지난 주 이모텟이라는 악명 높은 봇넷 인프라가 사법 기관들의 공조로 폐쇄됐다. 그 빈 자리를 에이전트 테슬라라는 멀웨어가 꿰찰 것 같다는 전망이 나온다. 충실한 업그레이드로 기반을 든든히 다지기도 했으니 이제 고객들의 선택만 남았다.

[보안뉴스 문가용 기자] 악명 높은 멀웨어인 에이전트 테슬라(Agent Tesla)가 업그레이드 됐다. 통신 기술이 새롭게 바뀌었고, 엔드포인트 탐지 솔루션을 우회하는 새로운 기술이 탑재됐다고 한다. 보안 업체 소포스(Sophos)가 이에 대해 보고서를 만들어 발표했다.


에이전트 테슬라는 일종의 원격 접근 트로이목마(RAT)로, 다크웹에서 ‘서비스형 멀웨어(Malware-as-a-Service, MaaS)’로 판매되고 있다. 최근 몇 개월 동안 꽤나 인기가 높아졌고, 이에 따라 개발자들이 꼼꼼한 업그레이드를 진행하고 있다. 특히 최근에는 탐지 솔루션을 우회하는 기법에 집중하는 모습을 보여 왔다.

에이전트 테슬라는 2014년부터 등장한 멀웨어로 윈도 기반 장비들에 침투해 크리덴셜 등의 민감한 정보를 훔치는 기능을 수행한다. 스크린샷 캡쳐, 키보드 로깅, 클립보드 캡쳐가 기본적인 기능이다. 2020년 12월 기준 에이전트 테슬라는 모든 악성 이메일 첨부파일의 20%를 차지했다고 한다.

소포스의 수석 위협 연구원인 션 갤러거(Sean Gallagher)는 “작년 4월부터 인기가 급상승하고 있다”고 설명한다. “급성장에는 두 가지 요인이 있는 것으로 보입니다. 에이전트 테슬라의 사업 모델이 완숙해져서 더 많은 소비자들을 수용할 수 있게 된 것이 하나고, 에이전트 테슬라를 구매한 고객들의 리버스 엔지니어링 행위를 막을 수 있을 정도로 코드 난독화가 잘 되기 시작했다는 것이 둘입니다.”

현재 활발히 사용되고 있는 에이전트 테슬라의 버전은 2와 3, 두 가지다. 버전 번호는 조금 다르지만 기능적 측면에서는 거의 같다고 한다. 다만 버전 2는 1번 버전에 비해 난독화 부분에서 좀 더 발전했고, 버전 3 역시 난독화 부분에 공을 들인 것이 쉽게 보인다고 갤러거는 말한다. “즉 고객들이 에이전트 테슬라를 사간 후 해킹해서 독자적으로 운영하는 것을 막는 것에 개발자들이 집중했다는 것을 알 수 있습니다.”

에이전트 테슬라는 주로 악성 이메일의 첨부 파일로서 전파된다. 1단계에서는 닷넷(.NET) 기반 다운로더가 피해자의 시스템에 안착한다. 다운로더는 base64로 인코딩 된 코드를 페이스트빈(Pastebin)과 같은 사이트에서 다운로드 받는다. 그런 후에는 다운로드 받은 것들을 디코딩하고 복호화 함으로써 로더를 완성시킨다. 이 로더는 최종 페이로드를 실행시킨다. 이것이 일반적인 공격 패턴이다.

이번 버전의 경우 샌드박스와 정적 분석을 방해하기 위한 몇 가지 기술을 보유하고 있다. 코드 난독화를 위해 패커를 사용하는 것은 물론 멀웨어 설치를 다단계로 진행한다. 이 때 일부 요소들을 유명 혹은 평범한 사이트에서 가져오기 때문에 탐지에 걸리지 않는다. 인스톨러의 경우 마이크로소프트 AMSI에서 코드 덮어쓰기도 시도해 효과를 상쇄시킨다.

AMSI 공략이 성공할 경우 AMSI와 엮여 있는 엔드포인트 보호 소프트웨어가 제기능을 발휘하지 못한다. 이 과정이 감염의 초기 단계에서 발생하기 때문에 사실상의 AMSI 보호 기능은 첫 번째 단계의 다운로더는 물론 최종 페이로드가 실행될 때까지 무력화된다고 볼 수 있다.

또 다른 문제는 에이전트 테슬라 3번 버전이 상당히 많은 수의 애플리케이션을 노리고 공격한다는 것이다. 구글 크롬, 파이어폭스, 오픈VPN, 오페라, 얀덱스, 크로미움, 아웃룩, 오페라메일, 스마트FTP, WinVCN4, WinSCP, FTP네비게이터가 전부 공격 대상이며 이 앱들로부터 크리덴셜을 노린다. 데이터를 훔친 후에는 호스트의 핑거프린트 데이터와 함께 퍀징을 한 후 공격자들의 C&C 서버로 전송한다.

“각종 클라우드 서비스나 이메일 서비스들에서 크리덴셜을 훔치는 게 에이전트 테슬라의 사용 목적입니다. 또한 2번과 3번 버전의 경우 서버와의 통신에 HTTP, SMTP, FTP에 더해 텔레그램 채팅 프로토콜까지 활용하는 모습을 보여줍니다. 훔친 데이터를 텔레그램 비밀 방으로 전송할 수 있다는 것입니다.” 갤러거의 설명이다.

“텔레그램을 사용한다는 건 데이터를 전송하는 데 있어 이메일 주소조차 필요없다는 뜻입니다. 공격자들 사이에서 흔히 사용되는 방법은 아니지만 꽤나 흥미롭게 연구되는 부분입니다. 앞으로 여러 멀웨어들에서 텔레그램이 활용되는 것을 볼 수 있을 겁니다. 꽤 긴 시간 동안 SMTP가 공격자들의 주류 프로토콜이었습니다만 텔레그램으로 교체될 수 있다고 봅니다.”

이게 다가 아니다. 3번 버전의 경우 HTTP 통선을 강화하기 위해 토르 프록시도 사용한다. 공식 토르 프로젝트 사이트에서 토르 클라이언트를 다운로드 받은 후 설치해 공격에 활용하는데 통신 자체를 숨길 수 있긴 하지만 보안 도구에 탐지될 확률도 높다. “제가 보안 담당자인데 회사 컴퓨터 중 하나가 갑자기 평소와 달리 토르 네트워크를 사용한다면 수상하다고 생각할 겁니다.

소포스가 에이전트 테슬라를 처음 발견했을 때는 피해자들이 중동과 인도에 집중되어 있었다. 그러다가 2번 버전에서부터 이집트와 EMEA 국가들에서도 활동이 시작됐다고 한다. 최근에는 미국, 서유럽 국가들, 호주에서도 에이전트 테슬라가 활용되기 시작했다. “순환이 일어난 겁니다. 멀웨어를 멋대로 크래킹하기 힘들어지니까 구매자들이 늘어나고, 구매자가 늘어나니 기능이 강력해지고, 기능이 강력해지니 사용 범위가 넓어지는 것이죠. 멀웨어의 전형적인 진화 과정이라고 볼 수 있습니다.”

그렇다는 건 앞으로도 계속해서 더 위험해질 가능성이 높다는 뜻이 되기도 한다. 특히 지난 주 이모텟(Emotet)이라는 악명 높은 봇넷이 폐쇄되는 바람에 사이버 범죄 인프라에 공백이 잠시 생겼는데, 이 부분에서 에이전트 테슬라가 치고 들어올 가능성도 높다. 에이전트 테슬라 입장에서 좋은 여건들이 갖춰진 것이다. “공격자들은 꽤나 금방 성장합니다. 에이전트 테슬라를 눈여겨봐야 할 이유가 많습니다.”

3줄 요약
1. 에이전트 테슬라라는 RAT 멀웨어, 업그레이드 됨.
2. 새로운 통신 방법과 코드 난독화가 눈에 띄는 변경점.
3. 게다가 이모텟이라는 강력한 라이벌이 사라진 상태라 호기 될 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>