상하이협력기구 관련 문건을 통한 피싱...최종 페이로드는 메타스플로잇
메모리 내에서 실행되는 기법도 사용...C&C 서버로부터 추가 명령 받아

[보안뉴스 문가용 기자] 중동 지역을 겨냥한 사이버 공격들에서 암호화된 다운로더가 발견됐다. 이 다운로더들은 메타스플로잇(Metasploit)이라는 백도어를 배포하는 것으로 나타났다. 보안 업체 에얼리언볼트(AlienVault)가 발표했다.


공격은 다음 상하이협력기구 정상회담(Shanghai Cooperation Organization Summit)에 관한 내용의 가짜 이메일로부터 시작된다. 이 이메일에는 악성 문서가 첨부되어 있다. 이는 실제 5월 말 중동 지역의 뉴스 매체를 통해 보도된 내용의 일부이기도 하다.

첨부된 문서는 MS 오피스 문건으로 악성 매크로 코드를 포함하고 있으며, 비주얼 베이직 스크립트를 실행시키는 기능을 가지고 있다. 이 스크립트는 16진수 스트림 형태로 저장되어 있고, 숨겨진 파워셸 콘솔 형태로 새로운 작업(task)을 실행시킨다. 그러면서 닷넷(.NET) 다운로더가 발동되는데, 이 다운로더는 자체 제작한 암호화 기술을 탑재하고 있어 프로세스 메모리를 읽기 힘들게 만들고 백신 탐지 기술을 회피한다.

이 다운로더의 이름은 GZipDe로, 이미 소스코드가 일반 대중들에게도 공개된 리버스 tcp(reverse-tcp) 페이로드를 기반으로 만들어진 것으로 보인다. 이번 공격자들은 공개된 리버스tcp에 암호화된 페이로드를 한 겹 더 덧씌웠다.

“이 페이로드는 Base64 문자열인 GZipDe를 포함하고 있습니다. GZipDe는 Zip으로 압축되고 대칭 키 알고리즘으로 암호화되어 있고요. 백신 탐지를 우회하기 위해 공격자들이 고안한 방법으로 보입니다.” 에얼리언볼트 측의 설명이다.

다운로더 내에 있는 셸 코드의 경우 175.194.42[.]8라는 서버로 연결된다. 그리고 여기서부터 최종 페이로드를 가져온다. 이 서버는 에얼리언볼트가 분석하던 시기에는 활성화되지 않은 상태였으나, “이전 공격에서 메타스플로잇 페이로드를 전파했다는 기록이 남아있는 서버”였다고 한다.

메타스플로잇은 최근 위협 행위자들 사이에서 인기가 매우 높아지고 있는 도구로, 털라(Turla)라는 해킹 그룹들이 주로 사용하던 것이었으나 점차 다른 해커들 사이에서도 사용법이 퍼지고 있는 상황이다.

위의 서버에서부터 전송되는 메타스플로잇 페이로드의 경우, “탐지 시스템을 회피하기 위한 셸 코드와 미터프리터(Meterpreter)라는 페이로드가 포함되어 있다”고 한다. 그래서 “꽤나 강력한 백도어가 완성된다”고 에얼리언볼트는 설명한다. “기본적으로는 정보를 수집하되 C&C 서버로부터 추가 명령을 받아 실행할 수 있게 됩니다.”

셸 코드는 DLL 전체를 메모리 내로 로딩시키는 기능을 가지고 있는데, “이는 즉 디스크에 파일을 쓰지 않고도 작동할 수 있다는 뜻”이라고 한다. “이런 기술은 반사 DLL 주입(reflective DLL injection)이라고 불리는데요, 공격자가 어떠한 페이로드라도 전송할 수 있게 해준다”고 설명한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>