올해 3월부터 급증한 공격...여름 통해 급성장한 멀웨어 3
암호화폐 채굴, 디도스 공격 봇넷, 정보 탈취 등 다양한 기능 실행

[보안뉴스 문가용 기자] 보안 전문업체 가디코어(GuardiCore)가 특정 중국 사이버 범죄단이 주로 사용하는 세 가지 멀웨어에 대한 연구 결과를 발표했다. 이 범죄단은 전 세계적으로 활동을 하며 헥스(Hex), 하나코(Hanako), 테일러(Taylor)라는 멀웨어 패밀리를 주력으로 사용한다고 한다. 각 멀웨어마다 공격하는 SQL 서버도 다르고 공격의 목적도 다르다. 피해 시스템 대부분 중국에 위치한 것으로 나타났으며, 태국, 미국, 일본 등에서도 피해가 있었다.


세 가지 멀웨어를 동반한 이 공격은 3월에 처음 시작됐고 여름에 폭발적으로 증가했다. 공격 표적은 SQL 서버와 MySQL 서비스들이었고, 침해된 시스템은 여러 가지 목적으로 활용됐다. 어떤 시스템은 암호화 화폐 채굴에 사용됐고, 어떤 시스템은 디도스 공격에 활용됐으며, 어떤 시스템은 RAT를 심는 데 동원됐다.

보다 자세히 말하면 1) 헥스 멀웨어는 암호화폐 채굴과 RAT 감염을 목적으로 공격을 하고, 2) 하나코 멀웨어는 디도스 공격을 위한 봇넷을 구축하며, 3) 테일러 멀웨어는 키로거와 백도어를 심는 역할을 담당한다. 헥스와 하나코는 한 달 평균 수백~수천 건의 공격을 감행했고, 테일러는 수만 단위의 공격을 해냈다. 또한 가디코어는 이 범죄단의 해커들이 클라우드를 주로 노린다며 “애져와 AWS와 관련된 공공 IP 주소들을 주기적으로 스캐닝한다”고 보고서를 통해 밝혔다. 스캐닝 후에는 ‘공격과 첫 번째 단계의 임플란트 심기’가 이어진다.

최초의 공격은 주로 MS SQL과 MySQL 데이터베이스에 대한 브루트포스 방식으로 이뤄진다. 그 다음에 미리 설정된 SQL 명령어를 실시해 침해한 기기에 대한 완전 통제권을 가져간다. 가디코어는 “브루트포스 공격을 통해 표적 삼은 서버를 공격할 수 있다는 것 자체가 서버 관리자들이 데이터베이스 보안을 충실하게 이행하지 않는다는 것”이라고 말한다. “그저 비밀번호 하나 걸어둔 것만으로 데이터베이스가 안전하다고 믿는 것이죠.”

브루트포스로 특정 데이터베이스에 접근이 가능해졌다면 공격자들은 드로퍼들을 심는다. 이 드로퍼의 목적은 공격자들이 시스템에 계속 접근할 수 있도록 하기 위함이다. 즉 ‘공격의 지속성’을 연장시키기 위한 것으로, 원격 데스크톱 포트를 연다든가 백도어를 심는 등의 기능을 발휘한다. (물론 드로퍼는 그런 기능을 가지고 있는 페이로드를 다운로드 받는 기능을 발휘한다. 악성 페이로드 자체는 임시 FTP나 HTTP 서버를 통해 다운로드 된다.)

드로퍼를 통해 추가 악성 페이로드를 다운로드 받는 데까지 성공했다면, 다음으로 백신 및 안티 멀웨어 솔루션들을 비활성화시킨다. 또한 불필요한 레지스트리, 파일, 폴더 등을 삭제함으로써 추적을 쉽지 않게 만든다.

헥스와 하나코의 MS SQL 서버 공격 방법은 일치한다. 고유한 공격 환경설정 파일들을 다운로드 받는다는 것도 똑같다. 태스크 스케줄도 일치하고 같은 바이너리를 실행시키며, 같은 백신 제품을 비활성화시킨다. 그 중 헥스는 C++로 만들어졌으며 키스트로크 로깅과 화면 캡쳐, 마이크로폰을 통한 정보 취득 기능을 가지고 있다. 추가 모듈을 다운로드 받아 실행시키는 것도 가능하다. 겉으로 보기엔 중국에서 인기가 높은 음악 스트리밍 서비스인 쿠고우 플레이어(Kugou Player)이며, 각종 설명도 능숙한 중국어로 표기되어 있어 공격자가 중국인일 가능성이 높다.

테일러 공격의 경우 두 개의 도메인에서부터 파일들을 다운로드 받는 것으로 나타났다. down@mys2016@info와 js@mys2016@info로, 2017년 3월에 등록됐다. (헥스와 하나코의 경우는 공격을 감행할 때마다 고유한 파일 서버를 사용한 것으로 분석됐다.) 3월부터 약 3만 번이 넘는 공격 시도가 있었고, 미라이(Mirai)라는 유명한 봇넷 멀웨어와 연관성이 있는 멀웨어를 다운로드 받은 시도도 있었다. 도메인 두 개가 고정적이긴 하지만, 공격 스크립트를 실제로 활용하는 데에 있어 훨씬 조심스러운 모습을 보인다. 모든 요청을 암호화시켜 전송하고, 공격 시 다운로드 된 HTML 페이지들에 서버 레퍼런스를 저장한다.

세 가지 중 어떤 멀웨어가 활용되든, 한 가지 독특한 점은 공격자들이 침해한 기기 한 대 당 적은 공격만을 실시한다는 것이다. 사용 기간도 그리 길지 않아 약 한 달 정도만 공격에 활용한다. 가디코어는 “추적을 피하고 눈에 띄지 않기 위해서”라고 분석한다. 침해한 시스템의 용도는 “스캐닝, 사이버 공격, 멀웨어 호스팅, C&C 서버”라고 한다.

이 세 가지 공격에 피해를 받지 않으려면 “데이터베이스 관리에 할당된 컴퓨터 시스템을 단단하게 관리해야 한다”고 가디코어는 권장한다. “데이터베이스에 접속 가능하거나 접속했던 시스템을 주기적으로 확인하고, 최소한의 컴퓨터나 사용자에게만 접근권을 허락하고, 인터넷을 통한 원격 접근을 시도하는 경우 역시 최소화시켜야 합니다. 알려진 IP 주소 및 도메인이 아닌 곳에서의 접근 시도가 일어나는 경우에 대해서는 더 특별하게 신경 써야 하겠죠.”

하지만 감염 자체 혹은 침해 자체를 원천 차단하는 건 불가능하다고 가디코어는 지적한다. “LAN에 연결도니 서버라면 멀웨어에 취약할 수밖에 없습니다. 사이버 감염은 언젠가 반드시 일어날 수밖에 없는 것이라고 인정해야 해요. 그런 전제 하에 감염의 징후가 될 만한 것들을 재빠르게 파악하고 행동을 취하는 게 중요하죠. 비정상적인 트래픽이나 지나치게 많은 접속량 등 뭔가 잘못됐다는 걸 알려주는 신호들은 꽤 많습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>