• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

암호화폐 채굴 등 모두 갖춘 ‘다크게이트’, 유럽 공격 2018.11.16

암호화폐 채굴, 비밀번호 탈취, 랜섬웨어, 원격 통제 등 여러 기능 수행
프로세스 할로윙, UAC 우회 등 고급 기법도 갖추고 있어

[보안뉴스 문가용 기자] 유럽의 윈도우 사용자들을 겨냥한 고급 멀웨어 공격이 최근 발견됐다. 이 멀웨어는 암호화폐 채굴, 크리덴셜 탈취, 랜섬웨어 심기, 원격 접근 및 제어 등 공격자들에게 다양한 옵션과 기능을 제공한다고 한다.

[이미지 = iclickart]


이 멀웨어의 이름은 다크게이트(DarkGate)로, 현재 드라마 파일로 위장된 채 토렌트를 통해 퍼지고 있다. 스페인의 한 농구 관련 드라마와 인기 높은 미국 드라마인 워킹 데드(The Walking Dead) 등이 위장에 자주 사용되고 있다.

동영상인줄 알고 파일을 실행시키면, 악성 VB스크립트가 시작된다. 감염에 성공하면 멀웨어가 C&C 서버와 통신을 시작하고, C&C 서ㅇ버는 제일 처음 암호화폐 채굴부터 개시한다. 그러나 다크게이트에는 다른 공격 옵션들도 풍부하게 존재한다.

현재까지 다크게이트 캠페인은 주로 스페인과 프랑스의 윈도우 사용자들을 겨냥해 진행되어 왔다고 엔드포인트 보안 전문 업체인 엔실로(enSilo)는 설명하고 있다. 엔실로의 전문가 아디 젤릭슨(Adi Zeligson)은 2017년 12월 27일 처음 다크게이트를 발견하고 그 동안 계속해서 추적해왔다고 한다.

젤릭슨에 의하면 다크게이트는 기존의 악명 높은 비밀번호 탈취 멀웨어인 골로티드(Golroted)와 밀접한 관련이 있다고 한다. “다크게이트와 골로티드에 있는 비밀번호 탈취 요소는 사용자의 크리덴셜, 브라우저 쿠키, 브라우저 히스토리, 스카이프 채팅을 훔치는 툴인 니르소프트(NirSoft)를 활용합니다.”

하지만 다크게이트 공격자가 가장 선호하는 건 암호화폐가 확실하다고 엔실로는 주장한다. “다크게이트에는 여러 암호화폐 지갑의 특징적인 문자열을 찾는 프로세스가 장착되어 있습니다. 감염 후 제일 먼저 시작하는 게 채굴이기도 하고요.”

다양한 기능을 가지고 있다는 것 외에도 다크게이트에는 눈에 띄는 특징이 한 가지 더 있다. 바로 프로세스 할로윙(process hollowing)이라는 기법을 활용한다는 것이다. 프로세스 할로윙이란, 시스템에 정상적인 프로세스를 로딩해서 악성코드를 숨기는 기법이다. 다크게이트는 vbc.exe나 regasm.exe와 같은 프로세스 속에 숨어든다고 엔실로는 설명한다.

또한, 사용자 계정 제어(UAC)를 우회하는 기능도 갖추고 있다. 이를 통해 권한을 상승시킬 수 있게 된다. “UAC를 우회하기 위해 다크게이트는 두 가지 방법을 동원합니다. 예약된 작업인 디스크클린업(DiskCleanup)과 정상 프로세스 파일인 eventvwr.exe을 익스플로잇 하는 것이죠.”

놀라운 것은 여기서 끝이 아니다. “다크게이트의 C&C 인프라는 사람이 직접 조정하며, 따라서 상황에 따른 다양한 대응을 할 수 있게 됩니다. 멀웨어를 통해 전달되는 정보를 가지고 그때 그때 필요한 조치를 취하는 것이죠. 특히 암호화폐 지갑과 관련된 정보를 얻어냈을 때 발 빠르게 움직이는 것처럼 보였습니다.” 또한 운영자가 보기에 흥미로운 현상이 접수된다면, 원격 접근 툴을 추가로 설치하기도 했다.

다크게이트는 악성 서버를 감추기 위해 유명한 이름들을 가져다가 위장한다. 아카마이 CDN(Akamai CDN)이나 AWS가 가장 많이 사용되는 이름이라고 한다. 또한 샌드박스나 가상 기계에서 나타나는 특징들이 존재하는지 살피는 등, 분석을 피해가기 위한 장치도 기본적으로 갖추고 있다. 몇 가지 백신 솔루션을 확인하는 절차도 있다.

엔실로는 “국가의 지원을 받는 해커의 소행으로 보이지는 않는다”고 결론을 내리고 있다. “오히려 금전적인 목표를 최대치로 달성하기 위해 범죄를 저지르는 집단일 가능성이 높습니다. 그래서인지 공격자들이 주로 자원이 풍부한 조직을 공격 대상으로 삼고 있습니다.”

3줄 요약
1. 다크게이트, 암호화폐 채굴부터 비밀번호 탈취, 프로세스 할로윙과 각종 분석 회피 기능까지 갖춘 멀웨어.
2. 토렌트 통해 인기 동영상 파일들인 것처럼 퍼지고 있음. 스페인과 프랑스에서 특히 극성.
3. 국가 지원 해커의 소행이라기보다 돈 확 벌고 싶은 범죄 단체가 배후에 있는 듯.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>