멀버타이징 캠페인 통해 퍼지고 있던 새 익스플로잇 키트, 로드
운영자들 활발하게 업데이트 중...플래시 플레이어 플러그인 업데이트 필수

[보안뉴스 문가용 기자] 어도비의 플래시 플레이어에서 발견된 취약점을 노리고 공격을 실시하는 익스플로잇 키트가 새롭게 발견됐다. 이 키트를 처음 보고한 보안 업체 멀웨어바이츠(Malwarebytes)는 여기에 로드(Lord)라는 이름을 붙였다.


로드를 처음 발견한 건 아드리안 루카(Adrian Luca)라는 보안 전문가다. 팝캐시(PopCash)라는 광고 네트워크 상에서 나타난 멀버타이징 캠페인에서 처음 나타났다고 한다. 로드 익스플로잇 키트는 가짜 웹사이트로 피해자들을 우회시킴으로써 침해에 성공한다. 이 웹사이트는 초반 너무나 엉성하고 허술해 누구라도 수상함을 느낄 수 있었지만, 공격자들이 얼마 지나지 않아 수정했다.

침해가 일어나는 랜딩 페이지는 1) 플래시 플레이어가 있는지 확인하고, 2) CVE-2018-15982 취약점을 익스플로잇 하는 기능이 숨겨져 있다. 또한 3) 피해자의 시스템 정보와 4) 네트워크 연결 관련 정보를 수집하기도 한다.

로드 익스플로잇 키트가 다른 익스플로잇 키트와 다른 점은 ngrok이라는 정상 서비스를 사용해 커스텀 호스트 이름(custom hostname)을 생성함으로써 독특한 URL을 만든다는 것이다. 멀웨어바이츠는 이 점에 대해서 다음과 같이 설명한다.

“굉장히 독특한 특징입니다. ngrok은 로컬 서버를 공공 인터넷에 노출시키기 때문입니다. 흔적을 최대한 숨기고 싶은 공격자들로서는 꺼려지는 특징이기도 하죠. 그러나 ngrok의 무료 버전은 무작위 서브도메인을 생성한다는 장점이 있기도 합니다. 이런 무작위 서브도메인은 익스플로잇 키트 개발자나 사용자들에게 있어 굉장히 유용하거든요.”

현 시점에서 로드 익스플로잇 키트는 플래시 플레이어 플러그인에 있는 취약점들만을 공략하고 있다. 하지만 다른 익스플로잇 키트가 인터넷 익스플로러 등과 같은 유명 프로그램의 취약점을 공략하는 걸 생각했을 때, 로드 역시 공격 방법을 조만간 늘릴 것으로 예상된다고 한다.

로드는 CVE-2018-15982를 익스플로잇하고 난 뒤 셸코드를 실행해 추가 페이로드를 다운로드 받고 실행시킨다. 처음에는 엔제이랫(njRAT)이라는 백도어를 설치하는 것으로 보였으나, 공격자들이 에리스(ERIS)라는 랜섬웨어로 전환했다. 또한 익스플로잇이 끝난 후에는 피해자들을 구글의 홈페이지로 우회시키는데, 이는 스펠레보(Spelevo)라는 공격용 툴킷에서 발견된 행동 패턴이기도 하다.

멀웨어바이츠가 조사한 바에 의하면 로드 익스플로잇 키트는 현재 활발하게 업데이트 되고 있는 중이라고 한다. 개발자들의 의욕이 넘쳐난다는 증거다.

“최근 공격자들 사이에서는 인터넷 익스플로러나 플래시 플레이어에서 발견된 취약점을 증명하기 위한 개념증명 코드를 활용해 대단히 원시적인 페이지를 만드는 행위가 유행하고 있습니다. 아무런 꾸밈이나 숨김 장치 없이, 웹페이지의 골격만 가지고 익스플로잇을 활성화하는 것이죠. 드라이브바이 다운로드 공격의 변형이라고 볼 수 있습니다.”

3줄 요약
1. 새로운 익스플로잇 키트인 로드(Lord)가 등장. 플래시 플레이어 노림.
2. 현재까지 익스플로잇 되는 취약점은 단 하나, CVE-2018-15982.
3. 굉장히 엉성한 사이트로 우회시켜 감염. 원시적인 페이지에서 PoC 로딩하는 공격이 최근 유행하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>