새로운 멀웨어 디코이독, 악성 DNS 트래픽 숨겨주고 다른 멀웨어 유포

요약 : IT 외신 블리핑컴퓨터에 의하면 기업을 노리는 새로운 유형의 멀웨어인 디코이독(Decoy Dog)이 발견됐다고 한다. 디코이독을 사용하는 공격자는 표준 탐지 엔진들 사이에서 좋은 평판을 유지시킨 후에 악성 행위를 시작할 수 있다고 한다. 보안 업체 인포블록스(Infoblox)가 4월 700억 개가 넘는 DNS 기록들을 분석하는 과정에서 발견했다. 3억 7천만 개 도메인들에서 디코이독의 흔적이 발견되고 있다고 하며, 이를 통해 C&C 서버로 보이는 도메인까지도 찾아낼 수 있었다고 한다. 이 서버들은 러시아에 있는 것으로 분석됐다.


배경 : 디코이독은 전략적으로 도메인을 오래된 것으로 보이게 만들고, ‘DNS 요청 드리블’이라는 기법을 통해 자신들이 만들어내는 DNS 트래픽을 보안 엔진들이 ‘정상’으로 판단하게끔 만들었다. 그렇게 해서 좋은 평판을 누적시킨 뒤에야 실질적인 악성 행위를 시작했다. 이 악성 행위 중에는 추가 멀웨어 설치 및 유포도 포함되어 있다.

말말말 : “DNS를 대량으로 검사하기 전까지 디코이독으로 인한 악성 행위들이 별개의 공격으로 보였습니다. 하지만 광범위하게 분석을 하니 이 캠페인들 간의 연결고리가 보이기 시작했습니다. 하마터면 모르고 넘어갔을 공격입니다.” -인포블록스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>