Home > 전체기사

난독화 통해 분석 불가능하게 만든 고 기반 멀웨어 블랙로타

  |  입력 : 2020-11-25 17:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
고 언어로 구축된 멀웨어 블랙로타…보통 고 멀웨어라면 분석이 매우 쉽지만
난독화 기술로 모든 함수 이름과 정보들을 무작위 이름으로 대체…분석이 안 돼
바이너리 파일을 대용량으로 만들기도…때문에 양적인 부담이 상당해


[보안뉴스 문가용 기자] 고(Go) 언어로 만들어진 새로운 백도어가 발견됐다. 엄청난 수준의 난독화 기술을 탑재하고 있어 추적과 분석이 상당히 까다롭다고 한다. 이 백도어의 이름은 블랙로타(Blackrota)로, 보안 업체 치후 360(Qihoo 360)의 허니팟에서 처음 발견됐다. 도커 리모트(Docker Remote) API의 비승인 접근 취약점을 익스플로잇 하는 것이 주요 목적으로 보인다.

[이미지 = utoimage]


치후 360은 화요일 보고서를 통해 “고 언어로 만들어진 멀웨어들은 난독화 측면에 있어서 거의 아무 것도 없는 경우가 대부분”이었다며 “분석이 쉬운 멀웨어들일 수밖에 없었다”고 설명한다. 그런데 블랙로타가가 등장한 것이다. “고 기반 멀웨어가 이렇게까지 분석이 까다로운 건 처음 보는 일”이라고 한다.

현재까지 발견된 블랙로타 백도어 샘플은 리눅스 버전만 존재한다. EFL 포맷이며, x86/x86-64 CPU 아키텍처와 호환된다. 또한 기콘(geacon)이라는 특수한 유형의 비콘을 통해 C&C 서버와 통신한다고 한다. 기콘은 코발트스트라이크(CobaltStrike)라는 모의 공격 도구에서 활용된 바 있다. 코발트스트라이크는 모의 공격 도구이긴 하지만 공격자들이 사용하기도 한다. 블랙로타는 이 기술을 통해 정보를 빼돌린다.

블랙로타의 가장 큰 특징이라고 하면 난독화라고 하는데, 왜 그런 것일까? “다양한 난독화 기술이 겹겹이 사용됐기 때문”이라고 한다. “제일 먼저는 고 기반의 오픈소스 난독화 도구인 곱퓨스케이트(gobfuscate)가 사용됩니다. 소스코드를 컴파일링 하기 전에 난독화 기술을 적용하기 위해서입니다. 무작위 문자들을 사용해 고 소스코드를 감춥니다.”

이 도구가 무작위 문자열로 함수들의 이름이 대체했기 때문에 분석가들은 어떤 서드파티 고 패키지들이 사용되었는지 정확히 파악할 수 없었다고 한다. 이는 리버스 엔지니어링과 같은 분석을 불가능하게 만들었다. “블랙로타 개발자들은 곱퓨스케이트를 사용해 기호 정보와 유형 정보를 난독화 처리했습니다. 사실상 역분석이 불가능하게 된 것이죠.”

방해물은 이것만이 아니었다. 고 언어가 완전 정적 링크들을 통해 바이너리 파일들을 구축한다는 것도 어려움의 이유가 됐다. “무슨 뜻이냐면, 표준 및 서드파티 라이브러리들에 사용되는 코드들이 전부 바이너리 파일들에 패킹된다는 것입니다. 즉 바이너리 파일들이 대단히 커진다는 것이죠. 역분석을 하려는 입장에서 소스코드를 열면 함수를 수천 개에서 수만 개 마주해야 합니다. 바이너리 분석이라는 것이 지난하고 어려운 일이 될 수밖에 없습니다.”

이렇게까지 지독하게 난독화 처리가 된 고 멀웨어는 흔치 않다. 하지만 첫 사례는 아니다. 랜섬웨어 중 하나인 에칸스(EKANS)의 경우 고 언어로 작성되었는데 블랙로타와 비슷한 난독화 기술을 탑재하고 있다. 치후 360의 보안 연구원들은 “앞으로 난독화 기술을 가진 고 언어 기반 멀웨어들이 등장해 보안 담당자들의 머리를 아프게 할 것”이라고 경고했다.

“블랙로타와 에칸스는 이미 멀웨어 분석의 어려움이 어떤 것인지를 제대로 증명하고 있는 사례들입니다. 게다가 멀웨어 개발자들 사이에서 고 언어가 슬슬 인기를 끌기 시작했다는 것도 알 수 있고요. 앞으로 고 언어로 된, 분석 어려운 멀웨어들이 더 등장할 것으로 보입니다. 앞으로 고 언어 생태계를 눈여겨 볼 필요가 있습니다.”

3줄 요약
1. 고 언어로 만들어진 새로운 백도어 블랙로타 발견됨.
2. 블랙로타의 가장 큰 특징은 난독화가 여러 겹으로 적용돼 분석이 어렵다는 것.
3. 고 기반 멀웨어들이 점점 늘어나고 있고, 특히 난독화 부분에서 까다로워지고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비