맬웨어 작성자들, SaaS에 착수하다

익스플로이트 팩의 동일한 관리 기능을 많이 갖고 있기도 하지만 토네이도(Tornado)의 가장 인상적인 점은 그것이 최소 6개월 동안 보안 연구자들의 감시망에서 벗어날 수 있는 능력이다.

토네이도의 능력은 그것의 작성자들이 그것을 판매하는 세심한 방법이 발각되는 것을 피하는데 있다고 연구자들은 보고 있다. 이러한 익스플로이트 팩 구매는 조심스럽게 검토되는 것 같았고 제품 보다는 그 팩의 서비스에 대한 라이선스를 구매하는 것이었다고 시만텍 보안 연구소(Symantec Security Response)의 개발 부사장 알프레드 휴거(Alfred Huger)는 말했다.

휴거는 “이것은 해커들을 위한 SaaS(software-as-a-service)”라며 “6개월이라는 것은 감시망 하에서는 영원과도 같은 시간이다. 그들은 그것을 누구에게 팔 것이며 어떻게 판매될 것인지에 대해 많이 숙고했던 것이다”라고 설명했다.

암시장에서 상업적으로 사용 가능한 키트의 리스트가 성장하고 있다. 대부분이 지원 계약을 포함하고 있어 최신 취약성 발견과 같은 업데이트를 제공한다. MPack, NeoSploit, IcePack, WebAttacker, WebAttacker2, MultiExploit 툴킷 등 일반적인 것들뿐만 아니라 random.js, vipcrypt, makemelaugh, dycrypt와 같은 새로운 툴킷도 이용 가능하다.

휴거는 토네이도가 복잡하며 용의주도하다고 말했다. 토네이도는 14개 취약성에 대한 익스플로이트를 디폴트로 갖고 있다. 또한 토네이도는 일반적으로 익스플로이트된 서버에 계정을 설정하는 관리자가 구매하여 다른 사람들이 사용할 수 있는 서비스를 판매하는 NeoSploit 툴킷과 매우 유사하게 판매된다고 휴거는 설명했다.

토네이도는 2007년 말 대규모의 아이프레임 인젝션(iframe injection) 공격에 사용되었으며 휴거의 말에 따르면 해당 팩은 여전히 소규모 웹 사이트를 공격하는데 사용되고 있다. 연구자들은 상업적인 웹 사이트가 다음 차례라고 생각하고 있다.

<글·로버트 웨스터벨트(Robert Westervelt)>