RAT 통제자 및 C&C 서버 빠르게 찾아내
일부 전문가, “공격자들이 곧 적응해 자기 모습 감출 것”

[보안뉴스 문가용 기자] 유명 인터넷 검색 엔진인 쇼단(Shodan)에서 무료 스캐닝 툴을 제공하고 있다. 인터넷에서 멀웨어로 감염된 컴퓨터들과, 그런 컴퓨터들을 통제하는 시스템을 찾아내는 기능을 가지고 있다.

이 툴의 이름은 멀웨어 헌터(Malware Hunter)로, 일종의 크롤러(crawler)다. 2015년 보안 전문업체인 리코디드 퓨처(Recorded Future)와 쇼단이 손을 잡고 원격 접근 트로이목마(Remote Acess Trojan, RAT)와 관련된 C&C 서버와 봇넷을 잡아내고자 하는 프로젝트를 시작하면서 멀웨어 헌터 크롤러의 개발도 덩달아 시작됐다. 기존 하니팟 계열 제품들보다 능동적으로 정보를 수집해 사이버 스파이 및 범죄자들의 활동을 예측하도록 돕는다.

RAT이란 일종의 백도어 멀웨어로 공격자들이 원격에서 피해자 시스템을 통제하도록 해준다. 키스트로크를 로깅하고 오디오 및 비디오 기능을 통해 기록을 남길 수도 있다.

쇼단이 출시한 멀웨어 헌터 크롤러는 인터넷 서버, 라우터, 웹캠 등 인터넷과 연결된 기기들의 포트를 스캔해 RAT 통제자의 IP 주소를 찾아낸다. 감염이 시작되거나 확산되기 전에 찾아내는 것이 이 크롤러의 목적이다. 툴을 시작하면 이미 알려진 RAT 시그니처를 기반으로 RAT 통제자들을 크롤러들이 찾아 나서기 시작한다.

쇼단 측은 벌써 멀웨어 헌터를 사용해 전 세계에 확산되어 있는 고스트RAT(GhostRAT)의 수천 개 통제자들을 찾아내기도 했다. 그밖에 다크 코멧(Dark Comet), njRAT, 포이즌 아이비(Poison Ivy) 등 악명 높은 RAT용 C&C 서버를 발견하기도 했다.

“인터넷의 호스트들에게 어떤 요청 사항들을 내보냅니다. 그러면서 특정 응답이 돌아오기를 기다리죠. 이런 과정을 통해 RAT 통제자들을 찾아내는 겁니다.” 리코디드 퓨처의 부회장인 레비 건더트(Levi Gundert)의 설명이다.

이런 원리는 쇼단 검색 엔진 자체의 원리와 크게 다를 바가 없다. 쇼단 역시 인터넷을 통해 합법적으로 접속이 가능한 컴퓨터와 기기들을 크롤링하는 것이기 때문이다. 쇼단의 창립자인 존 매덜리(John Matherly)는 2009년 쇼단을 시작하면서부터 검색 엔진을 오픈소스로 공개했다.

매덜리는 “멀웨어 헌터는 스스로를 감염된 클라이언트인 것처럼 가장해 인터넷에 연결된 C&C 서버들을 검색한다”며 “기존 C&C 서버 검색 기법들에 비해 훨씬 빠르게 결과를 낸다”고 설명한다. “이미 여러 실험을 통해 악성 범죄 작전이 시작하기도 전에 혹은 확산되기 전에 미리 적발해낼 수 있다는 것을 증명해냈습니다. 물론 C&C를 발견한 후의 기능은 더 추가해야 합니다.”

유명한 보안 전문가인 HD 무어(HD Moore)는 쇼단의 멀웨어 헌터에 대해 “인터넷에 연결된 C&C 시스템을 수색하는 전문가들 사이에서 새로운 기대주가 될 것으로 보인다”고 평하며 “일단 기존의 탐색 툴보다 그 속도가 현저히 빠른 것이 장점”이라고 분석했다. 하지만 “범죄자들이 얼마 지나지 않아 적응할 것으로 보인다”며 “일정 기간 동안 효력을 발휘하겠지만, 그 수명이 대단히 길지는 않을 것”이라고 예측하기도 했다.

무어는 최근까지 래피드7(Rapid 7) 등의 보안 업체에서 멀웨어 헌터와 비슷한 스캐닝 프로젝트들을 여러 차례 진행한 바 있다. 또한 그러한 프로젝트들을 통해 C&C 서버를 여럿 발견하기도 했다. 그러나 대부분 범죄자들은 일정 시간이 지나면 적응을 완료해 그가 개발했던 스캐닝 솔루션들을 피할 수 있게 되었다.

“사이버 범죄자들 사이에서 난독화 기술이 유행하고 있습니다. 다 이런 식의 스캐닝을 피하기 위해서입니다. 인터넷 포트 등을 검색해 악성 행위들을 찾아낸다는 발상 자체가 새로운 것은 아닙니다. 다만 시대에 맞게, 범죄자들 사이의 유행에 맞게 매번 업데이트 되어야 한다는 어려움이 있습니다.” 무어는 2013년 프로젝트 소나(Project Sonar)를 시작해 인터넷 스캔 결과물을 공유하기도 했었다.

리코디드 퓨처의 건더트는 “쇼단이 작성한 RAT 목록에도 난독화 기술이 도입된 사례가 있다”고 말하며 무어가 걱정한 것만큼 “멀웨어 헌터가 난독화에 취약하지 않다”고 주장했다. 또한 분석과 검색이 쉬운 RAT들부터 시작해 고스트RAT처럼 호락호락하지 않은 것들도 멀웨어 헌터를 가지고 발견할 수 있었다며, “어떤 RAT이건 간에 특정 응답을 유도하는 건 가능하다”고 말하며 “다만 시간의 차이가 있을 뿐”이라고 말하기도 했다.

“RAT 범죄자들이 전부 금방금방 적응할 만큼 기술적으로 뛰어난 사람들이 아닙니다. 그냥 자기 집에서 PC로 C&C를 운영하는 경우도 있어요. 호기심에서 그냥 해봤거나 조심성 없이 범죄를 저지르는 사례도 부지기수고요.”

한편 보안 커뮤니티에서는 쇼단의 멀웨어 헌터 발표 및 공개로 인해 “쇼단이 얼마나 첩보/정보 공유에 대한 열의가 있는지 증명되었다”는 의견이 대세로 자리잡고 있다. 매덜리는 이에 대해 “인터넷의 실제 모습에 대한 통찰력 있는 자료를 모든 사용자들에게 전달하고 싶다”고 밝히기도 했다.

해당 툴은 여기서 접해볼 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>