mir.pe (일반/어두운 화면)
최근 수정 시각 : 2024-05-28 11:36:22

네봄이 사이트


파일:네봄이.png

1. 개요2. 예방3. 패러디4. 그들의 기술
4.1. 프로토콜4.2. 시연영상
5. 여담

1. 개요

안녕하세요. OOO[1] 다운로드하려고 하는데요. 제 친구가 당신의 포럼에서 그것을 보았다고 말해줬습니다. 도움을 주시면 감사드리겠습니다. - 네봄이(질문 작성자)
여기 다운로드 링크입니다 OOO 다운로드 - Admin(관리자)
답변해 주셔서 감사합니다! 제가 찾고 있던 겁니다. - 네봄이(질문 작성자)
Admin, 감사합니다. - 이광국(회원)
문제가 해결되었습니다. 티켓을 이제 닫으셔도 됩니다. - 종희(운영자)

사용자에게 랜섬웨어가 포함된 가짜 다운로드 링크를 노출함으로서 감염을 유도하는 Q&A 형식의 피싱 사이트다. 진짜 명칭은 알려져 있지 않으며, 보통 질문 작성자가 '네봄이'라서 네봄이 사이트라고 불린다. 2019년 4월경부터 프랑스어권에서 처음 유행이 보고되었으며 여기서는 'Fluffy'라는 이름인데, 언어에 따라 다양한 닉네임이 있다. 독일어의 경우 'Talentfrei', 영어의 경우 'Emma Hill'이라는 닉네임을 쓴다.

이 사이트는 특정 파일을 공유하는 포럼 페이지로 위장하고 있으며, 공격자가 게시한 “유포 게시글”로부터 로드된다. 유포 게시글은 워드프레스를 구동하는 웹 서버의 취약점을 공격하여 게시되며, 다수의 키워드를 활용하여 자동화된 툴에 의해 생성되는 것으로 추정된다. 나름대로 진짜 포럼 게시글을 따라하려고 했는지, 등장인물이 질문자, 관리자, 회원, 운영자 등으로 꽤나 다양하게 구성되어 있는 점이 눈에 띈다. 로그인 버튼, 회원가입 버튼, 다른 게시판으로 가는 버튼 등도 있으나, 눌러도 아무 일도 일어나지 않는다.

사이트는 질문과 답변 형식으로 구성되어 있다. 한국어 원어민이 보면 '나그네'[2]라든지, 스레드가 들어갈 자리에 티켓이라는 단어가 들어가 있다든지,[3] 그 외 질문/답변에 사용된 어색한 한국어로 인해 사기임을 짐작할 수도 있으나, 그냥 정상적인 사이트에서 자동으로 번역기를 돌린 걸로 판단한 사용자가 다운로드 링크를 클릭할 경우 파일이 다운로드 된다. 네봄이 사이트 출력 및 파일 다운로드 과정은 IP 필터링을 적용하고 있으며, 한 번이라도 네봄이 사이트에 접속한 IP의 경우 파일 다운로드 여부에 상관 없이 한동안 네봄이 사이트가 출력되지 않고 정상적인 사이트가 출력된다. 이는 해커들이 정상적인 사이트의 자바스크립트 코드에 해당 위장 사이트의 스크립트를 삽입하는 방식을 취하기 때문이다.

다운로드된 파일은 검색 키워드가 파일명으로 되어있는 ZIP 압축 파일이며, 내부에는 난독화되어 있는 .js 파일이 포함되어 있다. 압축을 해제 후 .js 파일을 실행 시 랜섬웨어 감염을 위한 행위를 시작한다. 여기이 심어진 랜섬웨어의 종류는 Sodinokibi(소디노키비)이다. Sodinokibi가 출현하기 전에는 GandCrab(갠드크랩)이 네봄이 사이트를 통해 유포되었다.

앱체크 분석결과를 보면 "C:\Windows\SysWOW64\notepad.exe" 파일을 통해 파일 암호화가 진행되고 있으므로 네봄이 사이트에 접속한 경우 절대로 파일 다운로드를 하지 않도록 주의하라고 당부하고 있다.

사이트의 주소가 cigarczarradio라는 문자열을 포함하고 있다면 이 사이트일 가능성이 크므로 속아서는 안 된다. 이는 미국 뉴욕 롱아일랜드의 한 시가 관련 독립 라디오 채널 사이트의 이름을 도용한 것이다. 페이스북 인스타그램 페이지도 있는데, 들어가 보면 시가 피우는 털복숭이 아저씨들만 나온다... 채널 운영자들이 만들어놓고 방치해둔 사이트를 해커들이 탈취했을 가능성이 높다.

2. 예방

웹서핑 중 이 페이지를 마주칠 경우 파일을 다운받거나 실행해서는 절대 안 된다. 진짜 다운로드 사이트인 줄 알고 다운로드 해버려 랜섬웨어에 걸리는 사례가 많이 있다.

엣지, 크롬, 파이어폭스 브라우저로 링크를 클릭하면 사기성 페이지로 나와서 다운로드를 막을 수 있게 해놨다.

2021년이 되도록 해독할 수 있는 방법이 나오지 않아서, 감염되면 되돌릴 수 없다고 봐야 한다. 컴퓨터를 계속 쓰려면 포맷 등을 통해 시스템을 바이러스가 변조하기 전으로 되돌려야 한다. 최근들어 이와 같은 사이트가 끊임없이 생기고 있는것으로 추정된다.
소디노키비 Sodinokibi 랜섬웨어 - 복호화 툴 [초다] 링크

소디노키비의 경우 일부 버전에 한해 복구툴이 나왔으니 사용해보자. 링크

3. 패러디

하도 자주 나와서 정보보안 관련 업체에서는 아예 패러디 웹 사이트를 만들었다.

4. 그들의 기술

4.1. 프로토콜

네봄이가 주는 파일을 실행하면 외부로부터 악성코드 파일을 다운로드 하는데, 프로그램의 경량화 및 효율적인 전송을 위해 자체 프로토콜( BASE64와 유사한 방식)을 사용한다.

파일:네봄이_프로토콜.png

4.2. 시연영상

5. 여담


[1] 사용자가 어떤걸 다운로드 하려고 검색하느냐에 따라 그 단어로 쓴다. [2] 영어 guest를 번역한 결과물로 보인다. [3] 프랑스어 원문에서도 le ticket이라고 나온다. 아마 포럼의 스레드보다는 고객센터 사이트에서 접수되는 질문을 부르는 이름인 '고객 서비스 지원 티켓(technical support ticket)'의 의미로 가져다 쓴 것으로 보인다. [4] 감염이 된 이유는 오버워치 짝퉁 게임을 봤는데 그 게임을 찾아보다 우연히 네봄이 사이트에 들어가서 다운로드를 받아 .js 파일을 실행해서 감염 될 가능성이 있다. [5] 서울중앙지방법원 2021. 8. 18. 선고 2021고단17, 2021고단2024(병합) 판결, 사기, 정보통신망이용촉진및정보보호등에관한법률위반(정보통신망침해등), 정보통신망이용촉진및정보보호등에관한법률위반, 공갈미수