세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
러시아 서비스 업체 노리는 ‘다층위’, ‘다패킷’ 공격
  |  입력 : 2018-06-12 14:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여러 층위에서 멀웨어 탐지 및 분석 방해하는 기능 발휘돼
최종 페이로드는 상업용 툴...감시 위한 모듈 갖추고 있어


[보안뉴스 문가용 기자] 보안 업체 포티넷(Fortinet)이 러시아의 전자 기기 유지보수 서비스 센터들을 노리는 사이버 공격에 대해 발표했다. 포티넷에 의하면 이 공격은 다단계로 이뤄지며, 러시아 출신이 아닌 공격자의 소행으로 보인다고 한다.

[이미지 = iclickart]


공격자는 전형적인 스피어피싱 기법으로 첫 공격을 시작한다. 여기에는 악성 오피스 문서들이 동원되는데, 전부 CVE-2017-11882 취약점을 익스플로잇 한다. 이는 17년 된 취약점으로 오피스의 공식 편집기(Equation Editor)에서 발견됐으며, MS가 지난 10월 시급하게 패치를 발표한 바 있다.

이 공격이 시작된 건 3월말 경의 일이었다. 삼성 기기를 전문으로 고치는 한 서비스 업체가 공격 대상이었다. 이 회사로 삼성 임원의 것으로 보이는 이메일이 한 통 도착했다. 러시아어로 작성됐고, Symptom_and_repair_code_list.xlsx이라는 파일이 첨부되어 있었다.

메일 속 러시아어는 기기로 번역한 듯 했다. 적어도 러시아어를 구사하는 자가 작성한 것은 아니었다. 또한 이메일의 헤더를 통해 메일 전송자의 IP 주소와 보낸 사람 주소에 명기된 도메인이 서로 상관이 없다는 것 또한 분석을 통해 알아냈다.

공격자들은 메일마다 다른 첨부 파일을 사용했지만 모두 정상적으로 보이는 .XLSX 파일들이었고, CVE-2017-11882 취약점을 익스플로잇 하는 것 또한 같았다. 문서 내에는 셸코드가 삽입되어 있었는데, 그 기능은 LoadLibraryA와 GetProcAddress라는 함수들에 접근하는 것이었다. 이를 통해 최종 페이로드를 실행하는 것이다. 그 외에 다운로드 된 페이로드가 저장될 위치를 정확히 지정해주는 함수 등도 같이 임포트되는 정황이 발견됐다.

페이로드에는 다층(multiple-layer), 다수 패커(multi-packer) 보호 장치가 심겨져 있다. 첫 번째 층위에는 잘 알려진 컨퓨저엑스(ConfuserEx)라는 패커가 삽입되어 있는데, 이는 객체들의 이름과 메소드 및 리소스 이름을 헷갈리게 하기 위한 장치다. 그러면서 다음 단계에 사용될 페이로드를 불러오되, DES를 사용해 암호화시키고, 이를 복호화 해서 나온 파일을 실행한다.

복호화를 거쳐 나온 파일은 BootstrapCS라고 하는데, 이는 두 번째 층위에서 사용되는 보호 장치다. 난독화 기술이 적용되어 있지는 않지만 여러 개의 분석 방해 기능을 가지고 있다. 에뮬레이션 환경이나 샌드박스, 가상 기기를 탐지하고 특정 프로세스를 차단시키거나 시스템 유틸리티를 비활성화시키기도 한다. 페이로드 경로를 스타트업 레지스트리 키에 등록시키고, 파일은 시스템 내에 숨겨둔다. 또한 페이로드를 여러 프로세스에 주입시킨다.

그 다음에 등장하는 건 mainfile이라는 이름을 가진 바이너리로, 3단계 페이로드다. 실행파일이며 패킹의 세 번째 보호 장치이기도 하다. 키 값이 0x20인 간단한 XOR 알고리즘을 사용해 암호화를 실행한다. 복호화된 파일은 특정 프로세스에 주입시킨다. 이 3번째 페이로드는 상업용 원격 관리 툴인 이미넌트 모니터(Imminent Monitor)를 참조하는데, 이 툴은 아무나 정상적인 거래를 통해 획득이 가능하다.

공격의 층은 아직도 다 벗겨지지 않았다. 3단계가 끝나면 4단계가 시작되는데, 여기서 포티넷 전문가들은 다시 한 번 컨퓨저엑스를 맞닥트렸다. 즉 여러 가지 이름에 난독화 기능을 덮어씌우는 보호 장치가 나온 것이다.

그렇게 해서 마지막에 겨우 등장한 실제 공격 페이로드는 허무하게도 상업용 툴인 이미넌트 모니터였다. 다섯 개의 모듈이 포함된 버전으로, 사용자의 웹캠을 활용해 정보를 수집하고 기기를 통제하는 기능을 가진 것들이 포함되어 있다.

이 공격에 활용된 C&C 서버들을 추적해보니 같은 날 등록된 도메인 50개가 나왔다. 일부는 다른 멀웨어를 퍼트리는 데 활용되고도 있었다. 또한 오래된 XLSX 샘플을 취득하는 것도 성공했다. 이 샘플의 경우 다른 취약점을 익스플로잇하는 것이었다.

“이런 식의 공격 방식이 요즘 꽤나 유행을 타고 있습니다. 여러 단계에 걸쳐 최종 페이로드를 시스템에 설치하는 것 말이죠. 보안의 층위가 두터워지니 공격도 이런 식으로 진행됩니다. 사용자들의 의심을 한 겹 한 겹 벗겨 내거나, 보안 솔루션들을 단계별로 속이는 것이죠. 이런 다층위 공격에 대한 방어법이 논의되어야 할 때입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)