파일레스 공격하는 P2P 구성의 봇넷...탐지도 어렵고 폐쇄는 더 어려워
어쩌면 최초의 발견...아직도 드문 유형의 위협은 맞으나 점점 많아지고 있어

[보안뉴스 문가용 기자] 보안 업체 가디코어(Guardcore) 랩스가 고급 P2P 봇넷을 발견했다. 최소 2020년 1월부터 SSH 서버들을 집중적으로 공략한 것으로 보인다. 가디코어는 이 봇넷을 프리츠프로그(FritzFrog)라고 부르며, 최근까지 각종 정부 기관, 은행, 통신사, 의료 기관, 교육 기관들을 겨냥한 침해 시도가 이뤄진 것을 여러 차례 목격했다고 한다. 현재까지 침해된 건 SSH 서버들은 약 500개 정도 되는 것으로 밝혀졌다.


프리츠프로그는 기존 P2P 봇넷들과 마찬가지로 중앙화 된 C&C 인프라를 갖추고 있지 않다. 대신 제어 기능들이 분산된 노드들에 분포되어 있으며, 각 노드들은 다른 노드들과 암호화 된 채널을 통해 통신할 수 있을 뿐만 아니라 공격 표적이 된 시스템을 공격할 수 있는 기능을 가지고 있다. 따라서 봇넷 제거 작전이 훨씬 더 까다롭다. 중앙의 C&C 서버만 없애면 무력화 되는 기존 봇넷들과 구성이 다르기 때문이다.

프리츠프로그는 이것 외에도 다른 특징들을 가지고 있다. 그렇기 때문에 다른 P2P 봇넷들보다 더 위험할 수 있다. 먼저 프리츠프로그 봇넷 멀웨어 자체는 고(GO) 언어로 만들어져 있다. 그리고 메모리 내에서만 실행된다. 디스크에는 흔적이 하나도 남지 않는다. 프리츠프로그의 각 노드들은 공격 표적과 피어 노드들에 대한 최신 데이터를 저장하고 있다. 가디코어가 분석한 바에 의하면 공격 표적이 겹치는 노드는 하나도 없다고 한다. 공격에 성공하면 피해 시스템에 백도어를 심어 프리츠프로그가 삭제되는 상황에서도 접근이 가능하도록 한다.

프리츠프로그는 백지에서부터 개발된 것으로 보이며, 현존하는 그 어떤 프로토콜을 가져다가 붙인 흔적이 보이지 않는다고 한다. 가디코어는 이러한 특성 때문에 “개발자들이 대단히 뛰어난 실력을 보유한 것으로 보인다”고 추정한다. “프리츠프로그는 파일레스 공격을 구현한 첫 번째 멀웨어는 아닙니다만, P2P 구조로 봇넷을 구성하면서 파일레스 공격을 구현하는 첫 사례일 수 있습니다.” 가디코어의 보안 연구원인 오피르 하파즈(Ophir Harpaz)의 설명이다. “또, 토렌트와 유사한 방식으로 파일을 전송하고 공격하는 시스템도 흔치 않은 방식입니다.”

하파즈는 프리츠프로그 샘플을 분석했을 때 “모네로 암호화폐 채굴러를 실행하는 것이 목격되었다”고 말했다. “하지만 프리츠프로그라는 고급 P2P 봇넷을 개발한 최종 목표가 암호화폐 채굴이라고 보기 힘듭니다. SSH 서버들에 대한 접근 권한을 최대한 많이 확보하는 게 훨씬 중요한 목표일 겁니다. 그런 후 이 접근 권한을 다른 범죄자들에게 더 비싼 값에 팔겠죠. 이러는 편이 암호화폐를 채굴하는 것보다 훨씬 수익 면에서 나을 것입니다.”

그것 외에도 수익 모델은 또 있는 것으로 예상된다. 바로 P2P 인프라 자체를 대여하는 것이다. “프리츠프로그는 강력한 공격 인프라입니다. 디스크에 흔적도 남기지 않고, 토렌트 방식으로 백도어를 다운로드시키며, 좀처럼 무력화 되지도 않는 구조를 가지고 있죠. 지금은 그렇지 않다고 하더라도 추후에 봇넷 그 자체로 상품이 될 가능성이 높습니다.”

프리츠프로그의 각 노드는 비밀번호를 브루트포스 기법으로 뚫는 기능을 가지고 있다고 한다. 이를 통해 SSH 서버들을 침해하는 것이 기본이다. “각 노드에는 크리덴셜들의 사전이 저장되어 있습니다. 이 사전에 나와 있는 크리덴셜을 계속해서 대입하는 것이죠. 보통의 P2P 봇넷들이 사용하는 브루트포스 공격보다 훨씬 방대한 공격을 할 수 있는 이유가 됩니다.”

P2P 봇넷의 특성상, 봇넷의 무력화도 매우 어려운 상태다. C&C 서버가 중앙에 있지 않고, 각 노드에 퍼져 있기 때문이다. 그렇기 때문에 각 조직들이 프리츠프로그 멀웨어를 탐지해서 막아야만 하는 상황이다. 가디코어는 각 조직들이 사용할 수 있는 탐지 스크립트를 공개했다. 이 스크립트는 여기(https://github.com/guardicore/labs_campaigns/blob/master/FritzFrog/detect_fritzfrog.sh)서 열람이 가능하다.

프리츠프로그와 같은 P2P 봇넷은 여전히 ‘희귀한’ 유형이다. 하지만 점점 자라나고 있는 위협의 유형이기도 하다. 현재까지 공개된 P2P 봇넷들 중 유명한 것으로는 DDG가 있다. 넷랩(NetLab)이 2018년 제일 처음 발견한 것으로 암호화폐 채굴을 목적으로 하고 있다. 현재까지도 활동 중에 있으며 점점 발전 및 진화를 거듭하는 상태다. 센추리링크(CenturyLink)가 발견한 모지(Mozi) 역시 P2P 봇넷이다. 현재 2200개 정도의 노드로 구성되어 있는 것으로 알려져 있다.

3줄 요약
1. 프리츠프로그라는 새로운 P2P 봇넷이 발견됨.
2. 파일레스 공격을 하며, 각 노드가 C&C 서버처럼 작동하기 때문에 폐쇄가 어려움.
3. 잠재적 피해자들이 스스로 탐지해 막아야 함. 프리츠프로그 탐지 스크립트 존재함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>