탐지와 분석 어려운 새로운 금융정보탈취용 공격 국내 출현!

[보안뉴스 김태형] 지난 2월 21일자 외신에 의하면, 미국 NBC.com의 메인 페이지가 공격자에 의해 변경되어 모든 방문자들에게 악성코드를 감염시키고 유포했던 사례가 보도된 바 있다. 

여기에서 방문자 PC의 공격에 이용된 공격 세트는 ‘Redkit exploit kit(이하 Redkit)’으로 알려져 있으며, 감염된 사용자는 금융정보 탈취가 목적인 ‘Citadel’ 악성코드가 설치되는 것으로 알려졌다.

빛스캔은 이처럼 해외에서나 발견되는 것으로 알려진 ‘Redkit’ 공격이 현재 국내에서도 유입되어 활발하게 공격에 이용되는 정황이 발견됐다고 밝혔다.

    

     그림 1. Redkit 공격 기법에 의해 금융정보 탈취용인 Citadel 악성코드 감염에 이용된   

     nbc.com

    
    그림 2. Red Kit 구성도 (출처:맥아피)

Red Kit 또한 다른 자동화 공격도구와 마찬가지로 웹사이트를 해킹한 후에 악성링크 단 한줄만 삽입한다.

빛스캔 측은 “그림 2와 같이 사용자가 악성링크를 삽입한 웹사이트에 접속하게 되면 Red Kit은 악성코드가 있는 웹사이트로 자동 연결을 해주며 방문자 PC의 어플리케이션이 최신 업데이트가 되어 있지 않다면 웹 사이트에 접속하는 것만으로도 악성코드에 감염된다”고 설명했다.

    그림 3. Redkit을 악용한 정상 사이트에 삽입한 악성링크

레드킷은 CVE-2013-0422, CVE-2012-1723, CVE-2010-0188 등 자바 2종, Adobe 1종 제로데이 취약점을 활용하고 있는 것으로 파악되고 있으며, 웹방화벽이나 기타 탐지 장비를 우회하기 위해 ‘iframe’ 태그 내에 다양한 구성요소 값을 추가한다.

또한, 최종 접속되는 사이트가 고정되어 있지 않고 블랙홀과 같이 수백에서 수천개의 도메인을 다양하게 활용함으로써 악성코드의 추적을 어렵게 한다. 특히, 이 공격 기법의 특징은 한번 악성링크로 접속하게 되면 동일 IP에서는 악성링크로 접속되지 않고, google.com으로 리다이렉트 되는 경우가 일반적이므로 분석이 쉽지 않은 것이 특징이다.

참고로 Gongda Pack은 자바 6종, MS 1종으로 총 7가지의 취약점을 사용해 공격하며 최근에는 8개 취약점까지도 사용한다.

Red Kit을 활용한 공격 급증

빛스캔에 따르면 국내에서는 2월 초에 Redkit이 처음 발견됐고 2월 3주차 분석에서도 다수 발견되고 있는 상황이다. Redkit이 첫 발견된 이후 이 공격기법이 꾸준히 증가해 이번 주에는 다른 공격 기법에 비해 압도적으로 많은 수가 발견되고 있다.

     표 1. 레드킷의 발견 및 증가 현황

RedKit은 Java Applet 취약점과 Adobe Reader 취약점을 공격하는 코드를 사용하며, 취약점을 발생시키는 페이지로의 리다이렉팅을 통해 jar 파일과 pdf 파일을 다운로드하고 악성행위를 시도하는 전형적인 악성링크의 구조를 지니고 있는 것으로 분석됐다.

     그림 4. 악성 링크의 분기 과정

RedKit에서 사용하는 취약점은 CVE-2013-0422, CVE-2012-1723, CVE-2010-0188의 3가지이며, 각각 33.html, 41.html, 62.html을 실행하는 구조로 되어 있다. 공격 페이지에 접속 시 332.jar나 887.jar와 같은 공격 수행에 필요한 파일을 다운로드 한 후, 난독화된 html 주소 부분을 수행하는 구조로 구성되어 있다.

각각의 html 파일들은 그 내용을 확인할 경우, 실제 웹페이지가 아닌 방문자 PC를 감염 시키는 공격으로 연결된다.

빛스캔 측은 “현재는 3가지 취약점만을 사용하고 있지만 해당 툴킷을 사용해 더 다양한 공격을 시도할 것이라는 예측이 가능하다. 빛스캔의 관찰 결과 최대 8종류의 취약성 공격이 관찰된 사례가 있어서 빠른 속도로 취약성 목록이 증가할 것으로 예상된다”고 설명했다.

덧붙여 “현재 이러한 문제 해결을 위해서는 Java와 Adobe PDF에 대한 업데이트를 반드시 수행해야만 감염되지 않으므로 강도 높은 주의가 필요하다”고 강조했다.

감염시 대량 스팸 발송지로 활용

빛스캔 측은 “Red Kit을 통해 감염시킨 악성파일을 분석한 결과 지금까지 국내를 대상으로 한 악성코드와는 다른 스팸메일을 대량 발송하는 악성코드가 발견됐다”고 설명했다.

또한 “이 스팸 메일 메시지가 영어를 사용하고 주식에 관련된 내용이라 국내를 대상으로 한 스팸 발송은 아니라고 판단되며, 현재 국내 좀비 PC를 사용해 외국을 대상으로 스팸 메일을 보내는 행위만을 하고 있다”면서 “하지만 추가 다운로드 및 악성파일의 변경을 통해 다른 용도로도 즉시 활용할 수 있을 것으로 보인다. 향후 국외 DDoS 공격에 국내 좀비 PC가 활용될 여지도 있을 것으로 판단된다”고 덧붙였다.

대량으로 메일을 발송하기 위해 멀티 세션으로 SMTP 연결을 시도한다. 악성코드가 자동으로 발송하는 스팸성 메시지는 ‘It is one of my biggest discoveries ever! Preview our Newst Bold Stock!’으로, 스팸 메일을 받은 사용자를 악성코드에 감염시키기 위한 링크는 없었고 단순히 광고 메일을 발송하는 역할만을 수행한다.

하지만 감염된 좀비PC는 공격자가 올려둔 악성파일을 추가적으로 다운로드 받으며 다운로드 받은 것이 무엇인지에 따라 좀비 PC의 역할이 달라질 것으로 충분히 예상할 수 있다.

VirusTotal에서도 전세계 백신 46개 중 단 3개만이 탐지하는 상태이며, 결론적으로 감염됐음을 인지하기도 어려운 상태이고 국외로 발송되는 스팸메일이 대량으로 늘어나는 상황이 될 수도 있다는 것이 빛스캔 측의 설명이다.

문일준 빛스캔 대표는 “이처럼 탐지와 분석이 어려운 새로운 유형의 공격이 출현함에 따라 향후 웹을 통한 대량 감염 및 유포의 분석에 전체적으로 어려움이 있을 것으로 예상되고 있다”면서 “nbc.com의 해킹 및 금융정보 탈취 형태의 악성코드 감염 사고에서 보듯 다른 형태로도 즉시 활용될 수 있으므로 국내에서도 관심과 주의를 가질 필요가 있다”고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>