안티 포렌식, 시한 폭탄 기능까지 갖춰

공식 클라우드까지 경유하는 대범함 때문에 빠른 발견 어려워

[보안뉴스 문가용] 글로벌 보안전문업체 트렌드마이크로(Trend Micro)는 최근 드롭박스를 이용해 악성코드를 타깃에게 배포하려 했던 누군가의 계획을 발견했다고 발표했다. 공격자의 정체는 아직 밝혀지지 않은 상태다.

최근 대만 정부기관에 사이버공격이 이루어졌는데, 이를 분석하는 과정에서 발견한 이번 멀웨어는 드롭박스를 통해 C&C 서버 세팅을 다운로드하도록 되어 있었다. 이는 악성 트래픽에 대한 감시를 피하기 위해 합법적인 사이트를 경유하도록 한 것으로 트렌드마이크로 측은 “드롭박스 자체에는 취약점이 발견되지 않았으나 이 사실을 발표하기 전에 드롭박스 측에 먼저 알렸다”고 전했다.

공격자들이 사용한 건 PlugX라는 RAT의 변종으로 밝혀졌다. 트렌드마이크로의 위협분석가 마어스크 멘리지(Maersk Menrige)는 “이 멀웨어를 실행했을 때 원격 사용자(즉, 공격자)로부터 여러 가지 명령을 받아 그를 수행한다”며 “여기에는 키스트로크 로깅과 원격 쉘 같은 것들이 있다”고 설명했다. 원격 쉘은 공격자에게 감염된 시스템을 조정할 수 있는 권한을 주며, 공격자는 이를 통해 보안망을 무력화시킨다.

또한 이 RAT는 특정 URL에 접속해 C&C 설정을 다운로드 받는다. 이때 합법 웹사이트인 드롭박스를 경유함으로써 네트워크 내에 있는 악성 트래픽을 감출 수 있었다. 멘리지 씨는 “트리거 일시가 2014년 5월 5일이라는 것 또한 발견했습니다. 즉 멀웨어가 처음 작동한 날이 그 날이라는 것이죠. 이렇게 일찍부터 멀웨어가 활동을 시작한 건 사용자들이 악성코드의 존재를 의심하지 않도록 하기 위함이며, 그게 지금에 와서 발견된 건 그 전략이 잘 통했다는 뜻”이라고 말했다.

이번 공격에 사용된 멀웨어는 PlugX 2의 변종으로 PlugX 1보다 기능이 많다. 예를 들어 1에서는 MZ/PE 헤더를 사용했었는데 이번 2에서는 XV 헤더를 사용한다. 간단히 말해 안티 포렌식 기술이 장착된 것. 또한 1과는 달리 공격자가 사용하는 비밀 코드도 가지고 있었고, 그 코드는 20140513이었다. 하지만 1이나 2나 전부 정상 애플리케이션이 악성 DLL을 로딩하게 만드는 프리로딩 기능을 내포하고 있다. 이 악성 DLL은 암호화된 요소들을 로딩시키고 특정 AV 제품들을 쓸모없게 만들었다.

그렇게 C&C 서버가 구축되면 진짜 위험 요소들이 악성 툴과 합법 툴을 골고루 섞어 네트워크 안으로 침투하기 시작했다. 여기엔 암호 복구 툴, 포트 스캐너, TCP 트래픽을 튀게 해서 공격자의 원 IP를 숨겨주는 HTran 툴 등이 포함됐다. 암호 복구 툴의 경우 앱과 OS들에 저장되어 있는 암호 정보를 빼돌리는 기능을 가지고 있다.

“저희는 처음 보는 방식이었습니다. 범죄자들은 이런 최신 기법을 참 잘도 활용하는 것 같습니다.” 트렌드마이크로의 글로벌 담당 전문가인 크리스토퍼 퍼드(Christopher Budd)의 설명이다. “일개 멀웨어가 클라우드까지 경유하다니, 곧 클라우드 자체에 C&C가 호스팅 될 수도 있겠습니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>