뉴스8. 리크넷 랜섬웨어, 클릭픽스와 데노 악용한 은밀한 침투 수법 포착

 

기사 요약:

기사에서는 리크넷(LeakNet) 랜섬웨어 조직이 클릭픽스(ClickFix)와 데노(Deno) 런타임을 결합한 새로운 공격 방식을 사용했으며, 정보 유출까지 이어진 것을 다루고 있다.

1. 이 공격은 해커가 직접 컴퓨터를 뚫는 것이 아니라, 사용자를 속여서 스스로 문을 열게 만드는 방식이다. 먼저 사용자에게 “오류를 해결하려면 이 명령어를 실행하세요” 같은 가짜 안내창을 보여준다. 사용자는 문제를 해결하려고 생각하고 그대로 따라 실행하게 되는데, 이 과정이 바로 공격의 시작이다. (ClickFix 기법)
2. 이후 해커는 일반적인 악성 프로그램을 사용하는 대신, 정상 프로그램인 ‘데노(Deno)’를 이용한다. 데노는 원래 개발자들이 사용하는 프로그램이기 때문에 보안 시스템이 쉽게 의심하지 않는다.
3. 또한 이 공격은 악성 파일을 컴퓨터에 저장하지 않고, 메모리에서 바로 실행된다. 그래서 백신이 검사할 파일 자체가 없어 탐지가 매우 어렵다. 컴퓨터에 들어온 이후에는 시스템 정보와 비밀번호 등을 수집하고, 다른 컴퓨터로 확산하거나 데이터를 외부로 빼낸다. 이후 랜섬웨어 공격으로 이어질 수도 있다.
4. 결국 이 공격의 핵심은 사용자를 속여 직접 실행하게 만들고, 정상 프로그램을 이용해 몰래 들어온 뒤, 흔적 없이 활동하는 것이다.

개인 의견: 최근 읽은 기사들 대부분 정상 파일인척 속인 후 정보를 탈취해갔던 것 같다. 기업에서 보안을 점검할 때 앞으로는 정상 파일들도 한번씩 확인할 필요가 있을 것 같다.

 

 

<용어 정리>

ClickFix : 사용자를 속여서 직접 명령어를 실행하게 만드는 방법

Deno : 개발자용 프로그램 (정상 프로그램)

페이로드 (Payload): 목적을 실제로 실행한 행동

VBS (Visual Basic Script): 윈도우에서 돌아가는 스크립트 언어

DLL 사이드로딩 기법: 정상 프로그램을 이용해 악성 DLL을 대신 실행시키는 공격

klist: 로그인 인증 상태 확인하는 명령어

PsExec: 다른 컴퓨터를 내 컴퓨터처럼 원격으로 실행하는 도구. 윈도우의 원격 명령어 도구.

Amazon S3: Amazon이 만든 클라우드 서비스

 

뉴스 링크: https://www.dailysecu.com/news/articleView.html?idxno=205753