Home > 전체기사
대형 통신사의 VoIP 소프트스위치 노리는 새 리눅스 멀웨어 등장
  |  입력 : 2020-09-11 12:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
VoIP 소프트스위치 중 링크냇의 VOS2009와 VOS3000 집중적으로 노리는 CDR씨프
공격 대상에 대한 이해도가 상당한 수준...아직 밝혀내야 할 비밀들이 많이 남아 있어


[보안뉴스 문가용 기자] 대형 통신사의 통신망에 연결된 VoIP 소프트스위치를 공격하는 멀웨어가 새롭게 발견됐다. 보안 업체 이셋(ESET)에 따르면 이 멀웨어의 이름은 CDR씨프(CDRThief)이며, 특히 링크냇(Linknat)의 VOS2009와 VOS3000 소프트스위치가 위험한 상태라고 한다. 이 두 가지 제품 모두 표준 리눅스 서버에서 운영된다.

[이미지 = utoimage]


CDR씨프는 비밀 통화 메타데이터(통화 시간, 통화 소요 시간, 통화 완료 시간, 전화를 건 번호와 받은 번호 등)를 수집하는 기능을 가지고 있다고 한다. 이셋 측은 자사 블로그를 통해 “CDR씨프의 주요 목적은 데이터베이스에서 데이터를 훔쳐내는 것”이라고 설명했다. “보통 백도어들이라면 소프트스위치에서 셸 명령어를 실행하거나 특정 파일을 추출하는 기능을 가지고 있는데, CDR씨프에는 그런 것이 없었습니다. 메타데이터만 수집해요. 물론 지금 없는 기능들은 공격자들이 CDR씨프를 업데이트하면서 추가할 수 있긴 합니다.”

메타데이터를 훔치기 위해 CDR씨프는 소프트스위치들이 사용하는 내부 MySQL 데이터베이스에 쿼리들을 전송한다. 데이터는 e_syslog, e_gatewaymapping, e_cdr 테이블들로부터 추출되며, 추출된 데이터는 압축과 암호화 과정을 거친다. 이 때 RSA-1024 공공 키가 추출 직전에 하드코드 되기도 한다. 기본적인 정적 분석에 걸리지 않기 위해 악성 기능을 담은 듯한 문자열을 전부 암호화 한다. 이를 복호화 할 수 있는 건 공격자 자신들 뿐이다.

멀웨어가 무사히 침투한 후 시동이 걸리면 제일 먼저는 링크냇 플랫폼에서 정상 파일들을 실행시킨다. “공격자들이 링크냇 제품에 대해서 상세하게 이해하고 있는 것으로 보입니다. 아직 분석이 완료된 건 아니지만, 공격자들이 이 깊이 있는 이해도를 바탕으로 악성 바이너리가 일반 링크냇 플랫폼의 부팅 프로세스에 자연스럽게 녹아들도록 꾸몄으리라고 예상하고 있습니다. 그러면서 눈에 띄지 않게 공격 지속성을 확보하는 것처럼 보이기도 합니다.”

현재까지는 CDR씨프의 최초 침투 방법도 확실히 드러나지 않았다. “공격자들이 다른 경로를 통해 확보한 크리덴셜들을 브루트포스 방식으로 활용할 수도 있고, 취약점을 공략하고 있을 수도 있습니다.” 게다가 통화 메타데이터를 훔쳐간 목적도 아직은 오리무중이다. 이 부분은 보안 업체의 분석력으로 다 알 수 없는 부분이기도 하다. “공격자의 궁극적 목적은 아직 파악하기가 어렵습니다. 다만 통신사의 통화 메타데이터를 조용히 수집해갔다는 걸로 보아 사이버 스파이 행위의 일종으로 보이기는 합니다.”

VoIP 사기 공격을 위한 준비 단계의 공격으로도 해석이 가능하다. 기업의 VoIP 시스템에 침투한 뒤, 기업 담당자들 모르게 고급 서비스, 즉 1분 통화비가 99 센트~19.99 달러에 이르는 전화를 걸어 부당수익을 취하는 공격을 계획하고 있다는 뜻도 된다는 것이다. VoIP 특성 상 이런 식의 사기 전화를 동시에 수백 통씩 걸 수 있기 때문에 사기 공격을 하려는 자들로서는 안성맞춤의 플랫폼이 된다.

아직 많은 것이 베일에 가려져 있고, 따라서 추가 분석이 이뤄져야 하지만, 새로운 리눅스 멀웨어가 나왔고, VoIP 소프트스위치의 메타데이터만 골라서 가져간다는 독특함 때문에라도 CDR씨프는 주목할 만한 멀웨어라고 이셋은 강조한다. “공격자들은 CDR씨프를 통해 ‘링크냇’이라는 플랫폼에서 메타데이터만 빼내겠다고 노골적으로 선언한 것이나 다름이 없습니다. 그 정도로 독특한 멀웨어에요. 다만, 최종 목표는 더 지켜봐야 알겠지만요.”

3줄 요약
1. 대형 통신사들의 VoIP 소프트스위치 노리는 새 리눅스 멀웨어 등장.
2. 보통의 백도어들이 훔쳐대는 데이터에는 무관심. 오로지 CDR(통화 세부 기록)과 메타데이터만.
3. 메타데이터 가져가려는 이유는 무엇일까? 아직 더 지켜봐야 할 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상