텔레그램과 드롭박스 활용하는 RAT, 텔레그램랫 발견

공격자와의 통신은 텔레그램으로, 페이로드는 드롭박스에
클라우드에 대한 신뢰를 악용한 공격...클라우드 정책 도입으로 방어해야

[보안뉴스 문가용 기자] 텔레그램(Telegram)이라는 메신저 앱을 C&C 플랫폼으로 활용하고, 드롭박스 클라우드 스토리지에 페이로드를 호스팅 하는 원격 접근 트로이목마(RAT)가 보안 업체 넷스코프(Netskope)에 의해 발견됐다. 넷스코프는 이 멀웨어를 텔레그램랫(TelegramRAT)이라고 이름 붙였다.

[이미지 = iclickart]

공격자들이 클라우드를 기반으로 멀웨어를 운영하는 것은 기존의 보안 스캐너를 피해가기 위해서라고 넷스코프는 분석했다. 하지만 조금 더 현대화된 스캐닝 기능, 즉 SSL이나 클라우드 애플리케이션 인스턴스 트래픽을 스캔하는 기능을 보유하고 있다면 텔레그램랫도 탐지가 가능하다.

텔레그램랫이 익스플로잇 하는 취약점은 MS 오피스 문서의 취약점으로 지난 11월에 발견된 CVE-2017-11882라고 한다. “멀웨어는 악성 OLE가 임베드 되어 있는 RTF 문서의 형태를 하고 있으며, 이름은 Adventurer LOG.doc입니다. 객체 클래스 이름은 Equation.3입니다.”

이 파일을 열면 파워셸 명령이 발동되고 어떤 URL로부터 실제 페이로드가 다운로드 되도록 설정되어 있다. “URL은 blt.ly라는 단축 서비스를 통해 짧게 줄여져 있어서 눈으로 보고 악성 여부를 판단하기는 어렵습니다. 악성 페이로드는 드롭박스에 호스팅되어 있습니다.” 클릭하면 페이로드가 C:\Users\Sec\task.exe에 저장된다. 넷스코프는 이 사실을 드롭박스에 알렸고, 드롭박스는 해당 페이로드를 삭제시킨 상태다.

사용자가 URL을 클릭해 드롭박스로부터 페이로드를 다운로드 받으면(약 16MB), 깃허브에 호스팅되어 있는 텔레그램랫의 코드(파이선 기반)가 사용된다. 공격자와의 통신은 텔레그램 봇 API(Telegram BOT API)를 통해 이뤄지는데, 그 통신은 심지어 HTTPS로 암호화되어 있기까지 하다. 그렇기에 종래의 솔루션들로는 탐지가 제대로 될 수가 없다.

넷스코프는 “클라우드를 통한 위협 요소들은, 현대화된 보안 기능을 갖춘 CASB 솔루션을 사용해 탐지하고 피해를 최소화 할 수 있다”고 권하며 “회사에서 허가하지 않은 서비스와 인스턴스를 사용하지 않도록 하는 정책을 마련하고 집행해야 한다”고 블로그를 통해 명시했다. 정책의 예시 또한 공개했는데, 다음과 같다.

1) 관리되지 않는 기기들로부터 허가된 클라우드 애플리케이션으로 업로드할 때, 모든 파일을 스캔한다.
2) 원격 기기로부터 허가된 클라우드 애플리케이션으로 업로드할 때, 모든 파일을 스캔한다.
3) 허가되지 않은 클라우드 애플리케이션으로부터 다운로드 받을 때는 모든 파일을 스캔한다.
4) 허가된 클라우드 애플리케이션으로부터 허가되지 않은 인스턴스를 다운로드 받을 때 모든 파일을 스캔한다.
5) 허가가 되었거나 유명한 클라우드 애플리케이션으로부터라도 허가되지 않은 인스턴스라면 다운로드를 전부 금지한다.

“그 외에 데이터 손실 방지 정책을 도입해 데이터와 파일에 대한 통제권을 유지하는 것과 주기적인 백업을 실시하는 것도 좋은 방법입니다. 또한 회사 내 직원들에게 허가되지 않은 매크로를 실행하지 말라고 말해두거나, 확실하지 않은 경우라면 실행파일도 함부로 실행하지 않도록 분위기를 조성하는 것도 위험을 크게 줄여줍니다.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)