세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
피싱 공격자, 위치정보 활용하기 시작했다
  |  입력 : 2017-12-06 11:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
위치정보 파악해 공격의 종류 바꿔...탐지 어려워져
각종 분석 방해 기능도 덧입어...첩보 공유 자체에 대한 방비책인듯


[보안뉴스 문가용 기자] 누군가에겐 상록수와 동의어일지도 모르는 푸른색은 피싱 공격자들에게 돈다발을 상징할 뿐이다. 지속가능성이란 말 역시 모든 사람에게 다르게 풀이되는데, 피싱 공격자에게 있어 이는 계속해서 도난 행위를 이어갈 수 있도록 해주는 새로운 기술이나 전략의 개발을 뜻한다. 최근 이들은 새로운 지속가능성을 하나 찾았는데, 바로 위치정보다.

[이미지 = iclickart]


요즘의 피싱 공격자들은 피해자의 위치에 따라 다른 멀웨어 툴들을 사용한다. 물론 공격자들이 여러 가지 툴들을 섞어서 사용하는 것이 어제 오늘 일은 아니다. 랜섬웨어를 사용하다가 트로이목마를 몰래 집어넣기도 하고, 디도스 공격 속에 봇넷 멀웨어를 삽입하기도 한다. 하지만 공격 전략에 의해서 툴이 결정됐지 피해자의 위치는 툴의 선택과 무관한 것이었다.

9월의 공격
지난 9월 28일 한 부류의 공격자들이 피싱 공격을 시작했다. 피해자에게 꼭 필요한 문건을 스캔해서 첨부한 것처럼 메일을 꾸몄다. 그리고 .7z 압축파일을 첨부했다. 이 파일에는 악성 VB스크립트 애플리케이션이 담겨 있었고 말이다. 재미있는 건, 이 VB스크립트의 기능이다. 록키 랜섬웨어나 트릭봇이라는 뱅킹 트로이목마를 선택해서 실행하는 것이었다.

VB스크립트는 록키와 트릭봇 중 하나를 선택하기 전에 먼저 피해자의 위치를 탐색했다. 이를 위해 세 가지 웹사이트에 접속해 IP 기반 위치정보를 제공받았다. 피해자가 영국, 호주, 룩셈부르크, 벨기에, 아일랜드 중 한 곳에 있으면 트릭봇 멀웨어를 가동시켰다. 그 외 지역에서는 록키가 실행됐다.

여러 멀웨어가 선택적으로 작동되도록 하는 공격은, 탐지와 분석을 어렵게 만든다. 또한 세계 여러 곳에 사무실을 연 기업이라면 지역별로 다른 보안 전략과 정책을 도입해야 한다. 가뜩이나 딱 한 번만 성공하면 되는 공격자들의 입장이 더욱 유리해진다.

10월의 공격
그리고 10월 11일, 또 다른 기발한 공격이 있었다. 금융과 관련된 내용이 담긴 듯한 제목의 피싱 이메일을 살포한 공격자들은 위 공격과 마찬가지로 .7z 압축파일을 첨부했다. 역시 악성 VB스크립트가 담겨 있었고, 사용자의 위치에 따라 록키나 트릭봇 둘 중 하나를 발동시켰다. 그런데 한 가지 장치가 더 숨겨져 있었다. 페이로드의 URL과 윈도우 호스트 OS 버전 정보, 고유 식별자 정보가 각각의 C&C 서버로 전송된 것이다.

멀웨어로부터 공격 성과에 대한 보고를 받는 체계를 달리한 것 외에도, 공격자들은 함수의 이름을 기존과 다르게 정하기 시작했다. 대중문화에서부터 따온 이름들이 기존 개발자들에게 친숙한 이름을 대신하기 시작했는데, 이 모든 노력은 휴리스틱 스캐닝(heuristic scanning)을 피하기 위한 것으로 보인다.

브라질 겨냥한 공격
그뿐 아니라 10월에는 브라질에 있는 사용자들을 집중적으로 노리는 멀웨어 공격이 급증했다. 이 때도 공격자들은 위치정보를 활용했다. 당시 피싱 메일은 ‘CURRICULO 1931520530 Data: 05/10/2017’와 비슷한 형태의 제목으로 전달됐다. 메일 내에는 PHP가 포함된 링크가 하나 있었다. 링크를 클릭 시 IP를 기반으로 해당 사용자가 브라질에 있는지 없는지 파악하는 기능이 발동됐다. 모든 조건이 맞아 떨어지면 무작위 숫자와 ZIP 확장자가 달린 파일 한 개가 다운로드됐다.

그 다음으로는 공격과 멀웨어의 흔적을 지우기 위한 작업이 시작됐다. 특이할 만 한 건 악성 코드가 구글 크롬 브라우저의 일부인 것처럼 실행되게끔 만들어진 것이다. 브라우저의 일부로 작동하니 브라우저로 통신되는 모든 정보들을 훔쳐낼 수 있었다. HTTPS 트래픽, 은행 정보, 비밀번호 등을 말이다.

위치정보를 파악해 공격의 종류를 선택할 수 있다는 건 공격자들의 수준이 한 층 더 올라갔다는 뜻이다. 위치에 따라 다른 공격을 하니 커다란 트렌드로서 혹은 첩보를 공유함으로써 탐지하는 게 더 어려워진다. 분석 방해 기능이 점점 더 많이 발견되는 것도 주목해야 한다. 이런 모든 기능들이 ‘공유’의 방향으로 가고 있는 정보보안 커뮤니티에 대한 대응으로 보인다. 우린 아직도 첩보 공유를 제대로 해내지 못하고 있는데, 그들은 이미 대비책을 연구 중에 있다.

글 : 아론 힉비(Aaron Higbee), PhishMe
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#피싱   #위치정보   #고급   #공유   #이미   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)