• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

평창올림픽 노리는 악성 임플란트 네 가지 새롭게 발견 2018.02.06

골드 드래곤, 브레이브 프린스, 고스트419, 러닝랫 등
시스템 정보 빼내고 추가 페이로드 다운로드 받을 수 있어

[보안뉴스 문가용 기자] 보안 업체 맥아피(McAfee)가 평창올림픽과 관계된 기관들을 노리는 파일레스 사이버 공격을 발견했다고 발표했다. 1월 초에도 맥아피는 평창올림픽을 노리는 해킹 공격이 이미 시작됐다고 경고한 바 있다. 당시 맥아피는 “멀웨어가 장착된 이메일이 올림픽 기관으로 퍼지고 있다”고 발표했었다.

[이미지 = iclickart]


맥아피가 밝힌 바, 해커들이 이번에 공격 도구로서 사용하고 있는 건 파워셸 임플란트로, 공격자들의 서버와 피해자의 시스템을 연결시켜주며, 이 통신 채널을 통해 시스템 데이터가 전송된다. 하지만 아직까지 이런 최초의 침투 이후 공격자들이 정확히 어떤 일을 하는지는 밝혀지지 않고 있다.

맥아피가 공개한 임플란트들은 네 가지로 1) 골드 드래곤(Gold Dragon), 2) 브레이브 프린스(Brave Prince), 3) 고스트419(Ghost419), 4) 러닝랫(RunningRat)이며, 전부 피해자 시스템 내에서 최대한 오래 머물며 공격자와 지속적인 통신 채널을 유지하는 것을 목적으로 한다.

골드 드래곤은 한국어로 된 임플란트로 2017년 12월 24일 최초로 발견됐다. 평창올림픽을 겨냥한 사이버 공격의 ‘2단계’ 페이로드인 것으로 보인다. 골드 드래곤은 기본적으로 데이터 수집을 목표로 하며, golddragon.com이라는 도메인 이름을 코드 내에 가지고 있다. 또한 추가 페이로드 다운로드에도 활용되며, 시스템으로부터 취득한 정보를 암호화하는 데 필요한 키를 생성하기도 한다. 키 정보는 ink.inkboom.co.kr로 보내진다.

골드 드래곤은 ‘미완성’된 스파이웨어이거나, 정교하지 못한 툴이라고 맥아피는 설명한다. 데이터 수집 기능이나 정찰 기능 양면에서 제한적인 특징을 가지고 있기 때문이다. 골드 드래곤의 최초 변종은 2017년 7월에 한국에서 나타났고, 고스트419, 브레이브 프린스와 같은 임플란트들과 흡사했다. 고스트419와 브레이브 프린스의 경우 맥아피가 2017년 5월부터 추적하던 악성 코드들이다.

골드 드래곤은 먼저 사용자 데스크톱 내 폴더들을 전부 파악한다. 또한 사용자가 최근 접근했던 파일들과 %programfiles% 폴더 역시 수집하여 목록화한다. 시스템 세부 사항들과 현재 사용자의 UserProfiles에 있는 ixe000.bin 파일, 레지스트리 키와 런 키 값도 염탐 대상이다. 이런 모든 것들이 원격의 공격자 서버로 전송된다.

다른 한 편으로는 백신 혹은 유사 안티 멀웨어 제품들이 운영되고 있는지 파악하기 위해 프로세스도 살핀다. 보안 제품과 관련된 프로세스가 발견되면 강제로 종료시켜 탐지를 회피하기 위해서다.

브레이브 프린스 역시 시스템 정보를 수집하고 원격 서버로 보내는 스파이웨어의 기본 기능을 수행하는데, 네트워크 환경설정 정보, 주소 프로토콜 캐시, systemconfig까지도 수집 및 전송한다. 백신이나 보안 솔루션과 관련된 프로세스를 강제 종료시키는 것도 기본으로 갖추고 있다.

고스트419 역시 한국어로 된 임플란트로, 2017년 7월 29일 최초로 발견됐다. 지난 12월에 발견된 버전과 46% 코드가 일치한다. 골드 드래곤 및 브레이브 프린스에서도 코드의 일정 부분이 차용된 것으로 보인다.

러닝랫은 원격 접근 트로이목마의 일종으로, 두 개의 DLL 파일로 구성되어 있다. 하나는 안티멀웨어 솔루션과 관련된 프로세스를 종료시키고 다른 하나의 DLL을 언패킹 및 실행시키는 역할을 담당한다. 기본적인 정찰 기능도 포함하고 있다. 두 번째 DLL은 메모리 내에서 압축이 풀리며 파일레스 공격을 감행한다. 사용자의 파일 시스템과는 전혀 엮여들지 않는다.

러닝랫의 가장 중요한 목적은 ‘키스트로크 정보 탈취’라고 맥아피는 결론을 내린다. 하지만 기능 확장과 관련된 코드 또한 발견되었다며, 앞으로 더 다양한 활동을 할 가능성이 크다고 경고한다. 이 다양한 활동이란 클립보드 복사, 파일 삭제, 파일 압축, 사건 로그 지우기, 기기 잠그기 등을 포함한다.

이 네 가지 임플란트 모두 피해자의 시스템 내에 오래 머물며 공격자들에게 문을 열어준다. 하지만 최초 침투에 성공해야만 사용될 수 있는 것들이며, 어떤 버전은 아래한글 문서로만 퍼지기도 한다. 맥아피는 파일레스 공격에 활용되는 페이로드가 네 가지나 발견되었다는 건, 평창올림픽을 공격자들이 얼마나 집중해서 노리는지 보여주는 사례라며, 올림픽 기간 동안 해킹 공격에 각별히 주의해야 할 것이라고 경고했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>