새로운 멀웨어가 작년 10월에 발견됐고 그 때부터 지금까지 조사된 내용들이 정리돼 발표됐다. 이 멀웨어를 통해 여러 멀웨어가 유포되어 왔는데, 유독 랜섬웨어와는 별 다른 인연이 없었다. 설정이 쉽고 모듈이 많아 유연한 운영이 가능하다.

[보안뉴스 문가용 기자] 새로운 크립터 멀웨어가 발견됐다. 공격자들은 이 크립터를 이용해 각종 정보 탈취용 멀웨어와 백도어(혹은 RAT)를 유포하는 중이라고 한다. 이 크립터의 이름은 다크토르티야(DarkTortilla)라고 하며, 각종 분석 방해 및 침투 기능을 탑재하고 있다. 닷넷(.NET)을 기반으로 하고 있으며 설정에 따라 여러 유형의 페이로드를 유포시킬 수도 있다. 심지어 샌드박스 시스템을 속이는 것도 가능하다고 한다.

[보안뉴스 / 8.18.] 새로운 고급 멀웨어 다크토르티야, 높은 유연성과 다양한 모듈이 특장점

[이미지 = utoimage]

다크토르티야를 제일 먼저 발견한 건 보안 업체 시큐어웍스(Secureworks)다. 발견된 시점은 지난 10월이었으며, 지난 수개월 동안 조심스럽게 추적해 왔다. 다크토르티야가 사용되어 온 것은 최소 2015년 8월부터인 것으로 보이며, 렘코스(Remcos), 비트랫(BitRat), 폼북(Formbook), 워존랫(WarzoneRat), 스네이크 키로거(Snake Keylogger), 로키봇(LokiBot), 콰사랫(QuasarRat), 넷와이어(NetWire), DC랫(DCRat) 멀웨어들이 다크토르티야를 통해 꾸준히 유포되어 왔던 것이 밝혀졌다. 아주 가끔 메타스플로잇(Metasploit)과 코발트 스트라이크(Cobalt Strike)도 다크토르티야를 통해 유포됐다.

시큐어웍스의 위협 분석가인 롭 판타조풀로스(Rob Pantazopoulos)는 “최근 들어 다크토르티야는 에이전트테슬라(AgentTesla), 에이싱크랫(AsyncRat), 레드라인(RedLine)을 주력으로 퍼트리기 시작했다”고 설명을 추가했다. “재미있는 건 다크토르티야가 멀웨어 유포용 멀웨어였음에도 랜섬웨어와는 큰 관련성이 없다는 겁니다. 2015년부터 현재까지 랜섬웨어를 유포한 것은 딱 9번 뿐이었습니다. 그 중 7번은 전부 바북(Babuk) 랜섬웨어를 퍼트린 것이었고요.”

시큐어웍스가 처음 다크토르티야를 발견했을 때 배후의 공격자는 CVE-2021-34473이라는 MS 익스체인지의 원격 코드 실행 취약점을 익스플로잇 하고 있었다고 한다. “해당 취약점을 통해 공격자들은 악성 파워셸을 심고 있었죠. 그러고 나서는 연쇄적인 익스플로잇 및 멀웨어 다운로드가 진행됐고 마지막에 다크토르티야가 설치됐습니다.”

그 외에도 시큐어웍스는 2021년 1월부터 5월 사이 다크토르티야 샘플이 바이러스토탈에 매주 평균 93건 업로드 됐다는 사실을 알아냈다. 또한 처음 추적을 한 때부터 지금까지 1만 개가 넘는 다크토르티야 샘플을 확보할 수 있었다고도 밝혔다. 공격자들은 .iso, .zip, .img 파일을 이메일에 첨부하는 방식으로 다크토르티야를 퍼트려 왔다고 한다.

유연한 설정 변경 기능
다크토르티야가 시큐어웍스의 관심을 집중시킨 건 제일 먼저 ‘유연성’ 때문이었다. 그 다음이 다양한 분석 및 추적 방지 기능이 탑재되어 있다는 사실이었다. “다크토르티야는 오픈소시 도구인 딥시(DeepSea)와 컨퓨저EX(ConfuserEX)를 활용하는 모습을 보여주기도 합니다. 악성 코드를 숨기기 위함입니다. 또 주요 페이로드는 온전히 메모리 내에서만 실행되기 때문에 탐지가 어렵습니다. 파일 시스템에 직접 기록되는 요소는 최초 로더 하나인데, 여기에는 기능이 거의 없다시피 해 탐지가 잘 되지 않습니다.”

다크토르티야는 피해자 시스템 내에서 최초로 실행될 때 TEMP 디렉토리를 활용한다. 판타조풀로스는 “방어자들에게 무척 까다로운 기법”이라고 말한다. “공격자들 입장에서는 Temp 폴드를 활용함으로써 보다 은밀하게 움직이고 흔적을 덜 남길 수 있게 됩니다. 또한 설정이 매우 자유로워서 공격자들이 주력 페이로드를 특정 시간 후에 실행시킬 수도 있습니다. 그렇게 함으로써 공격의 연쇄 작용을 하나하나 추적하는 걸 어렵게 할 수 있습니다. 다크토르티야의 실행과 주력 페이로드의 실행 사이에 시간차를 두면 샌드박스까지 속이는 게 가능합니다.”

또한 다크토르티야에는 많은 기능들이 탑재되어 있다. “해당 멀웨어가 정상 애플리케이션이라거나, 실행 시 오류가 발생했다거나, 소프트웨어가 잘못 설치됐다는 등의 메시지를 노출시킬 때 활용할 수 있는 메시지 박스가 눈에 띕니다. 사용자들을 속이기 위해 노출시킬 메시지를 공격자가 자유롭게 편집할 수 있게 되는데요, 이것 역시 다크토르티야의 유연성을 높이는 기능이라고 볼 수 있습니다.”

각종 애드온을 추가로 더할 수 있다는 것도 다크토르티야의 주요 특성 중 하나다. “어떤 애드온은 엑셀 문서의 형태를 가지고 있습니다. 사용자의 눈에는 멀쩡한 엑셀 문서가 열리는 것처럼 보이지만 뒤에서는 악성 프로세스가 시작되죠. 정상적인 애플리케이션 인스톨러처럼 생긴 애드온도 있습니다. 멀웨어가 실행 될 때 같이 실행되는데, 피해자는 정상적인 애플리케이션이 설치되는 것만 볼 수 있습니다. 이렇게 다양한 방법으로 애드온이 설치되니 피해자가 쉽게 파악할 수 없습니다.” 이런 류의 애드온이 현재까지 600종 이상 발견됐다고 한다.

“애드온들은 실행파일이나 악성 문건 형태로 유포되고, 주로 피해자의 ‘내 문서’ 폴더에 저장됩니다. 다만 애드온은 맞는데 아직까지 실제 공격에 활용된 것은 발견하지 못했습니다. 공격자들이 일단 피해자의 시스템에 심어두고 나중에 활용하려 했던 것일 수도 있고, 실험적으로 악성 콘텐츠를 퍼트린 것일 수도 있습니다. 두 가지 모두일 수도 있고요.”

3줄 요약
1. 새로운 크립터 멀웨어인 다크토르티야가 발견됨.
2. 몰래 설치된 이후 추가 멀웨어를 피해자 시스템에 설치하는 멀웨어.
3. 높은 유연성과 탐지 및 분석 방해 기능이 눈에 띄는 멀웨어.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>