Home > 전체기사
셸봇 크라임웨어, 모네로 채굴에 적극 활용되고 있어
  |  입력 : 2019-02-07 12:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
유력한 용의자는 아웃로라는 해킹 그룹...다량 살포 위해 리눅스 서버 노려
오래된 도구 사용해 현대 시스템 공격...체계적인 전략과 범죄 운영 방식


[보안뉴스 문가용 기자] 셸봇(Shellbot)이라는 크라임웨어가 활동 중에 있는 것이 발견됐다. 배후에 있는 공격자들의 목표는 암호화폐 채굴이라고 한다. 이를 발견한 보안 업체 트렌드 마이크로(Trend Micro)에 의하면 최근 셸봇 공격자들이 사용하는 전략과 기술이 해킹 단체인 아웃로 그룹(Outlaw Group)의 그것과 비슷하다고 한다.

[이미지 = iclickart]


아웃로 그룹은 2018년 11월 봇넷을 운영하다가 보안 전문가들에 발각되었는데, 당시에도 모네로(Monero)를 채굴하기 위해 움직이고 있었다. 하이둑(haiduc)이라는 채굴 툴을 봇넷으로 퍼트리던 게 이들의 수법이었다. “그 외에도 교육 분야에 있는 조직들이 가지고 있는 인터넷에 연결된 리눅스 장비들을 겨냥해 SSH 브루트포스 공격을 실시했었습니다. 성공 후에는 하이둑을 침해한 장비에 설치했고요.”

한편 셸봇은 일종의 트로이목마로 공격자의 C&C 인프라와 피해자의 장비를 연결해주는 역할을 한다. 가장 최근에 발견된 셸봇 툴킷은 세 가지 요소로 구성되어 있었다.
1) IRC 봇웨어 : C&C 역할 담당
2) 하이둑 : 모네로 채굴 멀웨어
3) 브루트포스 공격 툴

이 때문에 트렌드 마이크로 측은 “아웃로가 생각날 수밖에 없다”는 입장이다. “IRC는 펄을 기반으로 만들어진 것으로 이전에는 없었던 새로운 무기입니다. 이전 셸봇의 ‘가벼운 버전’이라고 볼 수도 있는데요, 설치되고 실행된 이후 특정 IRC 채널로 피해자 장비를 연결시킵니다.”

이번 공격에서 발견된 페이로드의 채굴 풀 관련 설정 내용을 분석했을 때 네덜란드의 한 VPS 제공업체가 등장했다. 현재 풀 주소는 사라진 상황이지만 VPS의 패시브 DNS를 분석하고 보니 게임 서버를 위한 도메인 여러 개를 호스팅한 전적이 있는 것으로 나타났다. “공격자들은 게임 서버 호스팅을 주력으로 하는 업체에 채굴을 위한 인프라를 독자적으로 마련한 것으로 보입니다.”

이에 대해 트렌드 마이크로는 “꽤나 대담한 행위”라고 설명한다. “대부분은 공개된 채굴 풀에 섞여 들어가서 자신들의 흔적을 지우고 싶어 하는 게 공격자들의 심리거든요. 아마 이들의 능력이 출중하다는 걸 반영하는 현상인 듯합니다.” 또한 코드 분석 결과 포르투갈어와 루마니아어 등 여러 가지 언어가 발견되기도 했다. “다국적 단체이거나, 다국어를 구사하는 인물이 배후에 있는 것으로 보입니다.”

또 다른 보안 업체 재스크(JASK)의 수석 위협 분석가인 케빈 스티어(Kevin Stear)도 “이번 셸봇 캠페인 배후의 공격자들은 아웃로일 가능성이 높다”며 “리눅스 서버를 의도적으로 노리고 멀웨어를 살포한 것으로 보인다”고 말한다. “걸려드는 장비가 많으면 많을수록 채굴 효율이 높아지니까 이런 식으로 공격한 것이라고 생각합니다.”

그러면서 스티어는 “이번 셸봇 캠페인을 통해 우리가 배울 수 있는 건, 공격자들이 오래된 툴들을 가지고도 다양한 공격을 펼칠 수 있다는 것”이라고 정리한다. “셸봇도 오래된 툴이고, IRC는 인터넷이 막 보급되던 때부터 있던 겁니다. 전화선으로 인터넷 사용해보던 사람들은 IRC로 채팅을 다 해봤을 겁니다. 그런 골동품과 같은 도구들이 현대화 된 시스템을 공략하고 있다니, 놀라운 일이죠.”

또한 스티어는 “아웃로든 셸봇이든 굉장히 체계적으로 움직이고 있다는 것에 집중해야 한다”고 강조하기도 한다. “이게 요즘 모든 크라임웨어에서 나타나는 공통적인 현상이기도 합니다. 점점 체계적인 사업처럼 운영되고 있어요. 공략할 취약점을 정하고, 그에 대한 스캐닝을 대대적으로 한 뒤, 익스플로잇을 흩뿌리고, 여러 단계를 거쳐 감염시킨 후 인프라를 장악해 수익 구조를 마련하는 것을 말합니다. 이런 과정이 깔끔해지고 있고, 가다듬어지고 있습니다. 사이버 범죄의 조직화가 빠르게 진척되고 있습니다.”

3줄 요약
1. 모네로 채굴하기 위한 공격자들, 셸봇, IRC, 하이둑 사용하기 시작.
2. 가장 유력한 용의자는 아웃로라는 해킹 그룹. 이전에도 비슷한 공격 시도한 적 있음.
3. 공격자들은 이제 체계적으로 움직이고, 오래된 툴도 사용해가며 자신들이 원하는 바를 이루고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)