로그 편집하는 NSA 툴 탐지 가능한 솔루션 나왔다

로그를 한꺼번에 편집하는 게 아니라 특정 줄만 수정...게임 체인저
완전 삭제 아니라 눈속임이라 데이터 복구 가능해져

[보안뉴스 문가용 기자] NSA가 개발해 사용한 것으로 추정되는 멀웨어를 탐지해주는 툴이 새롭게 개발됐다. 보안 업체 폭스IT(Fox-IT)가 만든 것으로, NSA의 해킹 툴을 매달 유료로 제공하는 해킹 그룹 셰도우 브로커스(Shadow Brokers)가 지난 4월 공개한 댄더스프리츠(DanderSpritz)를 이제부터 탐지할 수 있게 되었다.

[이미지 = iclickart]

폭스IT에 의하면 댄더스프리츠는 익스플로잇 이후를 위한 프레임워크로, 해커들이 데이터를 수집하고, 보안 시스템을 우회하며, 침입한 네트워크 내에서 횡적으로 움직일 수 있도록 하는 데에 그 목적을 두고 있다.

댄더스프리츠를 더 흥미롭게, 혹은 더 위험하게 만드는 요소는 이벤드로그에딧(EventLogEdit)이라는 플러그인이다. 이 플러그인을 기존 댄더스프리츠에 덧대면 이벤트 로그 파일을 조작해 공격자의 흔적을 감출 수 있다. 비슷한 기능을 가진 기존 멀웨어들보다 좀 더 고차원적인 기능을 가지고 있는 것으로 알려져 있다.

“이벤트 로그를 통째로 지우거나, 이벤트 로깅 행위 자체를 일시적으로 멈추게 하는 건 그 동안 다른 멀웨어들에서도 많이 볼 수 있었던 기능입니다. 하지만 특정 줄만 말끔하게 지워낸다는 건 힘든 일이었습니다. 이벤드로그에딧이라는 플러그인을 보기 전까지는 그런 게 가능한 지도 몰랐어요. 이벤트 로그를 한줄 한줄 편집할 수 있다는 건 말 그대로 보안 업계의 ‘게임 체인저(game changer)’입니다.” 폭스IT의 설명이다.

이렇게 고급스럽고 발전된 기능을 셰도우 브로커스가 공개하는 바람에 조금 지나면 누구나 쓸 수 있게 된다는 것이 큰 문제가 될 수 있다고 폭스IT는 예상하고 있다. 그래서 이번에 댄더스프리츠를 탐지할 수 있는 툴을 개발한 것이기도 하다.

폭스IT는 이벤트로그에딧을 분석하다가 ‘지워져야 할 기록’이 편집되거나 지워지지 않는다는 사실을 발견했다. 다만 참조 해제 상태로 변환될 뿐이다(unreferenced). 이는 해당 기록보다 먼저 오는 기록의 헤더를 조작함으로써 가능해진다. 또한 지워져야 할 기록의 크기 값을 이전 기록의 크기 값에 더함으로써 두 개의 기록을 합쳐버린다. 그래서 지워져야 할 기록이 그 자체로 한 줄의 ‘기록’이라기보다 그 전 기록에 붙어 있는 ‘잉여 정보’로 보이게 된다.

그래서 로그를 꼼꼼하게 검사하는 조직이라면 이벤트로그에딧이 첨부된 덴더스프리츠의 공격을 간파할 수 있어야 한다. 하지만 로그를 한줄 한줄 검사하는 경우는 흔치 않다. 폭스IT는 이 지점에서 힌트를 얻어 툴을 개발했다고 한다. “다행히 기록이 아예 삭제되는 게 아니라 선행 기록에 붙어버리는 것이기 때문에 완전 복구가 가능합니다.”

폭스IT는 위에서 설명한 방식으로 삭제된 이벤트 로그 기록들을 파악하고 옮기는 기능을 가진 오픈소스 파이선 스크립트를 공개했다. 조직들은 해당 스크립트를 돌려봄으로써 NSA의 해킹 툴에 의한 공격을 받은 적이 있는지 검사할 수 있게 되었다. 윈도우 실행파일 버전도 있으니, 컴파일링에 대해 잘 모르는 사용자들은 실행파일을 받으면 좀 더 간단히 검사할 수 있다.

파이선 스크립트는 이 주소(https://github.com/fox-it/danderspritz-evtx)를 통해 열람할 수 있다. 보다 상세한 내용은 폭스IT 블로그(https://blog.fox-it.com/2017/12/08/detection-and-recovery-of-nsas-covered-up-tracks/)에 공개되어 있으며, 윈도우 실행파일은 여기(https://github.com/fox-it/danderspritz-evtx/releases)에서 다운로드 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)