세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
해킹팀의 RCS 바탕으로 한 새로운 백도어 등장
  |  입력 : 2018-06-05 11:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이탈리아의 감시 툴 제조 업체가 판매하던 툴의 소스코드 일부 존재
백도어 설치된 이후에는 암호화폐 채굴하거나 랜섬웨어 공격하거나


[보안뉴스 문가용 기자] 아이언(Iron)이라는 이름의 사이버 범죄 일당이 새로운 백도어를 하나 만들었는데, 이는 RCS를 바탕으로 한 것으로 보인다. RCS는 원격 통제 시스템(Remote Control System)의 준말로, 이탈리아의 해킹팀(HackingTeam)이라는 업체가 여러 정부 기관들을 대상으로 판매하던 감시 제품이다. 몇 년 전 해킹팀이 해킹을 당하면서 RCS의 소스코드가 유출된 바 있다.

[이미지 = iclickart]


아이언 그룹은 아이언 랜섬웨어(Iron Ransomware)를 만든 것으로 유명한 공격 단체며, 약 18개월 정도 활동해온 것으로 알려져 있다. 그 18개월 동안 아이언 그룹은 다양한 멀웨어 패밀리들을 만들었는데, 여기에는 백도어, 암호화폐 채굴코드, 랜섬웨어 등이 포함된다. 윈도우, 리눅스, 안드로이드 기기들을 노린 것이 대부분이며, 수천~수만 명이 피해를 본 것으로 추정된다.

그런 아이언 그룹이 이번 4월부터 새로운 백도어를 들고 등장했다. VM프로텍트(VMProtect)로 보호되어 있고, UPX로 압축된 인스톨러로 구성되어 있다. 설치를 시작하면 제일 먼저 인스톨러는 ‘가상 기기 환경’ 여부를 확인한다. 그런 후 악성 크롬 확장 프로그램을 드롭시켜 설치를 시작한다. 동시에 작업 예약을 걸고, 자신의 인스턴스가 하나만 운영되도록 뮤텍스(mutex)를 생성한다. 그리고는 백도어를 Temp 폴더에 드롭시키고 OS 버전을 확인한 후 알맞은 백도어를 실행시킨다.

이 멀웨어는 보안 업체 치후360(Qihoo360)에서 만든 제품들이 설치되어 있는지도 확인한다. 그리고 하나도 없을 때만 위와 같은 일들을 시작한다. 가짜 인증서도 설치해 백도어 바이너리를 최고 인증기관인 것처럼 서명한다. 그러고 나서는 백도어로 연결되는 서비스를 하나 생성한다.

특이한 것은 이러한 백도어의 코드 일부가 RCS의 소스코드를 그대로 따온 것으로 보인다는 점이다. 특히 두 가지 주요 함수인 아이언스틸러(IronStealer)와 아이언 랜섬웨어 패밀리들에서 유사점이 드러난다고 한다. 예를 들어 해킹팀에서 만든 솔져(Soldier)라는 임플란트는 쿡쿠 샌드박스(Cuckoo Sandbox)와 VM웨어 제품들, 오라클의 버추얼박스(VirtualBox)를 겨냥한 가상 기기 보호 코드인데, 이 기능이 그대로 심겨져 있다. 또한 다이내믹콜(DynamicCall)이라는 모듈이 있는데, 이 역시 해킹팀의 라이브러리에서 나온 것이다.

위에서 언급된 크롬 확장 프로그램의 경우, 애드블록 플러스(Adblock Plus)의 패치 버전인데, 브라우저용 암호화폐 채굴코드 모듈을 삽입한다. 이 코드는 크립토노터(CryptoNoter)를 기반으로 하고 있다. 뿐만 아니라 브라우저 내 지불 과정을 하이재킹하는 모듈도 발견된다.

이 확장 프로그램은 배경에서 계속해서 돌아간다. 그러면서 크롬이 실행되고 있는지 1분에 한 번씩 확인하고, 크롬이 실행되지 않고 있으면 사용자 몰래 실행시키기도 한다. 그런 후 채굴을 실시한다. 크롬만이 아니라 인터넷 익스플로러를 위한 애드블록 플러스도 엠베드 된다. 크롬용 확장 프로그램과 유사하다. 다만 공격자의 개입 없이, 자동으로 설치되거나 돌아가지는 않는다고 한다.

키후360에서 만든 세이프가드(Safe Guard)나 인터넷 시큐리티(Internet Security)가 시스템 내에서 발견되면 멀웨어는 딱 한 번만 실행된다.

아이언 그룹의 새로운 백도어는 셸코드를 복호화시켜 코발트 스트라이크(Cobalt Strike)라는 멀웨어를 로드하고, 하드코드 된 페이스트빈(Pastebin) 주소로부터 페이로드를 가져오기도 한다. 총 두 가지 페이로드가 드롭되는데, 하나의 이름은 엑스에이전트(Xagent)다. 제이보스마이너(JbossMiner)의 변종이라고 하며, 또 다른 페이로드는 아이언 랜섬웨어다.

보다 최근에 발견된 백도어는 에브리씽(Everything)이라는 검색 유틸리티를 드롭시켜 설치하기도 한다. 이 툴을 활용해 암호화폐 지갑과 관련된 파일을 찾아내려는 것으로 보인다. 약 20가지 종류의 지갑을 찾아낼 수 있다고 한다. 비트코인, 모네로, 이더리움 등이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#이탈리아   #해킹팀   #RCS   #백도어   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)