악성코드, 이렇게 변화하고 있다

인터넷을 통해 악성코드(Malicious Code)가 전파되기 시작한 것은 2000년 중반 P2P로부터 처음 발견됐으며 2001년 하반기부터 급증했다. 주로 감염 경로는 불법복제 프로그램, 전자우편 첨부파일 및 메신저 첨부 파일로 감염됐으나 점차 악성 IRC봇, 웹 페이지 검색을 통해서 전파됐다. 최근 악성코드는 인터넷 속도가 빨라지고 Application Program 다양화에 따라 전파 유형도 다양하게 변화, 진화되고 있다.

2003년 1.25 인터넷 대란 이후 2009년 7.7 DDOS공격까지 수많은 악성코드를 이용한 공격들이 발생했으며 대량의 Traffic을 유발시키는 공격들도 많이 나타났다. 이런 공격들이 가능하게 된 것은 좀비(Zombie)PC의 활용으로 가능했으며 이들의 특징은 특정 사이트를 공격해 웹 접속 지연 및 서비스 장애를 발생시켰다는 것이다.

이런 좀비PC를 구축하려면 악성코드를 만들어 인터넷으로 전파해야 하는데 초기에는 OS 취약점, SQL Injection공격, 웹 게시판을 통한 업로드, IRC 봇넷 등을 전파에 사용했으며 최근에는 방법이 진화돼 Static DNS 또는 DDNS 도메인을 이용, C&C 서버로 접속해 파일 다운로드 하는 방법과 웹DISK, P2P 사이트에 사람들의 흥미를 유발시키는 동영상파일 및 상용 프로그램 속에 악성파일을 숨기는 Self-extract기능을 이용한 파일을 업로드해 자연스러운 다운로드를 통한 사회공학적 해킹 방법을 많이 사용하고 있다. 지금부터 이런 방법에 대해서 설명하고자 한다.

첫째, Static DNS IP를 악성코드 감염파일에 넣어 실제 DNS서버의 쿼리를 우회하는 방법과 해외 DDNS 도메인 IP를 넣어 국내에서 차단을 우회 할 수 있는 기법에 대해서 설명하고자 한다.

그림 1은 침해 감염PC의 통신 패킷 중 DNS 프로토콜만 필터해 캡처한 내용이다. at77421.is-lost.org 도메인이 해외 DNS 서버IP로 질의 하는 것을 볼 수 있다.

감염된 PC는 주기적으로 DNS 쿼리를 발생시켜 내부IP(192.168.0.1)를 가져오다가 공격자가 DDNS 도메인 IP를 설정하는 순간 공격 명령을 다운 받을 실제IP를 가져오게 된다. 그림 2에서 실제 다운받을 숙주서버 IP주소를 볼 수 있다. 그림 3과 4는 다운받을 숙주IP에서 악성 파일을 다운 받는 화면이다. 이렇게 DDNS 도메인을 사용해 수시로 숙주IP를 변경, 국내에서 차단을 어렵게 만들고 있다.

둘째로 국내 웹DISK, P2P의 동영상 파일 속에 악성코드가 숨겨진 내용을 소개하고자 한다. 그림 5 파일을 다운받아 SFX옵션으로 더블 클릭해 압축파일을 풀면 아래 그림 6과 같이 aaa.exe 와 실제 동영상 파일 총 2개 파일이 존재하는 것을 볼 수 있다.

그림 7을 통해 알 수 있듯이 aaa.exe 파일을 실행시키면 DLL 파일을 생성하며 숙주서버IP로부터 악성코드 파일을 다운받고(inet[0-9|a-z]{1}.dll) 이 파일을 svchost.exe에 Injection 시킨 후 서비스(NLogRemoteEvent)로 동작한다.

또한 그림 8과 같이 이 서비스는 2차 악성코드 파일(wbem[0-9|a-z]{1}.dll)을 생성시켜 NLog Remote Event 서비스를 삭제하고 Wbem Log Event라는 서비스를 등록해 서비스를 시작한다.

그렇게 첫째 예제처럼 DDNS 도메인을 활용해 좀비PC로 만들게 되고 좀비PC를 분석하다 보면 exe 실행 파일은 존재하지 않고 프로세스에도 보이지 않으며 svchost.exe에 DLL Injection돼 정상적 실행 파일만 보이게 되므로 분석하기 어려운 경우가 많다.

결론적으로 악성코드를 예방할 수 있는 방법은 알지 못한 사람에게 온 메일 내용 중에 있는 웹사이트 링크, 첨부파일을 함부로 클릭하지 말고 첨부파일은 백신 검사 이후 열람하고 동영상 파일인 경우 가능한 exe 확장자를 가진 파일 다운을 자제하며 원도우OS 보안패치 및 인터넷 익스플로러 보안패치, MS Office 보안패치 등을 업데이트 하고 백신제품은 최신 버전을 유지하며 실시간 감시 기능을 활성화하는 것이 최선의 방법이라고 할 수 있다. 보안에 있어 가장 중요한 것은 개개인 스스로 보안에 대한 관심을 가지고 불법소프트웨어 사용을 자제하는 것이다.

<글 : 김덕수 sk인포섹 지식관제사업부 SK-CERT3팀 팀장(dskim@skinfosec.co.kr)>

[월간 정보보호21c 통권 제123호(info@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)