MaaS 소개
01 | MaaS란?
멀웨어란, 악성 소프트웨어의 줄임말로 컴퓨터에 피해 및 악영향을 줄 수 있는 소프트웨어를 의미하며 악성코드와 같은 뜻이다. 그 종류로는 컴퓨터 바이러스, 웜, 트로이 목마 등이 있다. 사이버 범죄자들은 소프트웨어 엔지니어링, 보안 및 네트워킹에 관련된 해박한 지식이 있어야만 멀웨어 공격을 할 수 있었다. 하지만 악의적인 공격자들이 일정 금액을 지불하면 멀웨어를 구축, 배치하거나 경제적 수단으로 이용할 수 있는 시스템이 발전하게 되어 진입장벽이 낮아졌다. 이를 서비스형 멀웨어(Maas)라고 한다. 주로 다크웹을 이용해 거래하며 소비자인 사이버 범죄자들의 반응에 따라 수명이 달라진다. 맥아피에서는 2019년 사이버 보안 동향 예측 발표에서 이미 MaaS를 제공하는 아웃소싱 시장이 확대되면서 공격 기법이 더욱 혁신적이고 민첩하게 발전할 것으로 예측했다. 손쉽게 구매가 가능한 MaaS와 더불어 다양한 경험과 기술을 보유한 사이버 범죄자들은 자금 세탁, 회피 기법, 취약점 악용과 같은 서비스들과 연계돼 사이버 범죄 시장이 호황을 누릴 것으로 예상했다.
여기서 다루는 MaaS는 Cerberus, Anubis, Phoenix Keylogger, Red Alert 2.0, FormBook, Raccoon Stealer, AZORult, 그리고 Krypton Stealer까지 총 8개이다. 이들의 특징과 공통점 등을 정리하여 MaaS 시장의 동향을 알아내고자 한다.
MaaS 종류
01 | Cerberus
01.01_소개
Cerberus는 안드로이드 뱅킹 트로이목마로 현존하는 어떠한 뱅킹 트로이목마의 코드도 재사용하지 않는 독자적인 악성코드이다. 1개월에 $2000으로 대여할 수 있으며, 고객에게 공격 인프라 지원도 제공하여 안드로이드 뱅킹 트로이목마 시장이 빠르게 변화하는 것을 반영해준다. 샌드박스 환경을 회피하기 위해 장비의 가속도계 센서와 계보기 기능을 이용해 피해자가 일정한 수 이상의 걸음을 걸어야 멀웨어가 활동을 시작하는 독특한 기술을 사용하기도 한다.
01.02_기능
- 연락처 수집
- SMS 제어
- 스크린샷 촬영
- 오디오 녹음
- 키로깅
- 착신 전환
- 기기 정보 수집 및 위치 추적
- 계정 크리덴셜 도용
- Play Protect 비활성화
- 추가 앱 및 페이로드 다운로드
- 감염된 기기에서 앱 제거
- 알림 푸시
01.03_공격 과정
① 자신의 아이콘을 숨기고 플래시 플레이어 서비스로 위장한다.
② 안드로이드의 접근성 권한을 요청한다.
③ 권한이 부여되면, 해킹된 기기를 C&C 서버에 등록하여 원격으로 해당 기기를 제어할 수 있도록 한다. 동시에 구글의 백신 솔루션인 Play Protect를 비활성화 시킨다.
④ 공격자들이 스크린 오버레이 공격을 실행하여 개인정보를 탈취하게 한다.
02 | Anubis
02.01_소개
Anubis는 은행이나 결제 앱 등의 로그인 정보를 비롯한 입력 정보를 훔치는 뱅킹 관련 악성코드 중 하나이다. 사이버 정찰용 트로이목마였지만, 뱅킹 트로이목마로 변질된 악성코드이다. 모바일 뱅킹 멀웨어인 ‘닙’에 변종되어 나타나기도 했다.
02.02_기능
- 키로깅
- 스크린샷 촬영
- 스팸 문자 발송
- RAT(Remote Access Tool) 기능
- 모바일 장치 및 Anubis Crypt로 알려진 SD카드에 저장된 파일을 암호화하는 랜섬웨어 기능
02.03_공격 과정
① 공격자들이 보낸 링크를 통해 구글 플레이 스토어에서 아누비스가 포함된 앱을 다운받는다.
② 악성코드를 대상 하드웨어에 드롭 한다.
③ Play Protect를 사칭하여 접근성 권한을 얻는다.
④ 키로깅이나 스크린샷 촬영을 통해 정보를 빼낸다.
⑤ 금융 관련 앱이 발견되면 오버레이 공격을 통해 사용자가 크리덴셜을 입력하도록 유도한다.
03 | Phoenix Keylogger
03.01_소개
Phoenix Keylogger는 키로거로 구분할 수 있지만, 사용자의 중요한 개인정보를 탈취하는 기능을 가지고 있어 정보 탈취형 멀웨어라고 분류할 수 있다. 1달에 $14.99로 대여하거나 $78.99로 구매할 수 있다. 보안 업체 사이버리즌(Cyberaseon)에 소속된 연구 팀인 녹티너스(Nocturnus)는 피닉스 키로거가 암시장에서 잠깐 주목받았다 사라진 Alpha의 개발자들 작품이라고 추측한다. 두 멀웨어의 코드가 매우 비슷하고 피닉스가 시장에 등장하기 직전에 자취를 감추었기 때문이다.
03.02_기능
- 클립보드 정보, 비밀정보 탈취
- 화면 캡처
- 각종 데이터를 SMTP와 FTP, 텔레그램을 통해 탈취
- 다운로더, 안티 백신, 안티 디버깅, 안티 샌드박스의 기능
03.03_공격 과정
① RTF 문서나 MS 오피스 문서의 형태로 구성된 악성 파일이 첨부된 메일을 보내 피해자의 시스템에 설치한다.
② ipconfig.me를 통해 시스템의 IP 주소를 획득하고 연결 실패 시 프로그램을 종료시킨다.
③ HWID, 사용자명, OS, Memory, Date 등 사용자 시스템 정보, 사용자의 키보드 입력 로그, 클립보드의 데이터를 수집하여 메모리에 저장한다. 수집된 데이터는 사용자의 개인정보와 함께 전송된다.
④ 가상환경과 관련된 프로세스 및 파일을 확인한 뒤 가상환경이 아니라면 브라우저, FTP와 같은 서비스의 사용자 계정 정보를 수집한다.
⑤ 크롬, 파이어폭스 등의 브라우저와 FTP 서비스를 대상으로 계정 정보를 수집한다.
⑥ 데이터를 Base64 인코딩 후 SMTP 프로토콜을 사용하여 공격자에게 전송한다.
04 | RED ALERT 2.0
04.01_소개
RED ALERT 2.0은 2017년에 알려진 안드로이드 뱅킹 트로이 목마이다. 다크웹에서 한 달 $500의 가격에 거래되고 있던 것으로 확인되었다. 이전 트로이 목마의 유출된 소스 코드에서 발전하지 않고, 처음부터 새로운 코드로 작성되었다.
04.02_기능
- 안드로이드 뱅킹 트로이목마의 기능
- 다양한 결제 및 지불 시스템 공격
04.03_공격 과정
① 가짜 앱스토어 페이지를 만들고 잘 알려진 소셜 미디어, 미디어 플레이어, VPN 클라이언트 가짜 앱 등으로 피해자를 유도한다.
② 악성 코드가 삽입된 앱이 설치되면 권한을 요청한다.
③ 백그라운드에서 공격자의 명령을 듣는다. 일반적으로 첫번째 명령에 대상 은행 목록을 받는다.
④ 사용자가 금융 응용 프로그램을 시작할 때마다 오버레이를 만들어 작동한다.
⑤ 사용자가 로그인을 하면 오류를 띄워 자신의 계정을 다시 인증하도록 한다.
⑥ 인증 정보를 기록하고 공격자가 계정을 얻기 위해 사용할 C&C 서버로 보낸다. 뱅킹 앱의 경우 공격자가 기록된 정보를 사용하여 거래를 시작하고 피해자의 은행 계좌를 비운다.
05 | Raccoon Stealer
05.01_소개
2019년 4월에 등장한 Raccoon Stealer는 영어와 러시아어로 제공되는 MaaS이다. Legion, Mohazo, and Racealer라고 불리기도 한다. 주당 $75, 월별 $200의 비용으로 제공되고 있던 것으로 확인되었다. 판매가 중단된 AZORult의 대체용으로 사용된다고 알려져 있다. 다소 단순한 악성코드이기 때문에 전문가가 아니더라도 손쉽게 사용하여 수익을 낼 수 있다.
05.02_기능
- 개인 정보 수집
- IP 주소 및 지리적 위치와 같은 시스템 정보를 기록
- 금융 정보 조작
- 멀웨어 확산
05.03_공격 과정
① 시스템 언어를 확인하여 ‘Russian’, ‘Ukrainian’, ‘Belarussian’, ‘Kazakh’, ‘Kyrgyz’, ‘Armenian’, ‘Tajik’, ‘Uzbek’ 일 경우 종료한다.
② C&C 서버와의 연결을 시도한다.
③ 웹 브라우저, 이메일 클라이언트 정보를 수집한다.
④ 암호 화폐 지갑 및 시스템 정보를 수집한다.
⑤ 수집한 사용자 정보를 모두 모아 C&C서버로 전송한 뒤 삭제한다.
06 | AZORult
06.01_소개
2016년에 처음 분석된 AZORult는 데이터 스틸링 멀웨어이다. 다단계 캠페인에서는 다른 악성코드를 로드하는 다운로더의 역할도 한다. 3.3 버전까지 있으며, 2018년 10월부터 2018년 12월까지 위험한 멀웨어 10가지 중 하나로 이름을 올렸다. 구소련에서 시작됐으며, 러시아의 언더그라운드 포럼에서 $100에 판매되고 있었던 것으로 확인되었다. 주로 EK와 같은 취약성 공격 키트 및 사회 공학 기술을 사용한 스팸 이메일이나 RIG 익스플로잇 키트를 통해 배포된다.
06.02_기능
- 개인 정보 수집
- 다운로더
- 랜섬웨어 유포
- 백도어 명령
06.03_공격 과정
① 피해자 컴퓨터의 고유 ID를 생성하고 생성된 ID를 사용하여 XOR 암호화를 적용한다. 마스크 된 ID는 명령 및 제어(C2)서버의 초기 요청에 사용되고 뮤텍스를 만들기 위해 사용된다.
② C2서버는 대상 웹 브라우저 이름, 웹 브라우저 경로 정보, API 이름, sqlite3 쿼리 및 합법적인 DLL이 포함된 구성 데이터로 응답한다.
③ AZORult는 구성 데이터에 의해 설정된 규칙에 따라 피해자의 컴퓨터에서 민감한 정보를 수집한다.
④ 수집된 정보는 압축되어 XOR 암호화된다.
⑤ AZORult는 추가 프로그램을 다운로드하여 실행할 수도 있다.
07 | Formbook
07.01_소개
2017년 10월경 처음 등장한 FormBook은 정보 탈취 멀웨어이다. 미국과 국내에 항공, 국방, 제조 분야를 목표로 피싱 메일의 첨부파일을 통해 대량 유포되었고, 아직까지도 활발하게 유포되고 있다. 일주일에 $29, 한 달에 $59로 폼북을 빌릴 수 있다. 제작자는 자체적으로 버전을 업그레이드하며 변종을 생성하고 있으며, 3.9 버전까지 발견되었다.
07.02_기능
- 키로깅
- 클립 보드 모니터링
- HTTP / HTTPS / SPDY / HTTP2 네트워크 요청 파악
- 스크린샷 생성
07.03_공격 과정
① PDF, DOC,XLS이 첨부된 이메일을 통해 다운받아 실행한다.
② 정상 프로세스에 코드 인젝션한다.
③ 사용자 정보를 수집하여 각각 다른 이름으로 저장한다.
④ POST 형식으로 BODY 부분에 담아 C&C 서버로 전송한다.
⑤ C&C 서버의 응답에 따라 원격 명령을 수행한다.
⑥ 자가 복제 및 자동 실행을 등록한다.
08 | Krypton Stealer
08.01_소개
정보 탈취형 악성코드인 Krypton Stealer는 2019년 4월에 등장했다. 크립톤 스틸러는 소규모 멀웨어이지만, 전세계적으로 사용되는 많은 소프트웨어를 대상으로 하고 조용히 실행된다는 점에서 위험성이 높다. 크립톤 스틸러는 여러 안티바이러스 제품으로 탐지 가능하며, 감염을 미리 방지할 수 있다.
08.02_기능
- 정보 탈취
08.03_공격 과정
① C&C 서버에 연결을 시도한다.
② 사용자의 폴더에 Krypton Stealer 폴더를 생성한다.
③ 탈취한 정보를 해독하기 위해 DLL을 로드해 기능을 사용한다.
④ 이메일, 브라우저 로그인 계정 정보를 수집한다.
⑤ FTP 계정, 암호 화폐 지갑 및 사용자 데이터를 수집한다.
⑥ 수집한 사용자 정보를 탈취한다.
MaaS 특징 및 공통점
Cerberus는 기존 안드로이드 뱅킹 트로이목마들과는 달리 새로운 코드만을 사용해 만들어졌으며, 샌드박스 환경을 회피하기 위해 사용자의 걸음 수를 감지하는 독특한 기술을 사용한다. Anubis는 다른 앱에 포함된 형태로 다시 나타나고 있으며, 기본적으로 가지고 있는 하이재킹 기능과 더불어 랜섬웨어 기능, 소셜 미디어 플랫폼으로부터 명령을 수신할 수 있는 기능을 가지고 있다. Phoenix Keylogger는 Alpha의 후속작으로, 재사용한 코드이다. 스텔스 측면에서 많은 공을 들인 만큼 탐지가 까다로워 발견되기가 쉽지 않다. 배포 방식은 이메일을 통한다. RED ALERT 2.0은 독자적인 코드를 가지며, 자신을 위장하여 침투한 뒤 사용자의 정보를 탈취하고 SNS를 이용한다. Raccoon Stealer는 정교하거나 혁신적인 코드가 아님에도 손쉽게 수익을 낼 수 있으며, 전 세계 수십만 대의 기기를 감염시킨 유명성과 손쉽게 다양한 목적에 맞춰 사용할 수 있는 편리함을 갖추고 있다. AZORult는 안티 바이러스를 속일 수 있어 탐지를 피해가는 정보 탈취형 멀웨어이다. FormBook은 정교하지 않지만 다양하게 사용이 가능하고 개발자가 계속 버전을 업그레이드하며,저렴하기 때문에 더욱 자주 사용된다. Krypton Stealer는 기능이 적은 소규모 MaaS지만, 그만큼 조용히 작동하여 이미 설치가 됐다면 탐지가 어렵고, 정보 탈취에 효율적이라 위험도는 다른 MaaS 못지 않다.
| Cerberus | Anubis | Phoenix Keylogger |
Red Alert 2.0 |
Raccoon Stealer |
AZORult | Form Book |
Krypton Stealer |
|
| 안드로이드 사용 여부 |
O | O | O | O | O | O | O | O |
| 기존 코드 재사용 | X | X | O | X | X | X | X | X |
| 발생 연도 | 2019 | 2017 | 2019 | 2017 | 2019 | 2016 | 2017 | 2019 |
| SNS 이용 | O | O | O | O | X | X | X | O |
| 특징 | 오버레이 공격 |
다른 앱 으로 위장 |
스텔스 | 은행 전화 차단 |
백엔드 채널 구현 |
2차 멀웨어 필요 | 지속적인 업그레이드 |
작은 페이로드 |
처음 조사할 때는 케르베로스, 아누비스, 레드 얼럿 2.0 모두 안드로이드 뱅킹 트로이목마였기에 MaaS 시장에서 안드로이드 뱅킹 트로이목마가 대다수인 줄 알았지만, 그와 별개의 정보 탈취형 멀웨어인 피닉스 키로거, azorult, 폼북, 라쿤 스틸러, 크립톤 스틸러 등이 존재함을 알아냈다.
연도별로 정리하면, AZORult(2016) – Anubis, RED ALERT 2.0, 폼북(2017) – Cerberus, Phoenix Keylogger, 라쿤 스틸러, Krypton Stealer (2019) 순이다
[Cerberus]
[1] Swati Khandelwal, “Cerberus: A New Android ‘Banking Malware For Rent’ Emerges”, 2019년 8월 13일, https://thehackernews.com/2019/08/cerberus-android-banking-trojan.html
[2] 문가용, “처음 등장하는 안드로이드 뱅킹 트로이목마, 케르베로스”, 2019년 8월 14일, https://m.boannews.com/html/detail.html?mtype=6&tab_type=1&idx=82253
[3] ESTsecurity 알약 블로그, “새로운 서비스형 안드로이드 뱅킹 악성코드 Cerberus 등장”, 2019.08.14,
https://blog.alyac.co.kr/2472
[Anubis]
[4] Charlie Osborne, “Anubis Android banking malware returns with extensive financial app hit list”, 2019.07.09
https://www.zdnet.com/article/anubis-android-banking-malware-returns-with-a-bang/
[5] Jagadeesh Chandraiah, "Anubis is Back: Are You Prepared?”, 2018.08.14
https://news.sophos.com/en-us/2018/08/14/anubis-is-back-are-you-prepared/
[6] 문가용, “또 다시 나타난 아누비스, 안드로이드 장비 노리며 퍼진다”, 2020.02.10,
https://www.boannews.com/media/view.asp?idx=86252&page=1&kind=1
[Phoenix Keylogger]
[7] TACHYON&ISARC, “[악성코드 분석] Phoenix Keylogger 악성코드 분석 보고서”, 2019.11.29, https://erteam.tistory.com/2700
[8] 문가용, “현재 사이버 범죄자들 사이에서 인기 높아지고 있는 멀웨어, 피닉스”, 2019.11.21,
https://www.boannews.com/media/view.asp?idx=84668
[Red Alert 2.0]
[9] Pierluigi Paganini, “Red Alert 2.0 Android Trojan available for rent in the underground at $500 per Month”, 2018.06.22,
https://securityaffairs.co/wordpress/73789/malware/red-alert-2-trojan.html
[10] Jagadeesh Chandraiah, “Red Alert 2.0: Android Trojan targets security-seekers”, 2018.07.23,
https://news.sophos.com/en-us/2018/07/23/red-alert-2-0-android-trojan-targets-security-seekers/
[Raccoon Stealer]
[11] Pierluigi Paganini, “Raccoon info stealer already infected 100,000+ worldwide”, 2019.10.28
https://securityaffairs.co/wordpress/93028/malware/raccoon-info-stealer-maas.html
[12] TACHYON&ISARC, “[악성코드 분석] Raccoon stealer 악성코드 분석 보고서”, 2019.11.15,
https://isarc.tachyonlab.com/2671?category=324722
[13] Tomas Meskauskas, “How to remove Raccoon Stealer”, 2020.09.03,
https://www.pcrisk.com/removal-guides/15049-racoon-stealer-spyware
[AZORult]
[14] ANY.RUN, https://any.run/malware-trends/azorult
[15] TREND MICRO, “AZORULT Malware Information”, 2019.12.20,
https://success.trendmicro.com/solution/000146108-AZORULT-Malware-Information
[FormBook]
[16] Nart Villeneuve, “Significant FormBook Distribution Campaigns Impacting the U.S. and South Korea”, 2017.10.05,
https://www.fireeye.com/blog/threat-research/2017/10/formbook-malware-distribution-campaigns.html
[17] Tom Spring, “FormBook Malware Targets US Defense Contractors, Aerospace and Manufacturing Sectors”, 2017.10.09,
https://threatpost.com/formbook-malware-targets-us-defense-contractors-aerospace-andmanufacturing-sectors/128334/
[18] TACHYON&ISARC, “[악성코드 분석] Formbook 악성코드 분석 보고서”, 2019.12.26, https://isarc.tachyonlab.com/2757