사이버 보안 벤더社 지스케일러(Zscaler)는 새로 등장한 데이터 탈취용 트로이목마는 보안 관리 툴들을 우회하기 위해 합법적인 인증서를 활용하고 있다고 경고함
주요내용
신종 트로이목마 스파이멜의 감염 경로(인증서 탈취 방법) - 공격자는 윈도우OS를 감염시키기 위해 이메일 첨부파일에 악성 스크립트 파일을 첨부하여 보냄 - 사용자의 경우 해당 첨부파일을 실행할 경우 스파이멜(Spymel)이 다운로드 되어 설치됨 - 스파이멜은 작업관리자 alc 프로세스 관리도구 등의 어플리케이션을 관찰 - 동시에 해당 악성코드(멀웨어)를 잡아낼 수 있는 앱이 실행되지 못하도록 막음 - 모든 과정에서 훔친 인증서(신뢰할 수 있는)를 제시하기 때문에 합법적인 소프트웨어로 둔갑
스파이멜은 불법적으로 인증서를 탈취하기 위한 악성코드지만 ‘합법’의 탈을 쓰고 있음 - 스파이멜이 갖추고 있는 인증서는 SBO 인베스트(SBO Invest)라는 기관에서 발행한 인증서이며, 디지서트(DigiCert)라는 인증기관을 거쳐 발행 - 디지서트는 해당 인증서를 폐기했지만, 스파이멜이 그에 맞춰 업데이트되어 SBO 인베스트의 또 다른 인증서를 탈취해 사용
지스케일러(Zscaler)에 따르면 스파이멜은 2015년 12월 초에 처음 등장한 악성코드 - 스파이멜은 봇넷, 스파이웨어, 애드웨어를 사용하는 해커들 사이에서 디지털 인증서 탈취법으로 널리 애용 - 초창기 등장한 스파이멜은 표적공격에 주로 이용되었지만, 최근 서명된 멀웨어가 광범위하게 다른 종류에 공격에 응용됨 - 가짜 정보로 인증서를 취득하는 것 및 합법적인 인증서를 훔치는 것 모두 간단하고 비용이 저렴하여 서명된 멀웨어가 큰 유행을 타고 있음
