구글 독스를 프록시 서버로 이용해 C&C 서버 접속

[보안뉴스 호애진] 지난달 26일 출시된 윈도우 8을 타깃으로 하는 신종 악성코드가 등장했다. 이 악성코드는 C&C 서버에 직접 접속하는 대신 구글 독스(Google Docs)를 프록시 서버로 이용한다.

시만텍(Symantec)은 보안 대응 블로그를 통해 윈도우 8과 윈도우 서버 2012를 타깃으로 하는 트로이목마 Backdoor.Makadocs가 악성 트래픽을 숨기기 위한 목적으로 구글 독스가 제공하는 뷰어(Viewer)를 이용해 C&C 서버에 접속하는 것으로 파악됐다고 밝혔다.

Backdoor.Makadocs는 익스플로잇 벡터로 윈도우 8의 특정 기능을 사용하지 않는다. RTF(Rich Text Format) 또는 워드(Word) 문서로 위장해 사용자가 파일을 열도록 유도하며, 다른 여느 백도어와 같이 C&C서버로터 공격자의 명령을 수신받아 이를 수행하고, 감염된 PC로부터 정보를 훔친다.

시만텍의 소프트웨어 엔지니어 타카시 카츠키(TakashiKatsuki)는 “구글이 방화벽을 구축한다면, Backdoor.Makadocs에 대한 근본적인 차단이 가능하다”고 설명했다. 반면, 구글은 “현재 이 사안을 조사 중에 있고, 악용되는 것이 확인되면 조치를 취할 것”이라는 입장을 밝혔다.

카츠키는 아래의 코드를 통해 Backdoor.Makadocs가 주로 브라질 사용자들을 목표로 하는 것으로 추정된다고 밝혔다.

 

현재 윈도우 8은 출시 초기라는 점에서 해커들의 주 타깃이 되고 있다. 마이크로소프트는 이달 초에 19개의 취약점에 대한 패치를 배포한 반면, 프랑스 보안업체 뷔펭(VUPEN)은 이미 할로윈 전에 윈도우 8에 대한 제로데이 익스플로잇을 개발했다고 발표한 바 있다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>