니트로 코드 생성기로 위장한 파이봇 디도스 악성코드 유포

불법 소프트웨어 다운로드 및 설치과정에서 악성코드 감염되는 사례 빈번
파이봇, 취약점이 패치되지 않거나 부적절하게 관리되는 취약한 IoT 기기 공격

[보안뉴스 김영명 기자] 공격자들이 악성코드를 유포하는 방식 중에는 대표적으로 크랙과 같은 불법 소프트웨어 다운로드 사이트로 위장하는 방식이 있다. 공격자는 악성코드를 유료 소프트웨어의 크랙이나 시리얼 생성기와 같은 프로그램으로 위장해 업로드하면 사용자는 이러한 불법 소프트웨어를 설치하고 이 과정에서 악성코드가 함께 감염되는 방식이다.

▲디스코드의 Nitro 유료 서비스[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀에서는 소프트웨어 크랙이나 시리얼 생성기와 같은 불법 소프트웨어를 통해 유포되고 있는 악성코드들을 모니터링하고 있는 가운데 최근 파이봇 디도스(PYbot DDoS) 악성코드가 불법 소프트웨어와 함께 유포되고 있는 것을 확인했다고 밝혔다.

이번에 공격자가 미끼로 사용한 프로그램은 니트로 제너레이터(Nitro Generator)라고 하는 토큰 생성기다. 니트로(Nitro)는 디스코드의 다음과 같은 다양한 기능들을 제공하는 유료 서비스이며, 니트로 제너레이터는 해당 서비스를 무료로 사용할 수 있도록 니트로 서비스의 코드를 생성하는 도구다.

파이봇(PYbot)은 파이썬으로 개발된 오픈소스 디도스 봇(DDoS Bot) 악성코드다. 일반적인 디도스 봇 악성코드들과 비교해서 파이봇의 특징이 있다면 디도스 공격 기능만을 보유한 악성코드라는 점이다. 물론 미라이(Mirai)나 가프짓(Gafgyt), 쓰나미(Tsunami) 같은 악성코드들처럼 디도스 공격이 주요 기능인 악성코드들도 존재하지만, 최소한 악성코드의 업데이트나 공격자의 명령을 실행하는 기본적인 기능들은 포함하고 있다.

해당 유형들은 마이크로소프트 윈도(Windows) 시스템이 아닌 취약점이 패치되지 않거나 부적절하게 관리되고 있는 취약한 IoT 장비들을 대상으로 한다. 윈도 시스템을 대상으로 하는 악성코드 중에서 디도스 공격 기능을 보유하고 있는 유형은 주로 RAT 악성코드들이 많다. 물론 RAT 악성코드들은 감염 시스템을 원격으로 제어하는 것이 주요한 기능이다.

▲오픈소스 악성코드 파이봇[자료=안랩 ASEC 분석팀]

현재 확인된 파이봇은 윈도 시스템을 대상으로 유포되고 있지만, 개발 언어인 파이썬의 특성상 리눅스 환경에서도 동작이 가능하기 때문에 리눅스 시스템을 대상으로 하는 공격에도 사용될 수 있다.

최초로 유포되는 악성코드는 DRPU Setup Creator를 이용해 제작된 인스톨러 유형의 악성코드로서 공격자가 ‘nitrogen.exe’ 또는 ‘ntrg.exe’라는 이름으로 유포한 것으로 추정된다. 해당 인스톨러는 Program Files 경로에 NitroGenerator.exe, Remove Uninstaller.exe, Uninstaller.exe, Uninstallerpathtn.ini 등의 파일을 생성한다. 이 가운데 ‘NitroGenerator.exe’는 다운로더 악성코드로서 외부에서 추가 악성코드를 설치하는 기능을 담당한다.

▲파이봇을 설치하는 인스톨러 악성코드와 인스톨러가 설치한 악성코드(좌부터)[자료=안랩 ASEC 분석팀]

다운로더 악성코드는 닷넷으로 개발됐으며 형태는 의외로 단순하다. %TEMP% 경로에 ‘p.exe’, ‘n.exe’를 다운로드하고 실행하며, 시작 폴더에는 바로가기 파일을 생성해 ‘p.exe’, 즉 PYbot이 재부팅 이후에도 동작할 수 있도록 한다. ‘n.exe’는 FireDragon′s Nitro Generator라고 하는 프로그램의 인스톨러다. 설치가 끝나면 디스코드의 유료 서비스인 Nitro의 코드를 생성하는 불법 프로그램이 생성된다.

파이봇은 파이썬 악성코드지만 공격자는 PyInstaller를 통해 윈도 실행 파일로 빌드해 유포했다. PyInstaller는 파이썬이 설치되지 않은 환경에서도 파이썬 스크립트가 동작할 수 있도록 실행에 필요한 모듈들과 함께 윈도 실행 파일 포맷인 exe로 변환해 주는 도구다. PyInstaller는 기본적으로 스크립트를 실행 파일로 변환해 주는 Bat2exe와 유사한 도구라고 할 수 있지만, 윈도 기본 환경에서 동작 가능한 Batch 파일과 달리 파이썬 스크립트는 파이썬이 설치돼 있어야 해 파이썬 스크립트를 실행시켜 주는 다수의 모듈이 함께 포함된 것이 특징이다.

PyInstaller로 제작된 바이너리를 분석하기 위해 실행 파일 내부에 저장돼 있는 각 모듈을 추출하면 컴파일된 파이썬 스크립트 ‘bot (1)’과 다수의 파이썬 모듈들을 확인할 수 있다.

▲PyInstaller 내부에 존재하는 파일들을 추출한 결과+공격에 사용된 PYbot의 소스 코드[자료=안랩 ASEC 분석팀]

다음으로 컴파일된 파이썬 스크립트 ‘bot (1)’을 디컴파일했을 때 오픈소스인 파이봇의 소스 코드와 거의 유사하지만 차이점도 존재한다. 파이봇에는 curl을 이용한 다운로드 루틴이 존재하지 않지만, 현재 공격에 사용된 파이봇에는 외부에서 추가 페이로드를 다운로드하는 루틴이 포함됐다. 다운로드 주소의 도메인이 명령제어(C&C) 서버와 같아 악성코드로 추정되지만, 현재 다운로드가 불가능해 어떠한 악성코드를 설치하는지는 확인되지 않는다는 게 ASEC 분석팀의 설명이다.

디도스 봇 악성코드인 파이봇은 TCP Flood, TCP SYN Flood, UPD Flood와 같은 기본적인 Layer 4 공격과 함께 VSE Flood와 HTTP GET Requese Flood 공격 등 다양한 디도스 공격 기능을 지원한다. 참고로 VSE는 Valve Source Engine의 줄임말이며, VSE Flood는 특정 게임 서버에 다수의 쿼리를 전달하는 방식의 디도스 공격이다.

▲파이봇이 지원하는 DDoS 공격[자료=안랩 ASEC 분석팀]

파이봇에 감염될 경우 사용자의 시스템은 공격자의 명령을 받아 특정 대상에 대한 디도스 공격을 수행하는 디도스 봇으로 사용될 수 있다. 이에 사용자들은 알려지지 않은 경로에서 내려받은 파일을 실행할 때는 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 공식 홈페이지에서 다운로드 받아야 한다. 또한, V3 등 백신을 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단할 수 있도록 해야 한다.
[김영명 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)