안티바이러스 우회공격 툴을 공급해 온 사이버 범죄자가 체포됐다. 트렌드마이크로의 보안조사팀 FTR은 영국의 국가범죄수사국(NCA)과 협력해 안티바이러스 무력화 서비스를 제공해 온 사이버 범죄자를 체포했다고 26일 밝혔다.
검거된 번죄자들은 안티바이러스 무력화 서비스 ‘리퍼드닷미(Refud.me)’와 암호화 서비스 ‘크립텍스 리본(Cryptex Reborn)’을 운영해 온 혐의를 받고 있다.
양 기관은 “리퍼드닷미와 크립텍스 리본은 대규모 지하 경제 비즈니스 모델의 기반이 되는 핵심 요소였다. 이들을 검거해 영국 사이버범죄 활동을 저지시키고 이들이 유포시키는 멀웨어를 쉽게 차단할 수 있게 됐다”고 밝혔다.
리퍼드닷미와 크립텍스 리본은 암시장에서 널리 사용돼 왔으며, 그 중 핵포럼스닷넷(Hackforums.net)은 해킹, 기술, 게임에 관한 게시글을 공유해왔다. 리러드닷키는 2월말부터 핵포럼스닷넷에 광고를 게재해왔으며 다양한 신기능을 추가했다. 그 중 scanwahch는 업로드한 파일을 지속적으로 검사하고 탐지 상황을 알려주는 기능으로 2015년 7월 말에 추가됐다.
리퍼드닷미는 CAV 스캐너를 제공해 사용자들이 검사하려는 샘플을 업로드할 수 있도록 한 후 널리 알려진 30-40개의 백신 제품에 탐지되는지 여부를 테스트한다. 그 목적은 멀웨어 제작자나 사용자들이 멀웨어를 배포하기 전에 백신 제품에 탐지되는 확률을 최소화하기 위한 것이다. 이와 유사한 합법적인 멀티 스캐너 서비스도 있지만 CAV는 샘플이나 피드백 데이터를 여러 AV 회사와 공유하지 않으며, 이 내용을 광고를 통해 홍보하고 있다.
암호화 서비스 크립텍스 리본은 안티바이러스 탐지엔진을 회피하는 악성코드 ‘FUD(Fully UnDetectable)’를 만들어 효과적으로 안티바이러스를 무력화 한다. 그러나 안티바이러스의 휴리스틱 엔진을 회피하지는 못한다.
크립텍스 리본은 장기간에 걸쳐 수 차례 업데이트됐고, ‘Cryptex’라 불리던 초기 버전은 2011년 10월부터 광고가 게재돼 왔다. 2011년 말 이 툴은 크립텍스 라이트와 크립텍스 어드밴스드(Cryptex Advanced)라는 두 개의 암호화 도구로 분리됐고 이들 각 도구는 서로 다른 기능을 갖고 있다. 이 도구는 안티바이러스 엔진의 발전에 따라 버전 업데이트를 했으며, 크립텍스 툴킷의 최신 버전이 크립텍스 리본이다.
