• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

새롭게 발견된 모듈형 다운로더, 어드바이저봇 2018.08.27

어드바이저봇, 모듈형 구조로 새로운 기능 추가도 가능
모듈형 다운로더는 조용하고 은밀해...분석 방지 기능도 가지고 있어

[보안뉴스 문가용 기자] 최근 발견된 두 가지 새로운 멀웨어를 통해 공격자들의 새로운 수법이 드러나는 듯 하다. 먼저 보안 업체 프루프포인트(Proofpoint)는 여태까지 한 번도 기록된 적 없는 다운로더인 어드바이저봇(Advisorbot)을 발견했다. 식당, 호텔, 통신사에서 근무하는 임직원들을 겨냥한 악성 이메일 공격에서였다. 적어도 올해 5월부터 이 다운로더는 사용되어 온 것으로 보인다.

[이미지 = iclickart]


어드바이저봇은 시스템에 침투한 이후 공격자들로부터 추가 페이로드를 부여받도록 설계되어 있다. 그러므로 기능이 계속해서 덧붙는다는 것인데, 현재까지 발견된 어드바이저봇은 디지털 지문을 채취하는 모듈만을 가지고 있는 것으로 나타났다. 프루프포인트는 “공격자들이 특별히 찾고 있는 시스템이 있는 것으로 보인다”고 분석했다.

어드바이저봇은 시스템으로부터 시스템 ID, OS 버전, 도메인 관련 정보, 마이크로소프트 아웃룩 계정 정보, 안티멀웨어 툴 정보를 수집하며, 그 외에도 아직 밝혀지지 않은 값을 수집해 하드코딩한다. 현재까지 실시할 수 있는 명령어는 두 개로, 하나는 모듈을 로딩하는 것이고 다른 하나는 셸코드를 로딩하는 것이다.

그보다 조금 전에 프루프포인트는 마랍(Marap)이라는 모듈형 다운로더를 발견하기도 했다. “어드바이저봇은 기능면에서 마랍과 동일하다”고 프루프포인트는 밝힌다. 현재 마랍은 금융권에 있는 사용자들을 노린 대규모 이메일 캠페인에 사용되고 있다. 마랍 역시 공격자들이 추가 페이로드 및 기능을 추가할 수 있게 설계되어 있다. 다만 아직까지는 디지털 지문 채취 기능만을 가지고 있는 게 전부다.

이런 식의 멀웨어가 최근 두 개나 연속해서 발견됐다는 건 방어를 해야 하는 사람들에겐 새로운 고민거리가 된다. “모듈형 다운로더는 다른 멀웨어에 비해 용량도 작고 조용한 편입니다. 예를 들어 ‘당신은 감염됐소’라고 알려주는 랜섬웨어에 비하면, 아무런 소리도 내지 않고 스며든다고 볼 수 있습니다.” 프루프포인티의 위협 분석 책임자인 셰로드 드그리포(Sherrod DeGrippo)의 설명이다. “서버나 클라이언트에, 어지간해서는 눈에 띄지 않는 멀웨어가 침투하는데, 그 멀웨어의 기능이 갈수록 다양해질 수 있다는 건 대단한 위협입니다.”

게다가 어드바이저봇과 마랍 모두 분석을 어렵게 하는 기능도 갖추고 있다. 예를 들어 어드바이저봇에는 추가적인 루프와 명령, 정크 코드가 들어있어 리버스 엔지니어링을 느리게 만든다고 한다. 또한 안티멀웨어 툴이나 샌드박스 환경을 미리 탐지하는 기능도 가지고 있어, 그러한 보안 솔루션들이 발견될 경우 실행되지 않고 시스템을 빠져나간다.

이 캠페인의 배후에 있는 건 TA555라는 그룹이라고 프루프포인트는 주장한다. “TA555는 파워셸 명령을 실행하는 매크로가 담긴 피싱 이메일을 사용합니다. 이 파워셸은 멀웨어를 다운로드 하는 기능을 가지고 있고요. 8월 초부터 공격자는 디스크에 직접 코드를 저장하지 않기 위해 스크립트형 공격을 실시하기도 했습니다.”

또한 공격자들은 5월에 처음 멀웨어를 사용하기 시작한 이후 파워셸과 닷넷을 완전히 새롭게 다시 썼다고 한다. 이렇게 새롭게 변신한 어드바이저봇의 이름은 포시어드바이저(PoshAdvisor)로 어드바이저봇과 분명한 차이를 가지고 있긴 하지만 많은 부분에서 겹치기도 한다고 프루프포인트는 설명한다. “하지만 아직까지 멀웨어를 완전히 새롭게 만든 이유는 모르겠습니다.”

하지만 드그리포는 “기업들 입장에서는 위협 첩보를 좀 더 많이 수집하고 면밀히 분석할 필요가 있다”며 “여러 겹의 방어막을 두르고, 피싱 이메일에 대한 사용자 교육을 실시해야 한다”고 조언했다.

3줄 요약
1. 새로운 멀웨어 두 개, 연달아 발견됨. 어드바이저봇과 마랍.
2. 둘 다 모듈형으로, 추가 기능을 공격자들이 덧붙일 수 있다는 특징 가지고 있음.
3. 공격 배후에는 TA555라는 해킹 단체가 있음.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>