2019-12-10 22:23 (화)
악성코드, 다단계 유통구조 만들어 체계적으로 살포중!
상태바
악성코드, 다단계 유통구조 만들어 체계적으로 살포중!
  • 길민권
  • 승인 2012.09.21 04:25
이 기사를 공유합니다

빛스캔 “상위 유포지 1곳에만 72개 하위 유포지 연결…무차별 유포”
이번주 악성코드 공격의 특징은 다중 취약성을 공격하는 공격 세트가 대거 증가했다는 점이다. 단일 취약성이 아닌 여러 취약성(IE, Java, Flash)을 동시에 공격해 성공률을 높이는 형태가 계속 증가된 형태를 보이고 있으며 지난주 대비 100% 이상 증가한 악성링크 수치가 발견됐다.  
 
빛스캔(대표 문일준) 보안위협 주간 보고서에 따르면, 탐지 회피와 우회를 위해 유포통로를 계속 변화시키고 있으며 이에 반해 최종 설치되는 악성코드의 형태는 많은 증가가 없어서 동일한 악성코드 유포를 위해 여러 악성링크가 계속 변화하면서 이용이 되고 있는 것으로 나타났다.  
 
또 기술분석 보고서의 내용 중 ‘봇 에이전트’와 추가 공격을 위한 다운로더들의 유포에 이용된 링크들은 대규모 유포망을 통해 다수 배포 된 상태이므로 추가적인 사건 발생과 이슈에 대해서 주의를 기울여야 하는 상황이다. 또한 국내 게임 아이템 거래 사이트들에 대한 계정 탈취 목록이 추가 발견 되어 피해가 예상된다.
 
전상훈 빛스캔 기술이사는 “이번주 악성링크 분석 내용 중에는 구글코드 사이트에 악성코드를 올려두고 이용하는 내용들도 발견 되었으며 해당 악성코드의 행위는 MBR이 포함된 영역을 읽는 부트킷 유형의 악성코드로 파악이 되고 있다”며 “7.7 DDoS 공격, 3.4 DDoS 공격, 농협 사태에서 공통적으로 등장하는 단어가 있다. 마스터부트레코드(Master Boot Record, 이하 MBR) 영역에 관련된 내용이다. 이들 사건을 비롯해 최근 발생한 사이버 공격에서는 MBR 영역을 파괴해 하드디스크 데이터를 못 쓰게 만드는 기능 이른바 '하드디스크 파괴' 기능을 포함하고 있다. MBR의 특성상 백신으로 진단/치료가 어렵기 때문에 감염되지 않도록 주의를 기울여야 할 것”이라고 주의를 당부했다.   
 
또 전 이사는 “구글코드라는 신뢰받는 서비스 사이트에서 내려오는 파일들의 경우 화이트리스트 형식으로 등재되어 탐지 및 보호 도구들을 우회하는 사례가 많으며 구글코드 사이트의 경우 2007년에도 악성코드를 호스팅한 사례가 있으나 피해는 극히 제한적인 상황이었다”며 “그러나 이번에 발견된 구글코드 유포 이슈는 단발적인 공격이 아닌 다단계 유포망(MalwareNet)에 의해 대규모로 악성코드 유포에 이용된 사례이며 국내 도메인 다수가 악성코드 유포에 활용된 지금껏 사례가 없는 경우다. 따라서 현재 상황의 심각성은 높다고 판단된다”고 밝혔다.
 
보고서는 또한 이번주 예전 EBS 분산서비스거부(DDoS) 공격 때 사용된 다크쉘 악성코드가 탐지 되었다고 밝혔다. 해당 악성코드는 곰플레이어 아이콘으로 위장하고 있으며, C&C 서버 (gomupdate.dnip.net)에 접속해 명령을 대기하게 되어 있다. HTTP 서버를 대상으로 하는 DDoS 공격이 가능하므로 명령 연결이 되지 않도록 즉시적인 차단이 필요한 상황이다.  
 
한편 9월 1주차에 실제 사용되었던 플래시 취약점인 CVE-2012-1535를 활용한 공격이 이번주에도 지속되었다. CVE-2012-1535 Adobe Flash Player Font Parsing Code Execution 취약점은 Adobe Flash Player 11.3.300.271 버전 이전의 ActiveX 모듈에서 발견되는 취약점으로 SWF 파일에서 사용되는 폰트 파일의 충돌을 통해서 악의적인 코드를 실행 가능하게 한다.
 
아직까지 사용 비율은 높지 않지만 다중 취약점을 이용한 대규모 공격에 충분히 활용될 가능성이 존재하고 있다. 지난 8월 14일 어도비사에서 해당 취약점에 대한 패치를 발표해 제공하고 있기 때문에, 어도비 플래시 플레이어 11.3.300.270 이전 버전을 사용하고 있는 사용자의 경우 반드시 최신 버전으로 업데이트해 이로 인한 피해를 최소화해야 한다고 보고서는 당부하고 있다.


빛스캔 보고서에서 정리한 이번주 악성코드 공격의 특징을 정리하면 다음과 같다.
•MBR 읽는 부트킷 유형 악성코드 발생(백신 탐지 어려움)
•EBS DDoS 때 사용되었던 다크쉘 모듈 탐지. 향후 DDoS 사건 예상 가능
•신뢰할 수 있는 사이트인 구글코드 사이트에서의  악성코드 유포 활용
•8월 3주차에 대규모 유포가 이루어졌던 루트킷, 백도어 유형의 경우 금주 차 활동 계속–부가적인 위험 증가 (감염된 좀비PC들을 활용한 추가 위험이 발생 할 수 있는 상태)
•APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속
•MalwareNet(다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화
•9월 1주차 신규 생성된 MalwareNet의 신속한 유포 통로 활용 관찰
•최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
•백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
•지난주 대비 대폭 증가한 공격 (단기간에 집중되어 계속 유지되는 형태. 9.14일 오후 8~12시 사이 대거 공격 활용)
•게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
•백신 업데이트 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨
•자바 제로데이 취약점은(CVE-2012-4681) 현재 오라클에서 공식 패치를 배포. 반드시 업데이트를 적용해야 함
•MS XML (CVE 2012-1889) 취약성의 경우 업데이트를 하지 않았다면 반드시 업데이트를 적용해야 피해를 방지할 수 있음
•Adobe Flash (CVE 2012-1535) 취약성의 경우 이번주 공격 출현 되었으므로 패치를 바로 적용해야 안전함
•7월 3주차부터 사용률이 급상승한 Java 취약점인 CVE-2012-1723도 반드시 패치를 해야 함. 이번주에는 1723만 단독으로 사용된 것들이 많이 포착되었음. 반드시 업데이트를 적용해야 안전확보.
 
전상훈 이사는 “기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도 서비스 등록 등을 실행하고 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높다”고 밝히고 또한 “백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제해 정체를 은폐하고 있으므로 사전 대응에 만전을 기해야 한다”고 강조했다.
 
한편 이번주에는 신용정보 조회, 아이템매니아, 아이템베이 사이트까지 계정 탈취 기능이 추가 되었다. 악성코드에 감염된 사용자가 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있는 것이다.
 
또한 아이템매니아, 아이템베이 사이트는 온라인 게임 아이템 거래 사이트다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있다. 돈이 되는 곳은 모두가 대상이 되는 상태다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것으로 보인다.
 
또 MalwareNet 자체를 여러 곳 활용 하는 형태도 전주에 이어 계속 발견 되고 있으며, PCDS 상의 추적된 데이터로 살펴보면 악성링크는 25곳 가량에만 추가가 되었지만 이중 2곳이 MalwareNet으로 사용이 되고 있다. Impact Factor로 보면 위험성과 파급력은 72에 이를 정도로 높은 상태를 보이고 있다고 보고서는 밝히고 있다.  
 
즉 공격자는 악성코드 유통구조를 가지고 있는 것이다. 상위 유포지에 악성링크를 걸어놓고 여러곳에 연결해 악성코드가 유포될 수 있도록 설치해 두고 있다. 한 유포지에서는 72곳 이상의 하위 유포지와 연결돼 있어 대량으로 악성코드를 유포할 수 있는 구조를 만들어 두고 있는 실정이다. 이를 통해 감염률을 계속 증가시키고 있다.  
 
전 이사는 “2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있다”며 “그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 더욱 강해지고 있다”고 밝혔다.
 
빛스캔(대표 문일준)과 KAIST 정보보호대학원이 공동 운영하는 국내 인터넷 환경의 위협 분석 보고서는 PCDS(Pre Crime Detect System)의 탐지역량과 KAIST정보보호대학원의 분석역량이 결집된 분석 보고서로 잘 알려져 있다.
 
빛스캔 보고서 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr로 기관명, 담당자, 연락처 등을 기재해 신청하면 된다. 시범서비스는 1회에 한정한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com