이란의 해킹 단체 오일리그, DNS 터널링 주력으로 활용

사이버 스파이 행위 실시하는 오일리그, DNS 터널링 통해 통신
DNS 터널링의 장점은 “DNS의 보편성”...단점은 탐지되기 쉬운 트래픽 양

[보안뉴스 문가용 기자] 이란 정부와 밀접한 연관이 있는 사이버 스파이 그룹인 오일리그(OilRig)가 DNS 터널링(DNS tunneling)이라는 기법을 적극 활용하고 있다고 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 경고했다. DNS 터널링이란 사이버 공격의 일종으로 DNS 요청과 응답 내에 데이터나 프로토콜을 암호화해서 숨기는 것을 말한다.

[이미지 = iclickart]

오일리그는 최소 2014년부터 활동을 해온 것으로 추정되는 단체로, 중동의 금융, 정부, 에너지, 통신, 화학 분야를 주로 공격해왔다. 다양한 툴을 사용해 공격을 실시해 왔는데, C&C 서버와의 통신을 위해서는 주로 DNS 터널링 기법을 사용했다. 어떤 유형의 공격이든 이 기법만큼은 겹친다는 건데, “오일리그 공격자들이 이 기법을 크게 선호하는 것 같다”고 팔로알토는 추정하고 있다.

팔로알토가 오일리그의 공격 기법들을 분석한 바에 의하면 “서브도메인들에는 거의 반드시 무작위로 생성된 값들이 포함되어 있었다”고 한다. “기존에 저장된 응답들이 돌아오는 걸 피하기 위해서입니다. 최초의 핸드셰이크로부터 고유의 시스템 식별자를 얻어내려는 것이죠. 또한, 모든 프로토콜들이 꽤나 많은 양의 DNS 요청들을 생성해냅니다.”

공격에 활용되는 툴들 중에는 IP 주소들이 하드코딩 된 것도 많았다. “이 주소들을 사용해 데이터 전송을 시작하고 종료합니다. 시퀀스 번호들도 저장되어 있는데, 이 번호들의 경우 데이터를 업로드 하고 C&C에서 재구성할 때 올바른 순서를 알려주는 역할을 합니다.”

이런 치밀한 장치들을 통해 오일리그는 DNS 터널링을 실시한다. “적어도 2016년부터는 DNS 터널링으로 C&C와의 소통을 이뤄냈습니다. 이 때 사용된 멀웨어 중 대표적인 게 헬민스(Helminth), ISM에이전트(ISMAgent), 알마커뮤니케이터(ALMACommunicator), 본드업데이터(BONDUPDATER), 쿼드에이전트(QUADAGENT) 등입니다.”

이 툴들 전부 DNS 요청들을 사용해 특수하게 조작된 서브도메인들을 처리하고, 데이터를 C&C 서버로 전송한다. “하지만 요청을 받은 서브도메인들의 구조나, 요청을 통해 되돌려 받은 데이터의 구조, 데이터를 전송할 때 사용한 서브도메인의 구조는 전부 달랐습니다.” 그밖에 데이터를 암호화 하는 데 사용됐던 도구도 달랐다고 한다.

“헬민스의 경우 여러 가지의 변종이 발견됐는데, 전부 같은 유형의 DNS를 사용하고 있습니다. 공격자들은 생성된 서브도메인들을 변경시켜 다른 DNS처럼 보이게 만들었고, 이를 통해 탐지를 피해갔습니다.” ISM에이전트의 경우는 DnsQuery_A API 함수를 사용해 DNS AAAA 요청을 발생시키고, 이를 맞춤형 서브도메인으로 리졸브(resolve)시킨다고 한다. “그런 후에는 신호를 발생시켜 서버에 ‘데이터 전송 준비 완료’라는 메시지를 전달합니다. 그리고 데이터를 암호화시켜 C&C로 전송하죠.”

알마커뮤니케이터의 경우 두 가지 버전이 사용된 것으로 알려져 있다. 둘 다 공격의 페이로드로서 활용이 됐으나 도메인 구조는 달랐다. “게다가 서버로 보내는 정보의 종류도 달랐습니다. DNS 터널링 프로토콜 내 데이터 형식도 달랐고요.”

본드업데이터 툴은 여러 가지 버전이 발견됐다. “2017년 중순부터 사용되어 온 것으로 보입니다. 초기 버전은 System.Net.Dns 클래스 내에 있는 GetHostAddress 메소드를 사용해 DNS A 요청들을 발동시켰습니다. 반면 후기 버전들은 System.Net.Sockets.UdpClient 클래스에 있는 로우 소켓(raw socket)을 사용해 DNS A 요청과 TXT 요청을 발동시킵니다.”

쿼드에이전트는 AAAA 요청들을 통해 데이터를 주고받는 것으로 알려져 있다. 윈도우 버전에 따라 다른 버전이 사용되기도 했다.

“오일리그는 DNS 터널링을 주력으로 사용하는 단체입니다. DNS 터널링의 장점은, DNS가 거의 모든 상황에서 사용되고 있다는 것이죠. 그 높은 보편성이 장점이기 때문에 통신 방법으로서 활용하기 좋습니다. 그러나 단점도 있습니다. DNS 요청이 많아지기 때문에 탐지될 가능성이 높다는 겁니다. 그런데도 이들이 DNS 터널링을 주력으로 사용하고 있었다는 건, DNS 모니터링이 잘 이행되지 않고 있다는 뜻이 됩니다.” 팔로알토의 결론이다.

3줄 요약
1. 이란의 지원을 받는 것으로 알려진 오일리그, C&C 서버 통신에 DNS 터널링 주로 사용.
2. 멀웨어는 다양한데, 거의 모든 공격에서 DNS 터널링의 흔적이 발견되고 있음.
3. DNS 터널링은 DNS 모니터링으로 막는 게 가능한데, DNS 터널링이 주력이라는 건, 모니터링이 되지 않는다는 뜻.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)