2020-05-28 17:55 (목)
APT 공격을 위한 악성코드 대량유포 진행중!
상태바
APT 공격을 위한 악성코드 대량유포 진행중!
  • 길민권
  • 승인 2012.08.16 03:42
이 기사를 공유합니다

빛스캔 "악성코드, 감염 IP대역 스캔후 APT 공격 시도 예상"
최근 악성코드에 APT 공격용 다양한 기능들 추가...사전대응이 중요!
악성코드 유포 방법이 계속 진화하고 있다. 이번주 빛스캔(대표 문일준) 보고서에 의하면 계정 탈취용 악성코드들이 감염된 IP 대역을 스캐닝하는 기능이 발견되어 백도어 형태의 APT 공격 위험성을 보이고 있는 것으로 나타났다. 타깃 기관의 IP를 확인하고 해당 IP대역이 감염됐는지를 확인한 다음 APT 공격을 시도하겠다는 의도로 풀이된다.   
 
전상훈 빛스캔 기술이사는 “이번주 발견된 APT 유형의 악성코드는 올해 초에 많이 발견되었던 형태이며 기본기능으로 감염 컴퓨터의 보안정책을 비활성화시키고 취약한 서비스를 실행시켜 공격을 하고 있다”며 “내부 사설망 및 감염 IP 대역에 대한 스캔 기능 이외에 다운로더까지 확인 됨에 따라 추가적인 피해가 우려 되고 있다. 감염된 IP에 대한 즉시적인 차단이 필요하다”고 강조했다.  
 
보고서 내용을 좀더 자세히 살펴보면, 이번주 Mass SQL Injection 공격을 당한 사이트들이 소폭 증가했으며 악성링크 자체에 IP 대역대에 따라 접근을 거부하는 코드가 적용돼 있어 분석 및 탐지를 회피하는 유형이 발견되고 있다.
 
이러한 형태의 공격코드들은 대부분 자바 취약성인 ‘CVE 2012-1723’ 취약성을 활용하고 있는 것으로 분석되었다. 전상훈 이사는 “향후 악성코드 유포자 측면에서 적극적인 접근 제어를 통해 분석 및 탐지 회피를 시도할 가능성이 있어서 실제 악성코드의 분석과 탐지에 어려움이 많아질 것으로 예상된다”고 말했다.
 
특히 최상위 단계의 악성링크를 탐지하는 빛스캔 보다는 주요 사이트 모니터링을 통해 최종 악성코드 탐지 및 분석을 하는 주요 기관 및 백신이나 기존 보안 기업들 측면에서 더 두드러지게 문제가 될 것으로 빛스캔 측은 예상하고 있다.
 

<이번주 악성코드 감염에 이용된 취약성 비율>

이번주 공격의 특징을 정리하면 다음과 같다.
-게임계정 탈취를 위한 악성코드의 변화 감지(IP 대역 스캔 기능 이외)
-APT 형태의 악성코드 추가 출현(권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더)
-8월 첫째주에 언급한 Mass SQL i의 전세계적인 공격(한국, 오스트레일리아, 러시아, 미국 등) 출현 및 다양한 악성링크 활용, xxxx.nu/sl.php의 형태 계속
-MalwareNet의 활성화(5~20개 규모의 신규 Malwarenet 출현 및 변경 계속됨)
-P2P 및 언론 매체를 통한 악성코드 유포뿐만 아니라 호스팅업체, 거래 사이트, 온라인 쇼핑몰, 상품권 판매 사이트, 택배 사이트, ebook 등 다양한 사이트들을 활용한 악성코드 유포 계속
-최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 계속
-전 세계 백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 증가
-게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속 발견
-대부분의 게임 계정 탈취 및 백신 서비스 무력화는 계속
 
한편 이번주 공격에 사용되었던 MalwareNet 경로로 활용된 주요 악성링크들은 실제 보고서에는 공개되고 있으며 보고서를 신청한 기업들은 악성 URL 접속을 차단하고 있다.
 
전상훈 이사는 “MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경한다. 이번 주에도 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용 사례가 다수 발견됐다”며 “공격자의 의도에 의해 조종 당하고 있는 현실에서 사후대응과 사전대응의 차이는 매우 큰 차이를 가질 수 밖에 없다. 선제적 사전대응이 절실한 시점”이라고 강조했다.
 
또 전 이사는 “MalwareNet 자체를 여러 곳에 활용하는 형태도 8월 14일에 발견되었다. 단지 두 곳에서만 악성코드 유포 시도가 발견 되었지만 두 곳 모두가 14 곳 이상의 웹사이트에서 MalwareNet으로 이용 되고 있는 상태라 위험성이 높다”며 “공격자는 단 한번의 클릭 만으로 전체 28곳 이상에서 동시에 악성코드 감염을 시킬 수 있는 상황이며 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출되어 있는 상태”라 지적했다.
 
악성링크들은 다단계 형태의 연결구조를 통해 최종 경로를 숨기고 목적을 달성하는 역할을 수행하고 있다. 또 단순 패턴매칭으로는 찾아낼 수 없는 형태라 웹에서 유포되는 악성코드를 관찰하고 추적하는 기업과 기관에서는 MalwareNet에 대한 위험성을 알고 이러한 위험에 대비해야 한다.
 
전상훈 이사는 “현재 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있다”며 “웹 서핑만 해도 웹 서비스에 방문만 해도 감염이 되는 공격코드들이 창궐하고 있다. 기본적인 문제를 해결 할 수 있는 보안패치는 반드시 적용 해야만 위험을 줄일 수 있을 것”이라고 권고했다.
 
특히 Oracle Java 취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있어 정기적인 보안패치 체크가 중요하다.
 
더욱이 빛스캔 측은 “7월 3주차부터 사용률이 급상승한 Java 취약점인 CVE-2012-1723는 반드시 패치해야 한다”며 “이번주에도 이 취약점만 단독으로 사용된 것들이 많이 포착되었다. 업데이트에 주의를 기울여야 한다”고 제차 강조했다.
 
기술분석 보고서에 따르면, 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 계속 관찰되고 있어 위험성이 높다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 무력화 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제해 정체를 은폐하기도 한다. 사전 대응에 만전을 기해야 할 것으로 보인다.
 
빛스캔 기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있다. 이번주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 활용되고 있어 실제 보고서에는 공개된 상태다.
 
빛스캔은 “광복절에도 악성코드 공격은 멈추지 않았다. 공격의 다변화 및 APT를 위한 악성코드의 대량유포가 계속 되고 있다. 특히 위험한 것은 국내 유포되고 있는 악성코드들이 대부분 국내에서 사용 비율이 높은 백신들만을 전략적으로 회피하도록 작성되고 있다는 점”이라며 “현재 한국의 대응 체계를 비웃듯이 농락하는 공격자들을 마주하며 외로운 싸움을 계속 하고 있지만 분명한 것은 지금 벌어지는 모든 일들은 실제라는 것이다. 사전에 얼마나 대응을 하느냐가 가장 중요하다. 빠른 정보를 확보해 대규모로 유포된 악성코드에 대응 할 수 있어야 한다”고 밝혔다.
 
KAIST CSRC(주대준 부총장) 주간보안동향 보고서는 1P 짜리 요약형태로 작성되며 무료 배포가 가능하다. 해당 서비스 신청은 csyong95@kaist.ac.kr로 신청하면 된다.
 
정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr로 기관명, 담당자, 연락처를 기재해 신청하면 된다. 시범은 기관과 기업별 1회로 한정하고 있다.
 
분석 보고서의 악성링크 자체 수집은 빛스캔 PCDS (Pre crime detect system)를 통해 수집하고 있으며 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com