 크로미엄 기반 브라우저를 지원할 것이라고 가정하고 대비하는 것이 합리적”이라고 했다.
‘비트워든’ 비밀번호 관리자 패키지‘로 가장
사용자들에게 널리 보급된 ‘비트워든’ 비밀번호 관리자를 사칭하는 웹사이트 ‘bitwariden[.]com’을 구축하는 수법을 쓰기도 한다. 이 웹사이트는 마치 정식 ‘비트워든’ 웹사이트인양 속아넘어가게 하는, 매우 설득력 있는 모습을 하고 있다.
해당 가짜 웹사이트는 사용자들이 운영체제를 통해 접속하는 순간, ‘비트워든’ 소프트웨어로 위장한 젠랫 악성코드를 심는다. 윈도우 사용자가 아닌 사람이 웹 사이트를 탐색하는 경우는 또 다른 콘텐츠로 유도한다. 즉, 사용자에게는 ‘opensource.com’에서 복사한 ‘비트워든’ 비밀번호 관리자 관련 기사가 표시되는 것이다.
윈도우 사용자가 ‘비트워든’의 리눅스 또는 맥(Mac) 다운로드 링크를 클릭하면 공식적인 ‘비트워든’ 다운로드 페이지로 리디렉션된다.
윈도우 사용자가 가짜 웹사이트에서 다운로드 링크를 클릭하면 ‘Bitwarden-Installer-version-2023-7-1.exe’라는 파일이 또 다른 도메인인 ‘crazygameis[.]com’에서 다운로드되게 한다.
이같은 ‘젠랫’ 악성 설치 프로그램은 지난 7월 28일 처음으로 ‘VirusTotal’ 플랫폼에서 발견되었지만, 당시엔 ‘CertificateUpdate-version1-102-90’이라는 다른 이름으로 모습을 드러냈다. 이는 해당 사이버 공격자가 인증서를 기반으로 또 다른 트릭을 실행했을 수도 있는, 감염 행각을 이전에 벌일 수도 있었음을 보여준다.
유명 SW개발자 가짜 서명 도용, “매우 지능적”
그 속임수도 매우 지능적이다. 일단 파일의 메타데이터에 가짜 정보가 포함되어 있다. 그러면서 “(다운로드용) 설치 프로그램은 시스템 사양을 수집하기 위한 소프트웨어 애플리케이션인 ‘Piriform’의 일종”이라고 설명한다.
또한 ‘FileZilla FTP/SFTP’ 소프트웨어로 유명한 개발자인 팀 코스(Tim Kosse)가 서명했다고 주장한다. 그러나 조금만 세심하게 들여다보면, 그 파일 서명이 가짜임을 알 수도 있다.
그럼에도 많은 소비자들은 이러한 세부 사항에 주의를 기울이지 않는게 문제라는 지적이다. 프룹포인트는 “파일 이름이 그럴듯하면, 흔히 파일 메타데이터나 디지털 서명을 확인하지 않고 파일을 실행하는 경우가 많다”고 한다.
일단 실행되면 설치 프로그램은 현재 로그인한 사용자의 ‘AppData\Local\Temp’ 폴더에 자체 복사본을 생성한다. 또한 동일한 폴더에 ‘.cmd’라는 숨겨진 파일을 생성한다. ‘.cmd’ 파일은 명령줄 루프를 사용하여 설치 프로그램 자체를 삭제한다. 또 한‘ApplicationRuntimeMonitor.exe’라는 실행 파일이 실행되기 전에 사용자의 ‘AppData\Roaming\RunTimeMonitor\’ 폴더에 배치된다.
‘젠랫’ 공격에 대응하는 최소한의 대비책
그러면서 프룹포인트는 “이를 실행할 경우 반드시 주의할 점이 있다”면서 “우선 그 출처가 벨로루시, 키르기스스탄, 카자흐스탄, 몰도바, 러시아 또는 우크라이나가 아닌지 확인한 필요가 있다”고 주의를 당부했다.
이에 따르면 또 해당 맬웨어가 상호 모순되는 상황(뮤텍스)을 드러내는지 여부를 확인하고, 하드 드라이브 크기가 95GB 이상인지 확인한 후 시스템에서 이미 실행되고 있지나 않은지 확인해야 한다. 또한 이에 대한 샌드박스 시스템을 나타내는 경우도 있을 수 있다.
또한 시중의 가상화 제품의 프로세스 이름을 확인하되, 해당 제품이 가상화된 환경에서 실행되고 있지 않은지도 확인할 필요가 있다.
이런 검사를 한 후에도 해당 악성코드가 ‘ping’ 명령을 보내 인터넷에 연결되어 있는지 확인하고, 그에 대한 업데이트가 있는지도 확인해야 한다. 또한 악성 코드는 다른 모든 통신이 암호화되어 있지만 디버깅 목적으로 로그 파일을 일반 텍스트로 C2 서버에 보낼 수도 있음을 명심할 필요가 있다.
현재로선 해당 악성코드가 어떻게 배포되고 있는지는 알 수 없다는게 프룹포인트의 설명이다.그러나 분면한 것은 ‘Bitwarden 웹사이트’는 이메일, 소셜 네트워크, 인스턴트 메시징, 가짜 광고 등을 통해 널리 유포되고 있다.
‘검색광고’ 특히 조심
프롭포인트는 “우선 검색 엔진 결과에 나오는 광고를 주의해야 한다. 광고가 특히 이러한 성격의 감염을 유발하는 주요 원인인 것으로 보인다”고 경계를 요했다.
또한 엔드포인트와 서버를 모니터링하는 보안 솔루션 외에도 이메일 링크와 첨부 파일을 분석할 수 있는 보안 솔루션을 배포하는 것이 바람직하다. 또한 운영 체제와 그 운영 체제에서 실행되는 모든 소프트웨어는 일반적인 취약점으로 인해 손상되지 않도록 항상 최신 상태로 유지하고 패치를 적용할 필요가 있다.
사용자는 특히 유효하지 않은 디지털 서명이 있는 실행 파일을 실행할 때는 디지털 인증서가 유효한지 주의해야 한다. 현재 윈도우 시스템은 기본적으로 해당 파일을 실행하기 전에 사용자에게 경고를 먼저 하도록 구성되어 있다. 의심스러운 경우 절대 이를 실행해선 안된다는 경고다.