Home > 전체기사
깃허브와 슬랙을 C&C 서버로 활용하는 백도어, 슬럽
  |  입력 : 2019-03-11 09:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
깃허브 페이지에서 공격에 필요한 명령어 받고, 결과를 슬랙에 업로드
한국 사람 노린 듯한 정황 증거 여럿 나와...그러나 결정적 증거는 부족


[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)가 깃허브(GitHub)와 슬랙(Slack)을 C&C 서버로 활용하고 있는 새로운 멀웨어를 발견했다. 트렌드 마이크로 측은 이 멀웨어에 슬럽(SLUB)이라는 이름을 붙였다(Backdoor.Win32.SLUB.A). 현재까지 나타난 분석 결과에 따르면 이 백도어는 표적형 공격에 사용되고 있다고 한다.

[이미지 = iclickart]


트렌드 마이크로가 “슬랙 등 온라인 상에 존재하는 유명한 플랫폼들이 C&C 서버로 활용되고 있다”고 경고한 건 2017년부터다. 그런데 슬랙을 실제 공격에서 C&C 서버로 활용한 멀웨어는 슬럽이 처음이다.

이번에 트렌드 마이크로가 발견한 슬럽 공격은 워터링 홀 기법에서부터 시작한다. 워터링 홀 기법이란 정상적인 웹사이트를 침해해, 그곳에서부터 악성 코드를 배포하는 것을 말한다. 이번 슬럽 공격에 사용된 도메인은 kancc.org였다. 재미동포전국연합회(Korean American National Coordinating Council)의 웹사이트였다.

이 웹사이트는 캐나다에 위치한 서버에 호스팅되어 있는 것이라 트렌드 마이크로는 캐나다의 사이버 보안 센터에 연락해 침해 사실을 알렸다. 보안 센터 측은 서버 운영자들에게 긴급히 연락을 취해 악성 코드를 전부 삭제하도록 했다.

감염 상태에 있을 때 누군가 이 사이트를 방문했을 경우, 그 사람은 CVE-2018-8174라는 VB스크립트 엔진 취약점의 익스플로잇이 호스팅 되어 있는 페이지로 안내됐다. 이 취약점은 MS가 2018년 5월에 패치한 것이며, 호스팅 되어 있는 익스플로잇은 파워셸(PowerShell)을 통해 실행되는 DLL 파일 하나를 피해자의 시스템에 심는다. 이 DLL 파일은 다운로더로서 작용해, 실제 백도어가 담겨 있는 또 다른 파일을 가져와 실행시킨다.

트렌드 마이크로의 전문가들은 이 다운로더가 먼저 시스템에 백신이 설치되어 있는지를 살핀다는 걸 알아냈다. “어베스트(Avast), AVG, 비트디펜더(Bitdefender), 노턴(Norton), 이스트포스트(ESTsoft), 안랩(AhnLab), 치후 360(Qihoo360) 등의 제품들을 확인합니다. 그리고 이중 하나라도 발견되면 기능을 실행하지 않습니다. 이 다운로더는 CVE-2015-1701이라는 오래된 윈도우 취약점도 익스플로잇 함으로써 권한을 상승시키기도 합니다.”

이런 식으로 시스템에 심긴 이후 슬럽은 특정 깃허브 페이지들을 확인하기 시작한다. 공격자들이 이 슬럽으로 전달할 명령어를 찾기 위함이다. 명령어를 찾는 데 성공하면 슬럽은 이를 시스템 내에서 실행하고, 그 결과를 비밀 슬랙 채널에 게시한다. 이 슬랙 채널은 공격자들이 소유하고 있는 것이다. 슬럽 멀웨어 안에는 두 개의 하드코딩 된 인증 토큰들도 포함되어 있다. 이 토큰들이 있어 슬랙에 메시지들을 게시할 수 있는 것이다.

트렌드 마이크로에 의하면 공격자들은 슬럽을 통해 명령을 실행할 수 있을 뿐만 아니라 파일을 다운로드 하거나 업로드 할 수도 있고, 시스템 내 파일들의 목록을 얻어갈 수도 있으며, 폴더를 생성하거나 삭제하는 것도 가능하다. 시스템 정보를 취득하는 것과 스크린샷을 찍고, 레지스트리 관련 작업들을 하는 것도 된다고 한다. 파일을 훔치는 데에는 파일아이오(File.io)라는 클라우드 스토리지 서비스가 활용된다.

“명령어들을 분석해보면 공격자들인 개인의 신상과 관련된 정보를 훔치는 데 목적을 두고 있다는 걸 알 수 있습니다. 특히 소통을 위한 다양한 소프트웨어들아 이들의 관심 대상입니다. 시스템을 감염시키고, 그 시스템의 주인이나 기타 사용자들에 대한 정보를 집중적으로 수집합니다.” 트렌드 마이크로는 공격자들이 전문 해커들이라고 보고 있으며, 현재까지 공공 서비스만을 사용해 공격을 실시해왔기 때문에 발각되지 않은 것이라고 설명한다.

“아직까지 이 공격자들에 대해 공개된 문서나 발표 자료가 없는 것으로 보입니다. 과거 연구된 그 어떤 해킹 단체들과 슬럽 공격을 연관 지을 수가 없었습니다. 다만 워터링 홀 공격을 위해 사용한 사이트의 성격을 보건데, 정치적인 동기를 가진 공격일 가능성이 높지 않을까 합니다.”

트렌드 마이크로의 블로그 게시글에는 공격 배후에 대한 언급이 조금도 나오지 않는다. 다만 몇 가지 증거를 조합해보면, 대한민국의 사용자들이 공격 표적일 가능성이 높다. “공격자들은 한국에서 주로 사용되는 .hwp 문서 파일들에 대한 관심도가 높았습니다. 또한 최초 검사에서 다운로더가 확인하는 백신 제품들 중에 한국 회사에서 개발한 것들이 꽤 됩니다. 워터링 홀 공격이 이뤄진 사이트도 한국인 재외동포들이 자주 사용하는 곳이고요.”

한편 트렌드 마이크로는 깃허브와 슬랙 측에도 일부 서비스나 페이지가 공격에 남용되고 있다는 사실을 알렸고, 두 회사는 관련된 파일이나 페이지, 채널 등을 삭제했다.

3줄 요약
1. 이전부터 우려됐던 공격 시나리오 중 슬랙이나 깃허브를 C&C로 활용하는 것 있었음.
2. 그런데 슬럽이라는 멀웨어가 등장해, 실제로 슬랙과 깃허브를 C&C로 활용함.
3. 여러 가지 정황 증거를 살폈을 때, 한국인 사용자들을 노리는 공격일 가능성 높음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향