블랙베리 사일런스, 지난 3년 동안 오션로터스가 사용했던 툴 분석
수준이 높다고 할 수 없지만, 피해는 충분히 줘...허술해서 당해준 사례

[보안뉴스 문가용 기자] 보안 업체 블랙베리 사일런스(BlackBerry Cylance)에 소속된 연구원들이 베트남의 해킹 조직인 오션로터스(OceanLotus)와 관련이 있는 원격 접근 툴(RAT)을 수집하고 분석해, 그 결과를 발표했다. 이 툴들은 오션로터스가 최근 3년 동안 사용해온 것이라고 한다.


오션로터스는 APT32, 코발트키티(CobaltKitty), APT-C-00이라는 이름으로도 불리는 단체로, 주로 동남아 지역 국가들의 정부 및 공공 기관들을 노려왔다. 특히 베트남, 필리핀, 캄보디아를 집중적으로 공격한 것으로 알려져 있다. 또한 멀웨어를 2단계로 감염시키는 걸 즐겨하는 것으로도 유명하다.

오션로터스가 사용한 RAT 도구들을 블랙베리 사일런스 측은 랫스니프(Ratsnif)라고 부른다. “랫스니프는 공격자들이 네트워크를 공격할 수 있게 해줍니다. 보다 자세하게 말하자면 패킷 스니핑, 게이트웨이와 장비의 ARP 포이즈닝, DNS 포이즈닝, HTTP 주입, MAC 스푸핑과 같은 기능을 가지고 있죠.”

블랙베리 사일런스가 분석한 랫스니프 샘플은 총 네 가지다. 세 개는 2016년에 개발된 것으로 보이며, 나머지 하나는 2018년에 만들어졌다. 가장 오래된 샘플의 경우 컴파일링 날짜와, C&C용 도메인이 제일 처음 활성화 된 날짜가 겹친다. 그 다음 나타난 변종의 경우 2016년 9월에 컴파일링 됐는데, 1차 샘플이 활성화 되고 24시간이 채 지나기도 전에 활동을 시작했다고 한다.

“이 최초 샘플들의 경우 C&C 서버와 HTTP로 통신하는 기능, 패킷을 스니핑하는 기능, ARP와 DNS를 포이즈닝하는 기능, HTTP를 우회시키는 기능, 원격 셸을 실행시키는 기능을 가지고 있었습니다. 피해자의 시스템에서 발동되는 순간부터 사용자 이름, 컴퓨터 이름, 환경설정 내용, 윈도우 시스템 디렉토리, 네트워크 장비 관련 세부 정보 등을 수집합니다.”

최초 침투 및 정찰을 마친 후에는 wpcap.dll이라는 파일을 다운로드 받아 로딩한다. 동시에 다양한 기능들을 시스템 안으로 들여온다. “그런 과정들이 전부 끝나면 명령 코드를 C&C로부터 받습니다. 10초에 한 번씩 명령어가 새로 들어온 게 있는지 확인하라는 명령입니다. 참고로 랫스니프는 10개가 넘는 명령어를 지원합니다.”

2018년 하반기에 등장한 마지막 랫스니프의 경우, C&C와 연결되지 않아도 공격을 실시하는 차이점을 가지고 있다. “멀웨어 자체에 환경설정 파일이 추가된 상태입니다. 이 때문에 C&C 서버와 연결되지 않고도 활동을 할 수 있습니다. 또한 HTTP 주입, 프로토콜 확인, SSL 하이재킹 등의 새로운 기능도 가지고 있습니다.”

실제 스니핑 공격에 사용되는 스니퍼의 경우, 로더라고 알려진 DLL 파일에 숨겨져 있으며 메모리로 복사된다. 1단계 셸코드를 통해 이 DLL 파일의 압축이 풀리며, 이를 통해 등장하는 바이너리는 2단계 셸코드를 또 다른 쓰레드 내에서 실행시킨다. 그러면 스니퍼 기능을 가진 실행파일이 메모리로 주입된다.

“여기까지 공격이 진행되면 스니퍼가 활동을 시작합니다. 먼저는 특정 파일을 찾아 환경설정을 읽어내고, 복호화 하며 이를 메모리 내에서 확인합니다. 만약 -sniff라는 매개변수가 환경설정 내에 존재한다면, 방화벽 예외 규정을 추가하고 LSO(Large Send Offload)를 비활성화하지요. C&C 개입 없이 공격을 진행하는 겁니다.”

그런 후에는 ARP 포이즈닝과 DNS 스푸핑을 위한 쓰레드를 생성한다. SSL 하이재킹을 통해 SSL 트래픽을 복호화 하기도 한다. 이 때 사용되는 건 울프SSL(WolfSSL)이라는 오픈소스 라이브러리다. 별도로 제공되는 인증서와 비밀 키 파일들이 사용될 때도 있다.

현재 랫스니프가 가장 많이 궁금해 하고 수집하려고 노력하는 건 바로 맥(MAC) 주소다. “공격 표적이 된 사람들의 디폴트 게이트웨이 맥 주소를 요구하고, 확인이 된 맥 주소로는 ARP 패킷들을 전송합니다. 결국 랫스니프를 통과하는 모든 트래픽을 우회시키고자 하는 것이라고 볼 수 있습니다.”

블랙베리 사일런스 측은 “랫스니프는 꽤나 흥미로운 멀웨어”라고 말한다. “고급 멀웨어라고 분류할 수 있을 정도로 대단하지 않고, 제작자들의 기술력이 그리 높지 않다는 걸 고스란히 드러냅니다. 아니, 오션로터스가 사용한 이전 멀웨어와 비교해도 수준이 낮습니다. 그럼에도 꽤나 긴 시간 동안 발각되지 않고 피해자의 네트워크에 숨어서 활동을 해왔죠. 그 사실이 많은 생각을 하게 합니다.”

블랙베리 사일런스의 말은, 결국 방어가 온전하게 이뤄졌다면 미리 탐지할 수 있었던 공격이라는 것으로, 공격자가 뛰어나서 당하는 것보다 방어가 허술해서 당하는 게 더 많다는 보안 업계의 전형적인 사고 패턴이 다시 한 번 드러났다고 볼 수 있다.

얼마 전 중국의 단체로 보이는 한 해킹 그룹이 세계 여러 나라의 통신사들을 공격해 특정 인물과 조직을 염탐해왔다는 사실이 드러나기도 했다. 당시 많은 전문가들이 “공격자가 지나치게 오랫동안 숨어 있었다”며 “보안 점검과 모니터링을 제대로 했다면 피해를 훨씬 줄일 수 있었을 것”이라고 목소리를 모았었다.

3줄 요약
1. 베트남의 해킹 그룹 오션로터스가 지난 3년 동안 사용해왔던 RAT 모아서 분석.
2. 이 RAT들을 랫스니프라고 통합해 부르는데, 여러 단계를 거쳐 사용자의 정보를 빼가는 기능을 갖추고 있음.
3. 하지만 수준이 높은 멀웨어는 절대 아님. 그럼에도 수년 동안 탐지하지 못한 방어자들.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>