암호화폐 채굴 봇넷 왓치복, 블루킵 취약점 스캐너 탑재

원래는 리눅스만 감염시키던 멀웨어, 이제는 윈도우 기반 시설까지
블루킵 취약점의 실제 익스플로잇 문제 해결되자마자 스캐너 추가돼

[보안뉴스 문가용 기자] 암호화폐를 채굴하기 위해 활동하는 봇넷에 최근 블루킵(BlueKeep) 취약점을 스캔하는 기능이 추가됐다. 블루킵은 RDP 프로토콜에서 발견된 취약점으로 미국에서는 국가 기관까지 나서서 블루킵 취약점에 대한 패치를 적용하라는 내용의 권고 사항을 발표하기도 했었다.

[이미지 = iclickart]

보안 업체 인테저(Intezer)에 의하면 이 암호화폐 채굴용 봇넷인 왓치복(WatchBog)은 “2018년 하반기부터 활동을 시작했으며, 원래는 리눅스 시스템만을 감염시켜 왔다”고 한다. 최근 시작된 공격은 탐지가 힘들며, 6월부터 현재까지 약 4500대의 리눅스 시스템을 공격하는 데 성공했다. 그리고 아직도 공격은 진행 중인 것으로 보인다.

왓치복의 배후에 있는 공격자들은 리눅스 시스템에서 이전에 발견된 취약점들을 익스플로잇 해왔다. 최근에도 익스플로잇의 개수를 늘렸는데, 다음이 세 가지가 눈에 띈다.
1) 지라(Jira)에서 발견된 CVE-2019-11581
2) 엑심(Exim)에서 발견된 CVE-2019-10149
3) 솔러(Solr)에서 발견된 CVE-2019-0192
4) 블루킵 취약점이라고 알려진 CVE-2019-0708

블루킵 취약점은 윈도우 기반 커널 취약점으로, 익스플로잇에 성공할 경우 원격에서 코드를 실행할 수 있게 해준다. 왓치복은 이런 블루킵을 스캔하기 시작했다. 인테저는 “스캔의 함수 이름 등을 봤을 때 깃허브(GitHub)에서 공유되고 있는 스캐너인 것으로 보인다”고 한다. 하지만 왓치복은 스캔까지만 하지 익스플로잇을 하지는 않는 것으로 알려졌다.

블루킵 취약점은 등장과 함께 큰 관심을 받았으며, 최근 보안 업체 멀웨어테크(MalwareTech)의 전문가들은 “누군가 블루킵 취약점을 익스플로잇 해서 시스템을 마비시키고, 그런 상태에서 원격 코드 실행 공격을 실시하는 방법”을 발견했다고 이번 주 트위터를 통해 경고했다.

블루킵 취약점은 대단히 위험한 것으로 알려져 있고, 미국 국가 기관들까지 나서서 패치하라고 권고하고 있는데, 아직까지 실제 공격에 활용된 사례는 없다. 실제 익스플로잇을 위해서는 ‘풀 스프레이(pool spray)’라는 것을 해야 하는데, 이것이 너무나 어려웠다. 이 부분만 해결되면 실제 익스플로잇이 시작될 수 있을 것으로 보이는 가운데, 멀웨어테크가 “누군가 이 부분을 해결했고 공개했다”고 발표한 것.

블루킵 취약점이 가지고 있던 익스플로잇 가능성 문제가 해결된 것처럼 보이자 왓치복에 곧바로 스캐너가 추가됐다는 건, 우연일 수도 있지만 공격자들이 보안 업계의 연구 내용(화이트 햇이든 블랙 햇이든)을 면밀히 살피고 있다는 뜻으로 해석할 수도 있다. 또한 멀웨어테크가 발표한 내용이 실제 익스플로잇에 도움이 된다면, 조만간 왓치복 말고도 블루킵을 노리는 공격이 늘어날 것으로 예상된다.

인테저는 “지라, 솔러, 블루킵 취약점에 대한 스캐너 모듈이 전부 13일 내에 추가되었다”며 “왓치복 배후에 있는 자들이 공격 활동을 대폭 늘려가고 있는 것으로 보인다”고 경고했다.

3줄 요약
1. 암호화폐 채굴 목적으로 세력 확대시켜 나가는 봇넷, 왓치복.
2. 최근 여러 가지 취약점에 대한 스캐너 및 익스플로잇 기능이 추가됨. 이 중 블루킵 포함됨.
3. 블루킵은 심각한 취약점이나, 익스플로잇이 어려웠음. 하지만 최근 누군가 그 방법을 찾아내 공개했음.
[국제부 문가용 기자(globoan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)