• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정상 원격 관리 툴 설치하는 악성 캠페인 발견돼 2018.04.09

여러 단계 거쳐 넷서포트 매니저라는 원격 툴 설치
탐지 및 분석 방해 기능 가지고 있어...미국, 독일, 네덜란드가 주요 피해국

[보안뉴스 문가용 기자] 가짜 소프트웨어 업데이트를 통한 악성 캠페인이 보안 업체 파이어아이(FireEye)가 발견했다. 이 캠페인은 지난 몇 개월 동안 지속적으로 진행되어 왔으며, 특정 경우에는 넷서포트 매니저(NetSupport Manager)라는 원격 접근 툴(RAT)을 피해자 컴퓨터에 심은 것으로 나타났다.

[이미지 = iclickart]


넷서포트 매니저는 악성 소프트웨어가 아니다. 정상적이고 합법적으로 판매되는 원격 관리 툴로 네트워크 관리자들 사이에서 즐겨 사용된다. 다만 원격에서 특정 시스템을 접근 및 관리할 수 있게 해주는 기능은 악성 사용자들의 활용도 가능하게 만들어준다는 특징을 가지고 있다. 즉, 시스템 주인만 모르게 넷소프트를 설치만 할 수 있다면 원격에서 설치자가 해당 시스템을 조정할 수 있게 해주는 건데, 공격자들이 정확히 이러한 일을 하고 있던 것이다.

공격자들은 이러한 행위를 위해 웹사이트를 침해해 배포처로 삼고, 넷서포트 매니저를 가짜 소프트웨어 업데이트 파일로 위장시켰다. 특히 어도비 플래시, 크롬, 파이어폭스 등의 유명 애플리케이션들이 주로 활용됐다. 사용자가 업데이트를 허용하면 악성 자바스크립트 파일이 다운로드 되는데, 대부분 드롭박스 링크가 이 악성 자바스크립트의 출처였다.

자바스크립트는 기본적인 시스템 정보를 모으고 원격 서버로 전송한다. 또한 이 서버로부터 추가 명령을 받아 실행하기도 한다. 보통은 최종 페이로드를 다운로드받게 해주는 추가 자바스크립트를 다운로드 받는다. 이 두 번째 자바스크립트의 이름은 Update.js로 역시 업데이트 파일처럼 보이지만 실상은 %AppData%에서 wscript.exe와 함께 실행되는 악성 파일이다.

이런 식으로 다단계 배포 전략을 멀웨어 제작자들이 차용한 것은 기본적으로 탐지되지 않기 위해서다. 게다가 최초로 배포되는 자바스크립트에는 추가 난독화 기술이 적용되어 있기까지 했다. 두 번째 자바스크립트 파일은 분석 방해 기능이 덧입혀져 있었다. 분석가들이 샘플에 뭔가 변화를 주면 스크립트가 복호화 키를 받지 않고 기능을 종료한다.

첫 번째 자바스크립트의 경우 C&C 서버와 연결을 성립시킨 후 tid라는 값을 전송하고, 현재 날짜를 암호화시켜 전송한다. 또한 서버가 보낸 암호화된 응답을 복호화하고 step2라는 함수 이름 아래 이를 실행한다. step2 함수는 시스템 정보를 모으는 기능을 가지고 있다. 아키텍처, 컴퓨터 이름, 사용자 이름, 프로세서, OS, 도메인, 생산자, 모델, BIOS 버전, 스파이웨어 방지 솔루션, 백신 제품, MAC 주소, 키보드, 디스플레이 제어기 환경설정, 프로세스 목록 등이 여기에 포함된다.

이런 정보를 받은 이후 서버는 암호화된 콘텐츠를 보내는데, 여기에는 step3라는 이름의 함수와 두 번째 자바스크립트 파일인 Update.js가 포함되어 있다. 코드는 파워셸(PowerShell) 명령어들로 만들어져 있으며 다양한 파일을 서버로부터 다운로드 받는다. 여기에는 7zip 파일 하나, 비밀번호로 보호된 압축 파일(여기에 넷서포트 매니저가 들어있다), 넷서포트 클라이언트를 설치하기 위한 배치 스크립트가 포함되어 있다.

배치 스크립트는 윈도우의 오류 보고와 앱 호환성 기능을 비활성화시키고, 원격 제어 클라이언트를 방화벽의 ‘허락된 프로그램 목록’에 추가시킨다. 또한 ‘시작 프로그램’ 폴더에 단축키 파일도 다운로드시켜 공격 지속성을 확보하고, 파일을 숨기고 아티팩트를 지우며, 넷서포트를 실행시키기도 한다. 심지어 이 배치 스크립트는 지속적인 업데이트를 받기도 한다.

넷서포트 매니저가 실행되면 공격자들은 원격에서 시스템을 제어할 수 있게 된다. 즉 시스템에 접근하고 파일을 전송하며 애플리케이션들을 실행하고 시스템 위치 정보를 수집하는 등의 일이 가능해진다는 뜻이다. 원격에서 인벤토리 및 시스템 정보를 취득하는 것도 가능해진다.

마지막 자바스크립트는 텍스트 파일도 하나 다운로드 받는데, 여기에는 IP 주소 목록이 포함되어 있다. 파이어아이는 “침해된 시스템들의 주소인 것으로 보인다”고 말한다. 대부분 미국, 독일, 네덜란드에 분포된 주소들인 것으로 나타났다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>