공격자들 사이에서 점점 수요가 높아지는 것, 백신 무력화 도구

최근 한 보안 업체가 사건을 조사하면서 한 공격자의 신원까지 파악하게 됐다. 그러면서 최근 공격자들 사이에서 백신을 무력화시키는 방법이나 솔루션이 크게 유행하고 있음도 알게 됐다. 따라서 EDR이나 백신을 설치한 것만으로 안심해서는 안 된다는 경고가 나오고 있다.

[보안뉴스 문정후 기자] 보안 업체 팔로알토네트웍스(Palo Alto Networks)가 최근 벌어진 한 사건을 조사하다가 공격을 실시한 해커의 신원도 발견했고, 그러면서 해커들 사이에서 현재 형성되고 있는 트렌드를 발견해 공유했다.

[이미지 = gettyimagesbank]

조사의 시작, 수상한 엔드포인트
“조사를 진행하면서 공격자들과 관련이 있는 엔드포인트 두 개를 발견했습니다. 여기에는 코텍스XDR(Cortex XDR) 에이전트가 설치되어 있었는데, 오래된 버전이었습니다. 저희는 공격자들 몰래 이 엔드포인트에 접근하여 공격자들의 활동을 지켜볼 수 있었습니다.” 그러면서 공격자들이 사용하는 도구와 각종 파일들을 찾아냈는데 여기에는 우회를 위한 도구들도 포함되어 있었다고 한다. 사이버 범죄자들이 사용하는 포럼에서 이 도구들을 찾아내기도 했다.

그러면서 팔로알토의 보안 연구원들은 누가 그런 도구들을 판매하는지, 어떤 사람들에게 광고하고 어떤 대가를 받는지 등까지 조사했고, 그러면서 결국 공격자들의 신원까지 찾아낼 수 있었다고 한다. “사건의 배후에 누가 있는지 알아냈고, 그가 어떤 직업을 가지고 있으며 어떤 배경을 가지고 있는지까지도 확인할 수 있었습니다.”

팔로알토가 제일 먼저 주목한 건 백신이나 엔드포인트 탐지 도구를 우회시켜주는 도구였다. “이디알샌드블래스트(EDRSandBlast)라는 공개된 소스코드를 공격자들이 약간 수정하고 CLI 기능을 제거함으로써 완성된 도구로 보입니다. 이디알샌드블래스트와 공격자들이 사용한 도구 간 유사성이 상당히 발견되고 있습니다. 이 도구의 주요 기능은 사용자 모드 라이브러리와 커널 모드 콜백에서 이디알 후크를 표적으로 삼아 제거하는 것입니다. 취약한 드라이버에 접근하기도 합니다.”

그 다음으로는 이 도구의 판매자를 추적했다. 이 악성 도구가 호스팅 되어 있는 시스템의 이름이 먼저 발견됐다. DESKTOP-J8AOTJS였는데, Z:/freelance라는 폴더 아래 흥미로운 이름을 가진 여러 하위 디렉토리들이 있다는 것을 알아낼 수 있었다. “다양한 파트너사 혹은 제휴자들의 이름이나 별명으로 보였습니다. 즉 이 판매자와 거래하고 있는 자들이 폴더별로 정리되어 있었다는 것이죠.”

수상한 인물들이 수면 위로 드러나다
그런 후에는 다크웹의 범죄 포럼을 뒤지기 시작했다. 하위 디렉토리에 있는 이름들과 일치하는 이름이 있는지 파악하기 위해서였다. “그 결과 일치하는 이름들을 일부 찾아낼 수 있었습니다. 이 이름들이 작성한 게시글도 확인했는데 전부가 러시아어로 되어 있었습니다. 당연하지만 이 게시글들 대부분 러시아어로 운영되는 범죄 포럼인 XSS와 익스플로잇(Exploit)에서 발견됐습니다.”

그런 추적 끝에 팔로알토의 관심을 사로잡은 이름이 하나 있었다. 마티71(Marti71)이었다. 이 인물은 백신과 엔드포인트 탐지 기술을 어떻게 우회해야 하는지 여러 포럼의 게시판에 물었다. 질문은 영어로 작성되었는데 “백신 종료 솔루션을 어디서 구할 수 있나요?”, “장기적으로 돈을 내고 백신 무력화 솔루션을 구매할 의향이 있습니다” 등의 내용을 담고 있었다. 그런 질문들에는 여러 사람이 답을 달았고, 커널모드(KernelMode)라는 사용자가 특정 도구들을 제안하는 게 마지막이었다.

마티71은 다른 게시글과 글타래에 커널모드가 제안한 도구를 사용했는데 효과가 좋았다는 식으로글을 남기기도 했다. 커널모드는 도구를 제안했을 뿐만 아니라 시연 영상까지도 제공했는데, 팔로알토 측도 이 영상을 확보하는 데 성공했다고 한다. “백신을 무력화 한 후 미미캐츠(Mimikatz)라는 또 다른 공격 도구를 설치하는 것까지 영상에 담겨 있습니다. 자기가 제안한 도구의 효과를 나타내기 위한 목적성도 이 영상에서 확인할 수 있었습니다.”

악성 시스템에서 추출한 것들
이렇게 주요 인물들을 확인한 뒤 팔로알토 연구원들은 다시 DESKTOP-J8AOTJS로 돌아가 검색을 시작했다. 그렇게 했을 때 발견된 것들은 다음과 같았다.
1) 암호화 된 아카이브 파일인 ContiTraining.rar을 발견했다.
2) 이 아카이브를 추출했더니 2021년 8월 14일에 생성된 ContiTraning.torrent라는 파일이 있었다.

3) 이 토렌트 파일을 실행했더니 몇 가지 서버에 연결됐고, 2021년에 유출된 콘티(Conti) 해킹 그룹의 플레이북을 다운로드 했다. 서버들은 다음과 같았다.
- udp[://]tracker.coppersurfer[.]tk:6969
- udp[://]9.rarbg[.]to:2920
- udp[://]tracker.opentrackr[.]org:1337
- udp[://]tracker.leechers-paradise[.]org:6969
- udp[://]exodus.desync[.]com:6969

4) ContiTraining.torrent를 통해 다운로드 된 파일들은 다음과 같았다.
- Кряк 2019.rar
- Метасплоит US.rar
- Метасплоит RU.zip
- Network Pentesting.rar
- Cobalt Strike.rar
- Powershell for Pentesters+.rar
- Windows Red Team Lab+.rar
- WMI Attacks and Defense +.rar
- Abusing SQL Server Trusts in a Windows Domain+.rar
- Attacking and Defending Active Directory+.rar
- GCB.zip
- GeekBrayns Реверс-инжиниринг.rar

5) 특정 개인에 대한 개인 식별 정보 및 다른 기밀이 포함된 폴더가 발견됐다. 여기에는 이런 정보들이 담겨 있었다.
- 이름
- 장치 세부정보
- 전화번호
- 계좌 번호
- 2단계 인증 기반 키

6) 위에서 언급된 백신 우회 도구의 여러 복사본과 시연 영상이 발견됐다.
7) 백신 우회 도구를 실험하기 위한 목적으로 보이는 미미캐츠의 여러 복사본이 발견됐다.
8) 깃허브(GitHub)나 다크웹 여러 포럼에서 수집된 도구들 중 다음과 같은 기능을 가진 것들이 발견됐다.
- 쉘코드 생성 및 실행
- 커널 드라이버 유틸리티
- 코드 난독화
- 보호 우회
- 안티 치트 우회
9) 러시아 연구소의 연구자가 작성한 컴파일러 난독화에 대한 발표 자료도 추출됐다.
10)결제 세부정보가 포함된 텍스트 파일도 있었다.
11) 크리덴셜과 호스트 IP 주소가 담긴 목록 파일이 발견됐다.
12) 카자흐스탄에 본사를 둔 두 개의 기업 간 거래 양식도 있었는데, 이 양식을 통해 추후에 공격자의 뒤를 캐는 데 중요한 단서를 주는 회사 이름이 있었다.

시연 영상에서 발견한 것들
위의 6)번에서 팔로알토 연구원들이 여러 시연 영상을 발견했다고 나오는데, “다양한 엔드포인트 제품을 무력화시키는 것”을 보여주는 영상이었다고 한다. 이 영상들은 커널모드라는 이름의 악성 행위자가 여러 다크웹 포럼에 게시한 것들과 동일했다. 이 영상들을 통해 팔로알토 측에서 발견한 것들은 다음과 같았다.

1) 백신 우회 도구는 가상기계에서 실험되고 있었다. 호스트 기계의 작업 표시줄을 통해 여러 개의 가상기계 인스턴스가 한꺼번에 사용되고 있음을 알 수 있었다.
2) 백신 에이전트 패널에 표시된 가상기계의 호스트 이름은 DESKTOP-J8AOTJS으로, 위에서 언급된 악성 호스트와 동일하다. 결국 처음에 발견했던 악성 호스트가 가성기계라는 것을 알 수 있었다.
3) 에이전트 패널의 관리 콘솔 URL이 비정상적으로 보였다. 그래서 조사했더니 백신 에이전트를 설치하기 위한 가짜 토큰이 발견됐다. 이 가짜 토큰은 한 텔레그램 채널에서 공유되고 있었다.
4) 호스트의 윈도 작업 표시줄을 통해 어떤 애플리케이션이 열려 있는지 확인할 수 있었다. 그 중에 Andr이라는 이름이 있었다.
5) 다른 영상에서도 비슷한 이름이 발견됐다. Andry-ad로 첫 네 글자가 Andr이다. 이것과 관련된 아이콘은 윈박스(WinBox)라는 유틸리티 아이콘이었다. 윈박스는 마이크로틱(Mikrotik)에서 만든 라우터에 원격 로그인 하는 데 사용되는 유틸리티다. Andry는 마이크로틱 라우터에 로그인한 사용자의 이름일 가능성이 높아 보인다.
6) OBS스튜디오(OBS Studio)라는, 영상 녹화 및 라이브 스트리밍 오픈소스 도구의 존재도 확인됐다.

다음으로 팔로알토 연구원들은 DESKTOP-J8AOTJS의 에지 브라우저를 분석했다. 특히 어떤 브라우징 이력을 가지고 있는지를 추적했는데, 사용자(즉 악성 시스템의 주인)가 특정 해킹 도구를 검색하고 다운로드 했음을 알 수 있었다. 프로세스해커(Process Hacker)와 더블커맨더(Double Commander)와 같은 도구였다. 이 두 도구를 찾기 위해 얀덱스라는 러시아 검색 엔진에 접속하기도 했음 역시 알 수 있었다.

연구원들은 공격자가 콘티의 플레이북을 다운로드 한 흔적이 있다는 사실에 주목했다. “콘티의 플레이북 자체를 발견하지는 못했습니다. 하지만 공격자가 실제로 활용한 전술이나 공격 절차가 콘티의 그것과 상당히 닮아 있음을 알 수 있었습니다. 아테라(Atera)를 이용해 공격 지속성을 확보한다든지, 코발트스트라이크(Cobalt Strike)를 특정 단계에서 활용한다든지, 횡적 움직임을 위해 PsExec를 사용한다는 특징 등이 콘티와 유사합니다.”

공격자의 프로파일링과 추적
위와 같은 정보들을 다 확보한 후 팔로알토의 연구원들은 슬슬 공격자가 누구인지 파악하는 작업에 착수했다. “예를 들어 영상을 통해 캡처한 이름인 Andry를 통해 링크드인 프로파일을 하나 찾아낼 수 있었습니다. 그런데 이 계정의 주인은 위에서 언급된 거래 양식에 기재된 카자흐스탄 기업에서 근무하고 있는 것으로 나타났습니다. 러시아의 소셜미디어인 뷔콘탁트(VKontakte)에서도 같은 인물의 계정을 찾아냈고, 같은 정보를 확인할 수 있었습니다.”

그래서 팔로알토는 이 개인의 회사를 조사하기 시작했다. “회사의 웹사이트와 주소, 등록 정보를 확인했습니다. 그 결과 그 회사에는 현재 5명의 직원이 근무하고 있다는 걸 알 수 있었습니다. 회사 사이트에는 이 5명에 대한 상세 정보가 담겨 있었고, 저희가 추적하던 인물의 정보 역시 포함되어 있었습니다. 그가 낮에 양지에서 어떤 활동을 하고 있는지를 파악할 수 있었던 것입니다.” 하지만 그 개인과 회사의 실제 이름은 아직 공개되지 않고 있다.

다만 이 인물이 커널모드와 어떤 식으로든 가깝게 연결되어 있다는 것은 분명해 보인다고 팔로알토는 설명한다. “저희가 여러 경로로 찾아낸 악성 호스트의 주인이, 커널모드가 다른 다크웹 포럼에서 게시한 각종 도구 및 시연 영상과 같은 정보를 보유하고 있었으니까, 둘 사이에 연결 고리가 있다는 걸 확신할 수 있습니다. 현재까지 발견된 자료들을 봤을 때 이 개인은 커널모드와 같이 백신 우회 도구를 개발했을 가능성이 높아 보입니다. 하지만 이 인물이 최초의 보안 사고를 일으킨 장본인이라고 단정 짓기는 힘듭니다. 실제 공격자에게 그저 도구만 제공한 인물일 가능성이 남아 있다는 뜻입니다.”

공격자들 사이의 트렌드
이번 조사를 통해 팔로알토는 다음과 같은 통찰을 얻었다고 설명한다.
1) 최근 공격자들 사이에서는 백신과 EDR 제품을 우회시키는 해킹 도구에 대한 수요가 높아지고 있다.
2) 이 흐름을 다크웹 상인들도 알고 있고, 계속해서 비슷한 제품들을 시장에 내놓고 있다. 경쟁이 이런 식으로 심화되면 앞으로 백신과 EDR을 무력화시키는 고급 도구들이 등장할 가능성이 높아진다.
3) 그렇기 때문에 공격자들 사이에서 어떤 백신 무력화 도구가 사용되는지 꾸준히 파악할 필요가 있고, 그러기 위해서는 다크웹의 모니터링이 필수적이다.

“저희가 공개하는 침해지표에 따라 방어를 강화하는 것이 좋습니다. 또한 공격자들이 즐겨 사용하는 도구들이 무엇인지 파악하고, 그것에 따른 방어 전략을 갖추는 것도 좋습니다. 최근 엔드포인트 보안 도구를 무력화시키는 게 유행하고 있으므로 방어하는 입장에서는 백신이나 EDR 제품들을 전적으로 신뢰하면 안 됩니다. 그런 보안 제품들에 더해 추가 보안 전략들을 적용하는 것이 안전합니다.”

3줄 요약
1. 한 보안 사고를 추적하다가 공격자의 신원까지 파악하게 됨.
2. 다만 신원이 파악된 자가 공격을 직접 실시했는지, 그저 도움을 준 것인지는 아직 불확실.
3. 백신과 EDR 제품을 무력화시키는 시도가 공격자들 사이에서 유행하고 있음.
[국제부 문정후 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)