• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

후디니 웜 퍼지고 있는데, 배포자 막을 방법 없나 2017.05.29

보안 업체, 급속히 퍼지고 있는 후디니 웜 추적하다 배포자 발견
후디니 웜 배포자, 최근엔 랜섬웨어 제작자와 연락 주고받아

[보안뉴스 문가용 기자] 보안 전문 업체 리코디드 퓨처(Recorded Future)의 전문가들은 최근 후디니 웜(Houdini worm)이 지난 몇 개월 동안 다양한 웹사이트들에 수백 차례 공유되었다는 사실을 발견했다. 후디니 웜은 H-Worm이라고도 불리는데, 2013년부터 사이버 공간에 등장하기 시작했다. 2014년부터는 후디니 윔의 개발자는 쿠웨이트의 나세르 알 무타이리(Naser Al Mutairi)라는 소문이 돌기 시작했고, 아시아태평양 국가들과 중동 국가들을 주로 노려왔다.

[이미지 = iclickart]


그런데 올해 초부터 악성 비주얼 베이직 스크립트(VBScript)가 이른 바 페이스트 사이트(paste site)라고 하는 익명 텍스트 공유 사이트에서 급증하기 시작했다. 이 문제를 좀 더 심도있게 조사한 리코디드 퓨처는 공유되는 대부분의 악성 스크립트가 후디니라는 것을 발견했다. 게다가 후디니를 지속적으로 올리는 주체가 고정되어 있다는 사실 또한 추가 조사를 통해 알아냈다.

“후디니 비주얼 베이직 스크립트를 올리던 주체가 계속해서 C&C 서버 목록도 공유하고 있습니다.” 리코디드 퓨처의 보안 전문가 다니엘 해더웨이(Daniel Hatheway)의 설명이다. “현재 공유되고 있는 후디니 스크립트는 업데이트 되는 C&C 서버로만 연결되는 게 아니라 디렉토리를 만들어 자신을 스스로 복사한 후 레지스트리에 등록시킵니다. APT 공격을 위한 발판이 마련되는 것이죠.”

직접 집계해보니 후디니 웜은 4월 26일자를 기준으로 총 213번 포스팅 된 것으로 나타났다. 이중 105번은 고유한 서브도메인에, 1번은 고유 도메인에 등록된 것이다. 포스팅 내용 자체는 대동소이 했으며 완전히 똑같은 것들도 다수 발견됐다. 이러한 배포 행위에 활용된 도메인이나 서브도메인은 한 개의 다이내믹 DNS 공급업자가 제공한 것이며, 현재 활동 중에 있는 멀웨어 샘플 중 일부는 페이스트 사이트 일부와 통신 중인 것으로 나타났다.

리코디드 퓨처는 해당 다이내믹 DNS 제공업자에 서브도메인 등록 정보를 문의했으나 유의미한 정보는 없었다. 그래서 위에서 언급된 1개의 고유 도메인인 microsofit.net의 등록 정보를 추적했는데, 여기서 단서가 발견됐다. 등록자의 이름인 모하메드 라드(Mohammed Raad)가 나온 것이다. “vicsworsbaghdad@gmail.com이라는 이메일 주소도 등록되어 있었습니다. 국가는 독일로 되어 있었고요.”

물론 후디니 관련 포스팅들이 게스트 계정으로 되어 있기 때문에 모하메드라는 인물이 후디니 배포자라고 곧바로 지적할 수는 없다. “그러나 모하메드 라드라는 단어로 구글 검색을 해봤더니 페이스북 프로파일이 하나 나오더군요. 해당 계정의 주인은 스스로를 독일 어나니머스 일원이라고 설명해놓고 있고요. 닉네임이 Vicswors Baghdad더군요. 일단 해당 프로파일 주인과 도메인 등록자가 동일하다는 건 알 수 있었습니다.”

그리고 이 모하메드 라드라는 인물은 오픈소스 랜섬웨어인 MoWare H.F.D에 대한 관심을 최근 부쩍 드러내기 시작했다고 리코디드 퓨처는 설명한다. “페이스북 포스팅을 점검해보니 MoWare H.F.D는 이미 사용이 가능한 듯 보입니다. 랜섬웨어 제작자가 제작한 유튜브 영상에 댓글을 달면 배포해주고 있거든요. 댓글 중에 Vicwors Baghdad라는 계정 주인이 남긴 ‘상세 정보를 알고 싶으면 어떻게 해야 하는가?’라는 질문도 있습니다.”

헤더웨이가 해당 댓글을 추적해보니 vicsworsbaghdad@gmail.com이란 메일 주소가 나왔다. “또한 0day.today라는 웹사이트에서도 Vicswors Baghdad라는 계정을 발견했습니다만, 현재 그 계정으로는 별 다른 활동이 없는 것으로 나타났습니다.”

하지만 이러한 일련의 사실만으로는 모하메드 라드에게 어떤 법적인 조치를 취할 가능성은 없어 보인다. “무기가 될 수 있는 것들을 퍼트리고 있고, 최근 새로운 ‘위험 물질’에 손을 대고 있지만, 그걸 가지고 뭘 하는 게 아닌 이상 잡아들일 근거가 없습니다. 아직 모하메드 라드란 인물이 후디니 배포자 본인이라는 직접적인 증거도 없고요. 눈 뜨고 그가 일을 일이키기를 기다리는 수밖에요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>