2024-03-29 00:00 (금)
자바스크립트를 이용하는 새로운 랜섬웨어 ‘RAA’
상태바
자바스크립트를 이용하는 새로운 랜섬웨어 ‘RAA’
  • 길민권
  • 승인 2016.06.21 03:09
이 기사를 공유합니다

“자바스크립트 파일 담고 있는 이메일 첨부파일 비활성화시키는 것 효과적”
‘RAA’라고 불리우는 새로운 랜섬웨어가 발견되었다. 그런데 이상한 것은 작성자가 일반적인 프로그래밍 언어가 아닌 자바스크립트로 코딩했다는 것이다.
 
Bleeping Computer는 보안 연구원 @JAMES_MHT와 @benkow_가 발견한 RAA 랜섬웨어는 일반 문서 파일로 가장된 첨부파일을 지닌 이메일을 통해 확산된다고 알려왔다. 자바스크립트는 기본적으로 암호화 함수를 지니고 있지 않기 때문에 랜섬웨어 개발자는 사용자의 파일을 암호화시키는데 사용하는 AES 암호화를 활성화하기 위해 CrytoJS 라이브러리를 사용했다.
 
첨부파일을 여는 행위는 사용자의 파일을 잠그는 것 뿐 아니라 다른 악성코드를 다운 받는 등의 일련의 행위를 가능케 한다. 첨부파일은 시각적으로는 어떤 행위도 하지 않지만 백그라운드에서 복구를 막기 위해 Windows Volume Shadow Copy를 삭제하거나 새로운 정보를 획득하기 위해 윈도우가 시작될 때마다 실행하게 설정하는 등의 행위를 하고 있다.
 
Proofpoint의 Kevin Epstein은 이메일을 통해 "우리가 블로그를 통해 이전에 논의했던 것처럼 자바스크립트는 공격자에게 C++로 직접 컴파일된 exe파일을 넘어선 다양한 방법으로서의 이익을 제공할 수 있다. 따라서 우리는 탐지를 위해 정적 분석만큼이나 동적 분석을 기반으로 하는 것도 필요하다"라고 설명했다.
 
멀웨어바이트 시니어 연구원 Jerome Segura 역시 랜섬웨어 전달매체로서 자바스크립트를 사용하는 것은 완전히 새롭지는 않지만 그렇다고 자주 보이는 방법이 아니라고 말했다.
 
그는 "랜섬웨어를 로드하기 위한 다양한 방법이 있기 때문에 방어자는 항상 경계해야 할필요가 있다고 생각한다. 일반적으로 이메일에 이러한 파일을 넣는 것은 비합법적인 목적인 경우가 많기 때문에 이런 특별한 케이스에서 자바스크립트 파일을 담고 있는 이메일 첨부파일을 비활성화시키는 것은 이러한 공격을 방어하는데 좋은 방법일 수 있다"라고 말했다.
 
참고로 Bleeding Computer는 아직은 복호화할 수 있는 방법은 없고 전해왔으며 부가적으로 설치되는 악성코드는 패스워드를 탈취하는 Pony trojan이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 페소아(fesoa) 외신기자>
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★