세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
고지 멀웨어, 다크 클라우드 봇넷과 결합해 공격 실시
  |  입력 : 2018-03-08 15:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다크 클라우드, 각종 범죄 활동에 사용되는 범죄 인프라
고지 멀웨어, 악성 워드 문서 통해 다단계로 시스템 감염시켜


[보안뉴스 문가용 기자] 꽤나 오래된 멀웨어 중에 고지(Gozi)가 있다. 심지어 두 차례나 소스코드가 유출되기도 했다. 이를 바탕으로 2016년 새로운 트로이목마인 고즈님(GozNym)이 등장하기도 했다. 고지 시리즈는 지금도 활용되고 있는데, 가장 최근에는 다크 클라우드(Dark Cloud)라는 사이버 범죄 인프라에서 발견되기도 했다.

[이미지 = iclickart]


시스코 탈로스 팀이 발견한 이 공격은 이미 지난 수개월 동안 진행되고 있었다고 한다. 하지만 볼륨은 낮았고, 표적이 된 특정 조직들에게만 공격이 감행됐다. 또한 공격 주기도 짧았고, C&C 인프라도 단기간만 활성화되곤 해서 탐지가 좀처럼 되지 않았다고 한다. 스팸 이메일은 매우 정교하게 만들어졌다.

고지가 퍼지는 이메일에는 워드 문서가 첨부되어 있었다. 피해자가 이 파일을 열 경우 가짜 이미지를 화면에 보여주며 “해당 문서는 오피스 365를 이용해 만들어졌고, 그러므로 사용자는 Enable Editing 기능과 Enable Content를 활성화해야만 내용을 볼 수 있다”고 안내한다. 이걸 그대로 실시할 경우 사용자는 악성 매크로를 실행시키게 된다. 악성 매크로는 멀웨어를 추가로 다운로드 받고 실행시킨다.

이 악성 매크로에 외신은 다음과 같이 설명하고 있다. “VBA 매크로는 문서가 닫힐 때 실행됩니다. 샌드박스 탐지를 피해가기 위함입니다. HTA 파일을 원격 서버로부터 다운로드 받으며, 이는 사용자 몰래 실행됩니다. 자바스크립트 스크립트가 실행되면서 감염은 계속해서 진행되고, 이 자바스크립트는 파워셸 스크립트를 실행해 최종 페이로드를 가져옵니다.”

이 공격에 활용되고 있는 문건들 대부분 2017년 4사분기에도 발견이 된 것들이지만 매크로와 코드, 가짜 이미지 색상에 약간의 차이가 있다. 탈로스는 “과거에도 있어왔던 공격이라는 것이 중요하다”며 “가짜 이미지들이 이따금씩 바뀌긴 했으나, VBA 코드는 거의 비슷하다”고 설명한다. “큰 줄기는 같은데 여기 저기의 공격자들이 나름의 커스터마이징을 한 후 공격을 실시하는 것으로 보입니다.”

최종 페이로드는 여러 가지이지만 주로 뱅킹 트로이목마가 많이 사용된다. 특히 고지 ISFB와 코드가 비슷한 것들이 최근 등장하기 시작했다. 그 외에는 크립토셔플러(CryptoShuffler), 세노마(Sennoma), 스파이아이(SpyEye) 등도 발견된 바 있다.

또 하나 중요한 건 이 멀웨어가 퍼지고 있는 범죄 인프라다. 바로 다크 클라우드로, 2016년 처음 발견되고 분석된 봇넷이다. 그후 지금까지 각종 멀웨어들이 퍼지는 데 일조하고 있다. 고지 ISFB는 물론 나이마임(Nymaim) 등이 다크 클라우드로 퍼진 멀웨어 중 가장 유명하다. 이 다크 클라우드에 대해 2016년 처음 발견하고 보고한 건 보안 업체 센티넬원(SentinelOne)이다.

다크 클라우드 봇넷은 패스트 플럭스(fast flux) 기술을 사용해 백엔드 인프라의 추적을 어렵게 만든다. “악성 도메인과 관련 있는 DNS 기록을 자주 바꿈으로써 공격자들은 방대한 프로시 네트워크를 사용할 수 있게 됩니다. 즉 IP 주소를 계속 바꿀 수 있게 된다는 것이죠.” 탈로스의 설명이다.

다크 클라우드와 관련이 있는 도메인과 IP 주소들을 분석하며 탈로스 연구원들은 다크 클라우드를 활용하는 범죄자들이 상당히 많다는 것도 알아낼 수 있었다고 한다. “다양한 자들의 다양한 활동을 뒷받침해주는 인프라이더군요. 멀웨어를 배포하는 것은 물론 스팸 메일을 뿌리고 감염시킨 멀웨어를 멀리서 조정하고, 각종 포럼에서 활동하기도 합니다.”

또한 탈로스 연구원들은 공격자들이 서부 유럽, 중앙 유럽, 북미 등의 프록시는 사용하지 않는다는 특징도 발견해냈다. “주로 동유럽, 아시아, 중동 지역의 프록시를 사용하더군요. 고지도 그렇지만 다크 클라우드는 공격 기술과 전략을 계속해서 바꾸고, 그것이 꽤나 오랜 시간 살아남아 있는 비결이라고 볼 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)