• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

한 풀 꺾인 익스플로잇 킷 시장의 새 강자, 선다운 2017.04.03

무시 받던 선다운, 시대의 부름 받아 새롭게 변모
대형 익스플로잇 킷 빠졌으나 차세대 주자들 등장할 것

[보안뉴스 문가용 기자] 러시아 정부가 지난 해 50명 정도 되는 앵글러 익스플로잇 킷(Angler Exploit Kit) 범죄자들을 체포한 이후 익스플로잇 킷을 활용한 공격이 급격히 줄어들었다. 그리고 아직도 그 낮은 상태가 유지되고 있다. 그러나 완전히 멸종된 것은 아니다. 아직도 사용자들을 호시탐탐 노리고 있는 익스플로잇 킷들이 은밀히 활동하고 있다.


그 중 하나는 선다운(Sundown)이라는 익스플로잇 킷이다. 몇 달 전만해도 선다운이라고 하면 전문가나 범죄자나 ‘수준 낮은 툴’이라고 여겼었는데, 어느 덧 앵글러가 사라진 익스플로잇 킷 영역에서 ‘메이저급’으로 올라왔다. 시스코 탈로스(Cisco Talos) 팀은 선다운의 활동을 계속해서 추적해오고 있는데, 이들 역시 “처음 발견했을 때보다 그 영향력이 어마어마하게 커졌다”고 증언한다.

탈로스의 위협 분석 전문가인 에드문드 브루마긴(Edmund Brumaghin)은 “선다운의 상징과 같았던 ‘콜링 카드(calling card)’들이 전부 제거되었다”며 최근의 근황을 전달한다. 그러면서 그 이유에 대해 “아마도 ‘선다운’이라는 걸 누구나 쉽게 알아보지 못하도록 하기 위한 것”이라고 분석한다. “익스플로잇 킷 공격 중에서 단연 많이 사용되고 있는 것이 현재는 선다운이거든요. 그런 나름의 ‘시대적 부름’에 응한 변화입니다.”

그것뿐만이 아니다. 선다운의 원래 식별자들 대부분이 콜링 카드와 함께 사라졌다. 선다운의 식별이 매우 힘들게 변한 것이다. “예를 들어 이전 버전의 선다운 같은 경우 유고슬라비아 사업 네트워크(Yugoslavian Business Network)에 대한 레퍼런스가 다량으로 포함되어 있었습니다. 그런데 지금은 하나도 없습니다. 숫자로 된 하위폴더와 파일 이름들도 사라졌고요.”

여기에다가 새로운 익스플로잇 방법도 선다운에 새롭게 장착되었다. 최근 공개된 마이크로소프트 에지 브라우저의 취약점에 대한 익스플로잇이 대표적인 ‘신무기’다. 또한 새로운 익스플로잇이 요 근래 추가된 익스플로잇 킷은 선다운 외에는 찾기가 힘들다. 대신 기존의 실버라이트 브라우저 플러그인의 취약점에 대한 익스플로잇 기능은 사라졌다.

선다운에 익스플로잇 방법만 새롭게 추가된 것이 아니다. 시스템 침해의 접근 방식에도 변화가 있었다. 보통 익스플로잇 킷들은 한 개의 익스플로잇을 통해 시스템 침해를 시도하는데, 선다운은 장착되어 있는 멀웨어 툴 전부를 쏟아 붓는다. 이 때문에 노이즈가 많이 발생하긴 하지만, 침해 성공률도 올라간다고 탈로스 팀은 설명한다.

또한 이전 버전의 선다운은 웹 브라우저를 통해 페이로드를 검색하고 빼낸 것에 반해 최신 버전은 명령 행과 VBScript 파일들을 실행하는 윈도우 서비스를 사용해 같은 행위를 수행한다. 이는 또 다른 대형 익스플로잇 킷인 리그(RIG)로부터 차용한 것으로 보인다. 선다운의 페이로드는 랜딩페이지와 익스플로잇 페이지를 호스팅하는 서버와 다른, 별도의 서버에 호스팅되어 있다. “서버를 따로 사용한다는 건 선다운 운영자들이 인프라를 좀 더 복잡하고 튼튼하게 구성했다고 유추할 수 있는 부분입니다.”

이처럼 많은 변신을 거듭하고 있는 선다운인데, 그 중에서도 가장 큰 변화라면 선다운 공격자들이 도메인 판매업체들을 활용하기 시작했다는 것이다. 즉, 악성 활동을 하기 위한 도메인을 합법적으로 사들인다는 것이다. “그렇게 함으로써 블랙리스팅을 우회할 수 있게 되는 겁니다. 또한 온라인화 된지 최소 1주일이 지난 도메인을 사들이거나 사용하기 시작해 자동 블로킹 장치도 최대한으로 우회합니다.”

결국 고래 싸움에 새우만 살아남은 것이 이 시점의 익스플로잇 킷 시장의 모습이라고 브루마긴은 설명한다. “앵글러, 뉴트리노, 뉴클리어 등 덩치들이 다 사라졌어요. 그리고 홀대 받던 선다운이 빈 왕좌에 다가가고 있는 것이죠. 익스플로잇 킷 공격이 지금 당장에야 조금 사그라진 것으로 보이지만, 차기 주자들에 의해 부활할 조짐도 충분합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>