2020-04-05 00:00 (일)
APT 공격용 악성코드 감염되면 피해복구도 힘들어!
상태바
APT 공격용 악성코드 감염되면 피해복구도 힘들어!
  • 길민권
  • 승인 2012.08.10 04:29
이 기사를 공유합니다

공격성공 후 악성코드 삭제, 은닉…백신 탐지못해 재발가능성 커
빛스캔 “기업들 악성코드 사전대응 체계 구축이 중요…사후대응은 한계”
이번주 악성코드 분석 특징을 살펴보면 xxximp04risoned.rr.nu/sl.php URL이 포함되는 Mass SQL Injection 공격이 약 10여개 사이트에서 발생했고 이러한 sl.php 유형이 금주에만 70여 종류가 발견됐다. 해외에서도 발견 보고가 있지만 실제 유형은 휠씬 더 많으며 데이터베이스를 직접 공격하고 값을 추가함에 따라 데이터베이스에 대한 변조 피해도 많을 것으로 예상된다.
 
빛스캔(문일준 대표)과 KAIST 사이버보안연구센터(주대준 부총장)에서 공동 운영하는 보안정보 제공 서비스 8월 1주차 국내 인터넷 환경 위협분석 내용에서는 “이번주 특징은 Mass SQL Injection 공격을 당한 사이트들이 많이 증가했다”며 “추가적으로 악성링크 자체에 IP를 차단하는 코드가 들어 있어서 분석 및 탐지를 회피하고 있다”고 설명했다.

 
전상훈 빛스캔 기술이사는 “이번주 악성코드 분석 중 IP차단이 포함된 악성링크 수는 총 8개고 그 중 실제 접근이 가능했던 악성링크 수는 3개로 분석에 어려움이 있었으며 이 유형의 공격코드들은 모두 자바(Java) 취약성인 CVE 2012-1723 취약성을 활용하고 있었다”며 “향후에는 악성코드 유포자들이 IP 차단 코드의 효과를 확인하고 공격에 포함시킬 가능성이 높아서 실제 악성코드의 분석과 탐지에 어려움이 많아질 것으로 예상된다. 링크를 탐지하는 빛스캔 보다는 최종 악성파일 분석을 통해 사후 대응하는 백신과 기존 보안제품들 측면에서 더 두드러지게 문제가 될 부분이므로 대응에 주의가 필요하다”고 밝혔다.
 
또 전 이사는 “공격자들은 대량의 도메인을 활용하는 치밀함까지 보이고 있다. 공격에 이용된 도메인의 상당수는 뉴질랜드에 인접한 태평양의 섬나라 도메인을 이용하는 형태를 보이고 있다”며 “현재 Mass sql 인젝션 공격은 한국뿐 아니라 러시아와 미국의 도메인들에서도 탐지가 되고 있어서 전세계적인 Mass SQL 인젝션 공격으로 판단된다”고 말했다.
 
보고서에 따르면, 이번주 또 다른 특징은 Java Applet 취약점 관련 공격이 대폭 증가됐다는 점이다. 8월 1주차 감염 취약점 통계를 살펴보면, 전체 취약점 비율 중 95% 이상이 Java Applet 관련 취약점을 이용하고 있다. Java Applet 관련 취약점은 Heap Spray와 같은 부가적인 공격기법을 필요로 하지 않고 단순히 Java JRE 버전에만 의존적이기 때문에 공격 측면에서 손쉽게 악성코드를 유포시킬 수 있다는 장점이 있다.
 
빛스캔 측은 “대부분 공격코드들이 여러 종류의 애플리케이션(Flash , Java, Windows Media)과 MS XML 취약성을 동시에 공격하고 있으며 최근 관찰된 결과에 의하면 Java 취약성에 대한 공격이 대폭 채용 되고 활용도가 높아지는 것으로 관찰되고 있어 보안패치 관리에 좀더 신경을 써야 할 것”이라고 당부했다.
 
자바 취약성인 CVE-2012-1723 취약점의 경우 발견된 전체 25개의 악성링크 중 24개의 악성링크에 포함된 것으로 나타났고 해당 취약점이 단독으로 사용된 경우도 7건으로 적지 않은 비율을 차지한 것으로 나타났다.
 
전상훈 이사는 “다양한 Java JRE 버전에 대해 공격이 가능한 CVE-2012-1723 취약점을 이용한 공격의 효과가 입증 되었기 때문에 더 많은 악성링크에 해당 취약점을 적용해 좀비 PC 확보 및 정보 획득을 하려는 공격자들의 의도를 엿볼 수 있다”며 “Java Applet에 대한 보안패치 비율이 그만큼 높지 않은 수준이라는 점도 엿볼 수 있다”고 설명했다.
 
이번주 공격의 특징을 정리하면 다음과 같다.
-Mass SQL i의 전세계적인 공격(한국, 오스트레일리아, 러시아, 미국 등) 출현 및 다양한 악성링크 활용,  xxxx.nu/sl.php의 형태
-Java Applet 취약점 관련 공격의 증가(CVE-2012-1723 주로 사용)
-MalwareNet의 활성화 ( 5~20개 규모의 신규 Malwarenet 출현 및 변경 계속됨)
-P2P 및 언론 매체를 통한 악성코드 유포뿐만 아니라, 호스팅업체, 거래 사이트, 온라인 쇼핑몰, ebook 등 다양한 사이트들을 활용한 악성코드 유포 계속
-최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 계속
-전 세계 백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 증가
-게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취형 악성코드 계속 발견
 
한편 이번주 공격에 사용되었던 맬웨어넷(MalwareNet)으로 악용된 곳은 홈페이지 제작 전문 업체인 아이플랜이며, 10여 곳에서 동시에 악성코드 유포에 악용되었다. 악성링크로 이용된 경로는 www.xxxxxx.com/board/skin_src/default/_notes/v1ew.js이다.
 
전 이사는 “지난 주에 언급했듯 맬웨어넷에 삽입되는 링크들은 탐지 회피를 하기 위해 비정기적이고 수시로 바뀐다”며 “공격자의 의도에 의해 조종 당하고 있는 현실에서 사후대응과 사전대응의 차이는 매우 큰 차이를 가질 수 밖에 없으며 선제적인 사전대응이 얼마나 중요한지 확인 할 수 있다”고 강조했다.
 
 
<최초 맬웨어넷 악성링크 구조도>
 
해당 코드는 XML 취약점인 CVE-2012-1889, Java 취약점인 CVE-2012-1723, CVE-2012-0507, CVE-2011-3544, Flash취약점인 CVE-2012-0754 등이 사용되고 있고 게임 계정 탈취에 악용되고 있으며 상시적으로 외부연결이 발생 되고 있어서 언제든 게임 계정 탈취 이외에 다른 목적으로 전환이 될 수 있는 형태라고 보고서는 분석하고 있다. 특히 이 악성코드는 다운로더로 판단되어 향후 추가적인 공격코드 및 기능들이 업데이트될 가능성이 충분히 높은 상황이라 분석하고 있다.
 
전 이사는 “현재 공격 형태를 보면 사용자 PC에 대한 직접적인 공격을 일으키는 취약성들이 복합적으로 활용이 되어 성공률을 높이는 것을 확인 할 수 있다”며 “또 한 곳의 MalwareNet으로 악용된 곳은 10여 곳에서 동시에 악성코드 유포에 이용되었다. 악성링크로 이용된 경로는 xxxx,xxxxxxx.co.kr/_bsPlugins/geo/exampie.js이므로 차단에 활용하기 바란다”고 밝혔다.
 
현재 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도 웹 서비스에 방문만 해도 감염이 되는 공격코드들이 창궐하고 있는 상황이다.
 
빛스캔 측은 “Oracle Java 취약성, Adobe Flash 취약성 , MS의 XML , Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있다”며 “특히 패치가 발표된 MS XML 취약성의 경우 업데이트를 하지 않았다면 반드시 업데이트를 적용해야 한다”고 조언했다.
 
더불어 “기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높다”고 밝히고 “또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 우회 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제해 정체를 은폐하고 있으므로 사전 대응에 만전을 기해야 한다”고 강조했다.
 
보고서는 또 악성코드를 유포한지 5일 이후에 전 세계 백신들을 이용한 탐지 결과를 보여주고 있다. 각 시간대 별로 유포된 악성코드들은 별개의 탐지 패턴으로 탐지가 되고 있으며 어떤 악성코드는 전 세계 어떤 백신도 탐지를 하지 못한 것으로 나타났다. 즉 백신으로 탐지할 수 없는 악성코드들이 계속 등장하고 있다는 것이다.
 
전상훈 이사는 “사전 탐지와 사후 대응은 전혀 다른 범위다. 사전에 얼마나 대응을 하느냐가 가장 중요하며 빠른 정보를 확보해 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구된다”고 강조했다.
 
특히 그는 “백신이 사전에 탐지 못하는 관계로 기업내 APT 공격용 악성코드 감염이 이루어졌다면 이에 대한 피해복구는 상당히 어렵다. 대부분 APT 공격자들은 공격성공 이후 악성코드를 삭제하거나 숨겨버린다. 그래서 탐지하기가 힘들고 재발가능성도 크다”며 “빛스캔 분석보고서 등을 통해 사전에 발생 위험들에 대한 데이터를 이용해 제거하거나 선제적으로 대응하는 시스템을 구축하는 것이 중요하다. APT 공격으로 인한 피해복구 비용과 사전대응 비용을 비교해보면 사전대응이 얼마나 비용대비 효과가 큰지 알 수 있을 것”이라고 강조했다.
 
빛스캔 PCDS(Pre Crime Detect System)에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있다. 빛스캔 측은 각 부분별로 발전적인 협력을 원하는 부분에 대해서는 메일(info@bitscan.co.kr)로 문의를 준다면 논의하도록 하겠다고 한다.
 
현재 KAIST CSRC 주간보안동향 보고서는 1P 요약형태로 작성이 되며 무료 배포가 가능하다. 해당 서비스 신청은 csyong95@kaist.ac.kr로 신청하면 된다.
 
또 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr로 하면 된다. 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정한다. 보고서 분석은 악성링크 자체의 수집은 빛스캔의 PCDS(Pre crime detect system)를 통해 수집하며 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com