2024-03-29 14:50 (금)
백도어-루트킷 형태 치명적 악성코드 대규모 유포돼!
상태바
백도어-루트킷 형태 치명적 악성코드 대규모 유포돼!
  • 길민권
  • 승인 2012.08.28 23:41
이 기사를 공유합니다

지난 주말 많은 사이트에서 집중 유포돼…10명중 6명은 감염!
빛스캔 "접속만 해도 감염…유포사이트 사전 차단이 가장 중요해"
한국 인터넷 보안 현황을 관찰하고 분석하여 매주 보고서 형태로 제공하고 있는 빛스캔, 카이스트 보안센터, 정보보호 대학원의 관찰 결과에 따르면 지난 주말 17일과 18일 양일 간에 걸쳐 루트킷과 백도어, 원격제어 도구들이 국내 주요 웹 서비스를 통해 대규모로 유포된 정황이 발견됐다. 
 
빛스캔(대표 문일준)에서는 지난 2년간 다양한 시도를 통해 대규모 유포를 감지하고 있었으나 게임계정 탈취를 위한 악성코드가 아닌 원격에서 통제가 가능한 악성파일과 백도어, 루트킷들이 이번과 같이 대규모로 유포가 된 시기는 없다며 심각한 우려를 표했다. 
 
지난 17, 18일간 스포츠조선, 연합뉴스 등 주요 언론사, 파일공유 사이트, 꽃배달, 부동산, 연예인 그룹 및 다양한 분야에 걸쳐서 심각도가 매우 높은 악성코드들이 방문자들에게 유포되어 장기적으로 영향을 줄 것으로 회사 측은 보고 있다.  
 
특히 언론사에서는 방문자 수가 많은 언론사들에서 직접 유포한 정황이 발견되어 좀비PC 감염률은 심각한 수준이다.


<악성링크의 역할 분담 및 공격구조에 대한 예시>
 
전상훈 빛스캔 기술이사는 “악성링크가 정상적인 웹 소스상에 추가가 되어 있다면 방문자들은 악성링크를 클릭하지 않아도 자동으로 방문과 동시에 악성링크가 실행되는 결과를 가져 올 수 밖에 없다”며 “악성링크가 실행 될 경우 악성링크 자체에서는 맞춤 형식의 공격세트와 같이 친절하게 방문자가 사용하는 브라우저의 버전과 자바, 플래쉬 버전에 따라 각각의 취약성을 공격하는 링크가 실행되어 좀비 PC를 만들도록 되어 있다”고 설명했다. 


<8월 17일,18일 공격자에 의해 변형된 웹서비스 코드>
 
또 전 이사는 “공격자에 의해 웹소스가 변경되면 해당 웹 서비스를 방문하는 모든 사용자들에게 영향을 미치게 된다. 즉 방문만해도 악성링크가 작동해 좀비 PC가 되는 것”이라고 밝히고, 위 이미지를 설명하며 “175.115.53.133/site.html이라는 iframe 링크는 운영자나 개발자에 의해 추가된 링크가 아니며 공격자에 의해 목적을 가지고 소스에 추가된 링크다. 이미 공격자는 웹 서비스의 모든 권한을 다 가지고 있지만 내부 침투나 페이지 변조를 하지 않고 단지 악성코드를 감염 시킬 수 있는 숙주로만 활용하는 상태를 볼 수 있다. 홈페이지를 변조하는 공격자들보다 더 무서운 것은 목적을 가지고 도구로 활용하는 공격자들일 것”이라고 말했다.

 
위의 스포츠조선 이미지는 8월 17~18일 기간 동안 웹서핑이나 뉴스캐스트 등을 통해 사이트에 직접 접속할 경우, 즉시 실행되는 여러 코드들의 연결 내용을 감염숙주로 이용된 웹 서비스에서 빛스캔 측이 모니터링한 내용이다. 단지 사이트 방문만으로도 공격자가 방문자 감염을 위해 넣어둔 링크들이 그대로 실행된다. 
 
전 이사는 “악성링크는 클릭을 통해서 감염되는 것이 아니며, 단지 방문 만으로도 감염이 된다. 방문만 해도 10명중 6명은 감염이 되는 치명적인 기법이 일상생활에 너무 깊이 들어와 있는 것이 지금의 현실”이라며 “패치여부와 관계없이 감염이 되는 제로데이 공격들도 일상적으로 발생되고 있어서 패치 발표 이후 즉시 적용하지 않는다면 문제는 더 심각해 진다”고 경고했다.
 
빛스캔 조사에 따르면, 이번 공격에서 최종 파일들은 모두 모바일 공격용은 아니며, 윈도우 시스템들을 대상으로 하고 있다. 시스템에 대한 권한 획득이 된 이후에 설치하는 원격제어용 Agent들과 루트킷, 백도어의 형태를 가지고 있다. 17~18일 양일간에 걸친 대규모 유포에 이용된 최종 파일들은 7개 가량이며, 이중 한 곳에서 3개의 파일들이 순차적으로 이용된 것으로 나타났다. 


<주요 언론사 및 파일 공유 사이트를 통해 감염을 시도한 악성링크 정보>
 
주요 언론사 및 파일 공유 사이트를 통해 감염을 시도한 악성링크의 정보를 살펴보면, 최종 설치 파일은 yy.exe이며 시스템 함수를 후킹해 특정 DLL을 방해하고 특정 서버로 접근을 시도하는 형태의 루트킷 특성을 보이고 있다. 감염 이후 원격 서버에 접속을 시도하는 것은 전형적인 원격 통제를 위한 좀비 PC의 형태를 띄고 있다.


<최종 바이너리의 악성행위 분석 부분 : 파일과 레지스트리, 시스템 접근 부분이 기술>
 
루트킷 이외의 또 다른 악성파일의 경우 GhOst RAT로 불리는 원격 통제가 가능한 Agent를 대규모 유포하는데 사용 되었으며, C&C 서버(110.45.139.41:6632–즉시 차단 필요)로 직접 접근해 명령을 받으며, 내부 시스템의 DLL을 교체함으로써 시스템의 권한을 원격에서 직접 제어하고 통제 할 수 있는 형태의 Agent를 대규모 유포했다.
 
이 유포의 특징은 지금까지 빛스캔에서 지속적으로 언급했던 맬웨어넷(MalwareNet: 봇넷과 유사한 개념으로 악성코드 유포의 효과를 극대화 하기 위한 다단계 유포 네트워크) 다수가 공격에 동시 이용된 부분이다.


<C&C Agent 배포를 위한 악성링크 감염 구조>
 
최종 악성파일은 1.exe, 2.exe, 2.jpg 등이 사용 되었으며 해당 파일들의 내용들은 대동소이했다. 다만 최종 파일값들이 다르므로 백신 및 파일 기반의 탐지 방식에서는 모두 추가 진단이 필요한 형태라 할 수 있다. 최종 바이너리가 하는 기능들에 대한 간략한 분석은 다음과 같다.
 

<8월 3주차 [빛스캔+KAIST] 기술분석 보고서 내용 발췌>
 
이번 악성코드 유포를 위해 이용된 전략은 다수의 MalwareNet을 동시에 활용하는 방식으로 유포 범위의 은폐와 탐지 회피를 위한 방식이 복합적으로 활용되었다는 것이며, 공격자는 최종 링크 단 하나만을 변경해도 최소 수십여 곳 이상의 서비스에서 동시에 방문자들에게 악성코드를 유포하고 감염시키는 행동들이 다수 발생 된다는 점이다.
 
이들 악성코드들은 패턴방식으로는 탐지가 안되며 연결구조를 전체적으로 파악하지 않는다면 범위와 피해규모 파악도 쉽지 않은 상태라 사전 위험 인지가 불가능하다.
 

<MalwareNet 의 일반적인 구조>
 
빛스캔 측은 “MalwareNet을 통해 유포되는 악성코드의 범위를 인지하기 위해서 별도의 지수산정 체계인 Impact Factor를 통해 내부적으로 분석하고 추적하는 체계를 통해 현재 MalwareNet을 추적 하고 있다’며 “17~18일 양일간은 다수의 MalwareNet이 동시 사용되어 원격제어가 가능한 Gh0st RAT Agent 유포에 활용되었기에 본 정보를 제공하며 범위와 규모적인 측면에서 눈에 보이는 것보다 더 큰 영향을 미치고 있음을 알 수 있다”고 설명했다.
 
또 PCDS Impact Factor에 대해 “내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용 되는 수치다. 높을 수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있다. 이번 악성링크 정보제공의 경우 심각성을 고려해 MalwareNet으로 이용된 악성링크의 정보는 그대로 공개한다”고 덧붙였다.
 

<빛스캔의 PCDS 상의 MalwareNet 영향력 분석 기록>
 
전상훈 이사는 “지금껏 MalwareNet의 본격적인 확장과 활동들이 관찰된 것은 올해 5월부터이며 당시부터 꾸준하게 경고한 내용은 단순 게임계정 탈취형 악성코드가 아닌 백도어, 루트킷 형태의 악성코드가 대규모로 유포 될 때 심각한 상황이 될 것임을 계속 언급했다”고 밝히고 “이제 그 현상은 직접적으로 나타나고 있다. 웹서비스를 통한 악성코드 유포의 심각성과 위험성에 대해 경각심을 가져야 한다. 8월 4주차의 관찰에서는 대규모 루트킷 및 백도어의 유포는 발생하지 않았으나 Java 관련 패치가 없는 제로데이 공격이 발생되어 향후 연관성에 대해서 심도 있는 분석을 진행 중에 있다. 분석 결과 지금껏 보고 된 적이 없는 유형의 공격으로 파악이 되고 있다. 현재 온라인은 전시상황”이라고 경고했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★