소켓플레이어, 특수한 프로그램 라이브러리 사용해 양방향 채널 만들어
현재까지 발견된 건 두 가지 버전...하지만 중간에 더 많은 변종 있을 수도

[보안뉴스 문가용 기자] 최근 발견된 트로이목마에서 특수한 프로그램 라이브러리가 발견됐다. 보안 업체 지데이터(G Data)에 의하면 이 라이브러리는 최초의 비콘(beacon) 메시지 없이도 트로이목마 운영자들이 감염된 기기와 직접 통신할 수 있게 해주는 것이라고 한다.


이 트로이목마의 이름은 소켓플레이어(SocketPlayer)라고 하는데(지데이터가 명명했다), 기존의 트로이목마들과는 달리 일방향 전송 방식을 사용하지 않는다는 점에서 굉장히 독특하다고 한다. “소켓아이오(socket.io)라는 라이브러리를 사용하는데, 이 라이브러리 덕분에 공격자들이 실시간으로 장비와 양방향 통신을 할 수 있게 됩니다.”

그래서 소켓플레이어의 운영자는 더 이상 기존 트로이목마를 운영할 때처럼 감염시킨 장비로부터 통신 신청 메시지를 기다릴 필요가 없어졌다. 침해된 컴퓨터와 직접 교신을 시작할 수 있게 되었기 때문이다.

지데이터의 분석가들은 현재 소켓플레이어의 두 가지 변종이 돌아다니면서 공격을 실시하고 있다고 경고한다. 한 개는 웹사이트에서 임의의 코드를 실행하게 해주는 다운로더의 형태로 확산되고 있고, 다른 하나는 탐지 소프트웨어 및 샌드박스 회피 기능까지 갖춘, 보다 복잡한 구성의 멀웨어라고 한다.

소켓플레이어가 일단 감염에 성공해 어떤 장비에 설치가 되었다면, 별 다른 활동을 하지 않은 채 공격자의 명령을 기다린다. 어떤 명령이냐에 따라 다르긴 하지만 다양한 일을 벌일 수 있는데, 장비의 스니핑, 스크린샷 캡처, 코드 다운로드 및 실행 등이 여기에 포함된다.

그 외에도 선택 가능한 여러 기능들이 존재한다고 지데이터 측은 서명한다. “하지만 그러한 추가 기능들을 공격자가 구축한 것 같지는 않습니다. 일단 키로깅 기능도 조만간 포함될 것으로 보입니다만, 아직 멀웨어 자체에 키로깅 기능이 들어있지는 않습니다.”

소켓플레이어는 인도의 한 웹사이트에 호스팅 되어 있다고 한다. 그러나 어떤 방식으로 이 파일이 퍼져나가는지는 정확히 알 수 없다. “해당 웹사이트 운영자가 범행에 가담한 자일 수도 있고, 아니면 자기 사이트가 그런 식으로 사용되고 있다는 걸 전혀 모르고 있을 수도 있습니다. 소켓플레이어가 그 사이트에 호스팅 된 것은 꽤나 오래 전의 일이거든요.”

소켓플레이어의 첫 번째 변종이 바이러스토탈(VirusTotal)에 제출된 건 3월 28일의 일이다. 두 번째 샘플은 3월 31일에 전송됐다. 지데이터는 이 두 가지에 대한 기술 보고서를 작성해 발표하기도 했다.

감염 경로는 확실치 않지만, 감염 절차 자체는 다음과 같은 순서라고 지데이터는 설명한다.
1) 다운로더가 샌드박스 환경인지 아닌지를 먼저 확인한다.
2) 샌드박스가 아니라면 실행파일을 가져와 복호화한다.
3) Invoke 메소드를 사용해 이 파일을 메모리 내에서 실행시킨다.
4) host hxxp://93.104.208.17:5156/socket.io와의 소켓 연결이 완성된다.
5) 레지스트리 키도 생성돼 시스템 내 오래 남아있을 수 있도록 한다.
6) Process Hander라는 폴더가 있는지 확인하고 없으면 생성한다.
7) 다음으로 Handler라는 값을 가진 자동 시작 키를 만든다.

지데이터 측은 “발견하고 분석한 샘플은 두 가지 종류이지만, 그 사이에 여러 버전이 존재하는 것으로 보인다”고 설명을 덧붙였다. “두 버전의 C&C 포트도 다르고, 파일 위치도 다르며, 전송하는 데이터도 다릅니다. 새로운 명령도 추가됐고, 기능도 많이 달라졌습니다. 갑자기 이렇게 중간 단계 없이 건너뛰었다고 보기가 힘듭니다. 여러 번에 걸친 변화가 있었던 것으로 보이고, 이는 중간 단계의 변종도 존재할 수 있음을 시사합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>