NSA 해킹 툴 중 7가지 활용...공격자들 열심히 실험하는 것으로 보여
24시간에 걸친 조심스런 공격...샌드박스 우회하기 위한 듯

[보안뉴스 문가용 기자] 셰도우 브로커스(Shadow Brokers)가 공개한 NSA의 사이버전 무기고가 지난 한 주 워너크라이(WannaCry)를 탄생시켰다면, 이번에는 이너털록스(EternalRocks)라는 네트워크 웜이 등장했다. 이 웜은 NSA의 익스플로잇을 무려 7개나 활용하고 있는 것으로 나타났다. 게다가 적어도 5월 첫째 주부터 각종 네트워크와 시스템을 감염시켜왔다고 한다.


이터널록스를 먼저 발견한 건 크로아티아의 국가 침해대응센터 소속 연구원인 미로슬라프 스탬파(Miroslav Stampar)로, 지난 주 수요일 자신이 운영하는 윈도우 7 하니팟 시스템에 처음 보는 웜 샘플이 걸려든 것으로부터 분석을 시작했다고 한다. 그리고 그 결과를 보고서로 적어 깃허브(Github)에 업로드시켰다.

스탬파가 분석한 바에 따르면 이터널록스에는 페이로드가 전혀 없으며 24시간 동안 2단계에 걸쳐 확산된다. 또한 이터널록스가 활용하는 7가지 NSA 익스플로잇은 1) 이터널블루(EternalBlue), 2) 이터널챔피온(EternalChampion), 3) 이터널로맨스(EternalRomance), 4) 이터널시너지(EternalSynergy), 5) 더블펄사(DoublePulsar), 6) 아키터치(Architouch), 7) 에스엠비터치(Smbtouch)라고 한다. 1~4번은 익스플로잇이고, 5번은 백도어이며, 6~7번은 정찰용 툴이다.

페이로드가 없는 이터널록스의 침투 목적은 꽤나 단순하다. 바로 더블펄사 백도어를 추가로 다운로드 받아 설치하는 것이다. “첫 단계의 멀웨어는 UpdateInstaller.exe이며, 필요한 .NET 요소들인 TaskScheduler와 SharpZLib을 인터넷에서 다운로드받는 기능을 가지고 있습니다. 그러는 한 편 svchost.exe를 심어두죠. 이는 archive.torproject.org과 C&C 서버로부터 토르를 다운로드받고, 언패킹하고, 실행시키는 기능을 수행합니다.” 여기까지가 첫 단계 침투다.

그리고 24시간이 지난 후 두 번째 단계의 공격이 시작된다. “두 번째 다운로드 되는 파일은 taskhost.exe라는 것입니다. shadowbrokers.zip이라는 익스플로잇 패키지를 다운로드받고 언패킹합니다. 그러면 payloads, configs, bins라는 디렉토리가 생성됩니다. 그런 후에 열린 445 포트(SMB 포트)의 스캐닝을 시작하죠.”

비슷한 시기에 해당 샘플을 발견한 헤임달 시큐리티(Heimdal Security)라는 보안 업체는 이 샘플에 블루둠(BlueDoom)이라는 이름을 붙였다. “랜섬웨어였던 워너크라이에 비하면 덜 위험하지만, 훨씬 복잡한 구조로 이루어져 있으며 24시간이나 지나고 나서 본격적인 활동을 시작한다는 점이 수상합니다. 샌드박스를 우회하기 위한 방법으로 보이며, 사이버 공격자들이 NSA 익스플로잇을 활용하여 여러 가지 실험을 해보는 중인 듯 합니다.”

똑같은 NSA 익스플로잇을 활용한 것이지만 워너크라이는 단기적인 수익을 노린 것처럼 보이는데 반해 이터널록스(혹은 블루둠)는 장기적인 복안을 가진 공격으로 분석된다는 뜻이다. “이터널록스에서 가장 특이할만한 점은 공개된 NSA 익스플로잇을 전부 활용하고 있다는 겁니다. 누군가 NSA 툴들을 다양하게 조합해보고 있는 것이 분명합니다. 새로운 공격 방법에 대한 연구가 시작되었다는 뜻이죠.”

또한 이 웜에 한 번 감염되었다면 패치를 뒤늦게 적용한다고 해서 이터널록스를 제거할 수 있는 것도 아니다. 그러므로 최대한 사전 방지나 확산 제어에 힘을 쏟아야 한다. 스템파는 “조직 내 보안 담당자라면 네트워크 트래픽 히스토리를 점검해 최근 토르와의 접속이 있었는지 확인해야 합니다. 그리고 해당 시스템을 최대한 빨리 분리해내고 조치를 취해야 합니다. 또한 중요한 데이터를 백업해두는 것도 잊지 말아야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>