랜섬웨어 기능도 가지고 있지만 복호화 방법도 함께 포함돼
[보안뉴스 문가용 기자] 새롭게 업데이트 된 원격 접근 트로이목마인 앤제이랫(njRAT)에 ‘파일 암호화’, ‘암호화폐 도난’ 기능 등이 탑재되었다고 보안 전문 업체 지스케일러(Zscaler)가 경고했다.
[이미지 = iclickart]
앤제이랫은 블라다빈디(Bladabindi)라고도 불리는데, 최소 2013년부터 활동해온 것으로 알려져 있다. 현재까지 가장 활발히 활동하는 멀웨어 중 하나이며, 닷넷(.NET) 프레임워크로 만들어졌다. 한 번 심어놓으면 공격자들이 원격에서 시스템을 통제할 수 있게 해준다.
이번에 새롭게 업데이트 된 버전은 앤제이랫 라임 에디션(njRAT Lime Edition)이라는 이름이 붙었으며 랜섬웨어 기능은 물론 비트코인 탈취 및 디도스 공격 기능도 지원한다. 기존의 키스트로크 저장 기능과 USB 감염 기능, 비밀번호 탈취 기능과 화면 잠금 기능도 물론 그대로 들어 있다.
앤제이랫은 피해자의 기기에 침투해 현재 돌아가고 있는 프로세스들의 목록을 작성한다. 그리고 이를 활용해 암호화폐 지갑을 추적하기 시작한다. 이 과정에서 암호화폐 지갑만이 아니라 은행 계좌, 카드 번호, 신용카드 정보 등도 함께 수거된다.
하지만 가장 먼저 앤제이랫이 하는 일은 가상 기기 및 샌드박스 환경 유무를 확인하는 것이다. 지스케일러의 연구에 따르면 “이를 위해 시스템 관련 정보를 대량으로 수집한다”고 한다. “시스템 이름, 사용자 이름, 윈도우 버전 및 아키텍처, 웹캠 존재 유무, CPU, 비디오 카드, 메모리, 볼륨 정보, 백신 등 거의 모든 정보를 가져가죠.” 그러면서 백신이나 멀웨어 탐지 관련 프로세스가 발견되면 이를 죽인다.
새로운 앤제이랫에는 ARME와 Slowloris 디도스 공격도 감행할 수 있다. Slowloris는 한 개의 기기로 서버를 다운시킬 수 있으며 ARME 공격은 서버 메모리를 집중적으로 노리는 유형의 디도스 공격이다.
여기까지 진행한 앤제이랫은 C&C로부터 명령을 받기 시작한다. 명령에 따라 크롬 쿠키를 삭제하거나 저장된 로그인 정보를 제거하기도 한다. 모니터를 끄거나, TextToSpeech 기능을 사용해 C&C로부터 받은 텍스트를 음성변환 시키기도 하며, 마우스 버튼의 정상적인 기능을 바꾸기도 한다. 그 외에 배경화면을 바꾸거나 토렌트를 통해 추가 소프트웨어를 다운로드 받거나 공유하는 기능도 있다.
앤제이랫은 웜처럼 증식하는 기능도 가지고 있다. USB 드라이브가 연결되어 있는지 확인하고, 스스로를 복제하며, 폴더 아이콘을 사용해 자기자신으로 연결되는 단축키도 만들 줄 안다.
랜섬웨어 기능을 발휘할 경우 사용자의 파일들을 AES-256으로 암호화 시키면서 .lime이라는 확장자를 파일들에 부착한다. AES-256은 대칭형 암호화 알고리즘으로 암호화 키를 사용해 복호화도 가능하게 해준다. 이 때문에 이번 앤제이랫에 ‘라임 에디션’이라는 이름이 붙은 것이다.
“랜섬웨어 기능을 발동시키면 제일 먼저 RandomString()이라는 함수를 호출합니다. 이 함수는 AES 키를 생성하고, 입력되는 문자열로부터 50바이트 어레이를 만듭니다. 그런 후 random() 함수를 사용해 글자 하나를 가져와 출력되는 문자열에 저장합니다.” 지스케일러의 설명이다.
하지만 랜섬웨어 기능 자체는 치밀하지 못하다고 한다. “복호화 기능 역시 멀웨어 안에 같이 들어 있는 걸 발견했습니다. 즉 병도 주고 약도 주는 랜섬웨어라는 것이죠. 따라서 랜섬웨어는 그리 큰 비중을 차지하지 못하고 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>