2024-03-29 06:15 (금)
어도비 취약성 이용한 트로이목마 ‘Sykipot’
상태바
어도비 취약성 이용한 트로이목마 ‘Sykipot’
  • 길민권
  • 승인 2012.02.05 23:39
이 기사를 공유합니다

시만텍、Sykipot에 대한 최신 분석정보 발표
[박춘식 교수의 보안이야기] 시만텍(Symantec)은 2012년 1월26일 어도비(Adobe) 제품에서 확인된 취약성을 이용한 트로이 목마 「Sykipot」의 최신해석정보에 대해서 발표하였다.
(이미지. www.flickr.com / by Darcy McCarty)
 
발표에 의하면, Sykipot에 의한 공격은 다양한 업종을 표적으로 하고 있지만, 대부분은 군수산업이었다고 한다. 어떠한 공격도 어떤 문자인가의 알파벳으로 날짜가 계속되어 임의의 ID가 트로이 목마 본체에 하드코드되어 있다는 특징이 있으며, 수자의 앞의 키워드가 이용되고 있는 웹 서버의 서브 도메인의 폴더명이 된 경우도 있다.
 
공격자는 임의의 ID를 표식으로 업종별 조직별로 공격을 연관짓고 있는 것으로 보인다고 말하고 있다. 이것 외에도 노렸던 사용자에게 새로운 바이너리를 송신하기 전에 사용되는, 테스트용의 스테이징 서버로 생각되는것을 고찰하는 단서가 남아 있다고 한다.
 
또한, 이 서버는 일정 기간 Command & Control(C&C)서버로도 사용되었다는 것이 확인되고 있다. 서버는 중국의 북경지역에 설치되어, 중국의 대기업 ISP상에서 가동하고 있었지만, 공격자의 하나가 절강성으로부터 접속한 경우도 있다. 이 서버에서는 과거 수개월간 100개를 넘는 악성 파일이 호스트되어 대부분이 Sykipot에 의한 공격에 사용되었다.
 
이 서버상에서 찾았던 파일은 커스터마이즈된 Sykipot의 바이너리 PDF 파일로 구성되어, 그 중에 Skyipot 를 투하하는 악성 코드가 포함되어 있다. 그것이 대부분을 차지하고 있지만 그 외에도 패스워드 해시를 컴퓨터로부터 dump하는 경우에 사용되는 「gsecdump」 등, 침입에 성공한 후에 동작하는 틀도 발견되었다. Microsoft Office 의 RTF 파일에 존재하는 Stack Buffer Overflow의 취약성(BID 44652)을 이용하기 위한 Template도 발견되고 있다.
 
이들 파일의 대부분은 시스템에서 직접 생성되는 것이 아니라 다른 장소에서 작성된 시스템에 복사된다고 Symantec 은 보고 있다. FTP 경유로 컴퓨터에 다운로드된 파일이나 removable Drive로부터 전송된 파일이 있는 것도 확인되었다. 아시아에서 넓게 보급하고 있는 Instant Message 클라이언트를 사용해서 특정의 연락처로부터 수신되어, 컴퓨터에 보존되는 파일도 있지만, 이 연락처 번호를 더듬어서 특정 인물을 찾아나가는 것은 이르지 못했다고 한다.
 
동일한 그룹에 속한다고 생각되는 다른 컴퓨터를 찾아내는 일이 가능했던 것도, 중요한 의미를 갖는다고 한다. 이 컴퓨터에서는 검출을 빠져나가기 때문에 파일을 자동적으로 변경하는 툴이 이용되고 있었다.
 
악성 PDF 파일의 작성에 사용되는 툴이 이미 널리 유통되고 있다는 것, 파일의 Path 이름에  「miansha」 라는 문자열이 포함되어 있다는 것에 주목해야 한다고 시만택은 보고 있다. 대략 번역하면 베일(veil)이라는 의미로 이것은 검출을 빠져나가기 위한 목적으로 파일을 변경하는 것은 나타낼 때 해커가 사용하는 은어라고 한다.
 
「fenxi」라는 단어도 보이지만 이것은 해석이라는 의미의 중국어를 의미하고 있다. 이러한 툴이 나오고 있는 이상. CVE-2011-2462 취약성을 악용하는 공격이 지금부터라도 계속되는 것은 틀림없다고 예상하고 있다. 또한, 이전 발표에 추가하여 새로운 도메인이 Sykipot 공격에 관여하고 있는 것이 판명. 이들 도메인 가운데에는 침입을 받은 공격에 이용되었던 것도 있지만.
 
대부분은 Sykipot 공격 네트워크의 일부로써 기능하는 것만을 목적으로 하여 등록되고 있으며, C & C 도메인을 호스트하고 있는 동일한 서버로부터 악성 전자 메일이 송신되고 있는 경우도 있다고 한다. Sykipot에 의한 공격은 복수의 업종을 대상으로 장기화되고 있다. 공격자는 중국어로 상세하게, 중국 국내에 있는 컴퓨터 리소스를 이용하고 있는 것이라고 시만택은 추측하고 있다. 새로운 취약성을 이용하여 시큐리티 제품조차 빠져나가기 때문에 자신들의 작품을 항상 개량하며 이를 계속하고 있기 때문에 공격자가 집단이라는 것은 분명하며、Sykipot 에 의한 공격은 앞으로도 계속할 것으로 예측하고 있다. (japan.internet.com 0131)
[박춘식 서울여자대학교 정보보호학과 교수]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★