2019-12-07 16:34 (토)
DDoS 공격용 봇 에이전트 지속적 유포!
상태바
DDoS 공격용 봇 에이전트 지속적 유포!
  • 길민권
  • 승인 2012.10.19 05:13
이 기사를 공유합니다

빛스캔 “봇넷 에이전트들 C&C 서버와 연결…위험한 상황!”
공격자, 자동화 툴로 악성코드 유포…이젠 주중에도 공격시도
악성코드 공격이 중국에서 상당부분 이루어지기 때문에 빛스캔(대표 문일준)의 분석에 따르면 10월 2주차는 10월 1주차에 중국의 최대 명절인 중추절 연휴(9월 29일~10월 1일)와 국경절 연휴(10월 1일~7일)이 겹쳐 주중에는 공격이 감소되었고 연휴 막바지인 일요일 저녁부터 공격이 급속히 늘어나는 형태를 보인 것으로 나타났다.  
 
빛스캔 보고서에 따르면, 지난 9월 4주차까지는 최종 악성코드가 일별로 C&C 주소나 추가 다운로드 링크가 조금씩 다르거나 변경되었지만 10월 1주차에는 악성코드를 분석한 결과 지난 9월 4주차까지는 MD5 해쉬값만 변경이 있으며 주소나 코드는 동일하거나 유사한 형태다.
 
즉 실제 유포되는 악성코드는 실행압축만 달리한 것이다. 공격자들이 연휴를 보내는 동안 능동적으로 대처하지 못해 백신에 많이 탐지되는 결과를 빚었고 이에 목표량을 채우기 위해 주중에도 공격이 이루어졌다고 빛스캔 측은 보고 있다.
 
또한 이번주에는 대규모로 봇넷 에이전트들이 웹을 통해 유포된 것으로 나타났고 C&C 서버와 연결함으로써 추가적인 위험상황이 높은 상태로 발견되었다. 빛스캔 측은 “해당 C&C 서버의 주소들에 대해서는 동향 보고서에 강조되어 있으므로 즉각 차단과 대응이 필요하다”고 강조했다.  
 
또 “9월 2주차부터 이번주까지 지속적으로 DDoS 공격에 이용되는 봇 에이전트가 유포되고 있다”며 “해당 악성코드들은 명령을 전달하는 C&C(Command & Control) 서버로 4133, 8000, 8001 등의 포트를 사용해 통신하고 공유 폴더를 통해 사내 네트워크에 다수 감염을 시킨다. HTTP 웹 서버에 대해 Get Flooding을 이용한 CC(Cashed-Control) Attack을 할 수 있는 기능을 갖추고 있다”고 설명했다.

 
전상훈 빛스캔 이사는 “이번주에 발견된 최종 악성코드 중에는 V3 아이콘이나 구글 크롬 아이콘으로 위장한 형태가 발견됐다”며 “이 유형은 기업이나 백신 업체에 대한 신뢰를 이용해 사용자를 속이기 위한 기법으로 2주 전부터 지속적으로 사용되고 있으니 주의해야 한다”고 당부했다.
 
전 이사는 “현재 한국은 취약한 웹서비스들이 너무 많고 방치 되고 있으며, 공격 기술의 발전을 따라가지 못하고 있다”며 “웹서비스를 통한 악성코드의 대규모 유포를 통해 개인정보 탈취 및 봇넷을 확대하고 있다는 것은 향후 대규모 공격에 의한 대형사건이 터질 것이란 것을 예고하고 있는 것으로 볼 수 있다”고 경고했다.
 
또 그는 “이번주 공격의 또다른 특징은 악성코드 유포시 자동화 툴킷을 사용해 클릭 한 번으로 악성코드를 생성한 것이 확인되었다. 국내 사이트(www.xxxxxx.co.kr/zzz/wm/index.html)를 해킹해서 공격세트들을 업로드한 것”이라며 “웹 서버 설정 중 하나인 디렉토리 리스팅을 변경하지 않거나 실수한 것으로 보인다”고 설명했다.
 
더불어 전 이사는 “시간대를 보면 불과 몇 시간 만에 준비해 업로드한 것으로 볼 수 있다. 수동 공격이 아니라 공격 세트를 자동으로 업로드하는 자동화 도구가 존재하는 것으로 파악된다”며 “시간대를 보면 .html, logo.swf, swfobject.js, top.js 파일들은 모두 동일한 오후 2:59에 만들어진 것을 확인할 수 있다. 이것은 자동화 도구에서 옵션을 클릭해 한 번에 생성한 것으로 추정된다. cmd.exe, cmd.txt는 오후 3:05, 3:07에 생성되었다. 악성코드 유포 경로는 미리 만들어 놓고 최종 다운로드 되는 악성코드만 변경한다. 이는 백신을 회피하기 위한 목적이 가장 크다. 설치되는 파일은 취약성 공격 이후 디렉토리의 cmd.exe가 내려 오는데 현재까지 md5 파일은 백신 회사 및 Virus Total과 같은 전 세계 백신 테스트베드에서 보고된 적이 없는 바이너리 파일”이라고 전했다.
 
그럼 이번주 악성코드 공격의 특징을 정리하면 다음과 같다.
 
-8월 1주차에 발견되었던 sl.php 유형의 Mass SQL Injection 공격 여전히 발생.
-악성코드 유포시 자동화 툴킷 사용
-9월 4주차 중국의 최대 명절인 중추절 연휴(29일~10월 1일)과 국경절 연휴(10월 1일~7일)이 맞물린 결과 연휴 막바지에 신규 악성링크 대거 삽입. 최소한으로 백신만 우회하게 악성코드 유포하여 목표량에 미달 -> 목표량 채우기 위해 주중에도 공격
-8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)
-APT 형태의 악성코드 유포 계속. 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속
-MalwareNet(다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적으로 이용됨(8개 이상의  MalwareNet 모두가 C&C 봇넷 에이전트 유포에 이용. 매우 심각한 상황)
-3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견의 급증
-최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며 탐지 및 추적에 어려움 예상.
-백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
-게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
-백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨
 
MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경된다.
 
전 이사는 “이번주에는 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용 사례를 살펴 보겠다”며 “공격자의 의도에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매 우 큰 차이를 가질 수 밖에 없으며 선제적인 사전대응이 얼마나 중요한지 확인 할 수 있다. MalwareNet 자체를 여러 곳 활용하는 형태도 전주에 이어 계속 발견되고 있으며 금주에는 xxxx.devpia.com/xxxx/Debug/Refactor/view.js이 적극적으로 이용되고 있는 상황”이라고 전했다.  
(보충 기사: 데브피아 측은 19일 새벽에 올라간 해당 기사를 보고 22일 오후 데일리시큐에 연락을 해왔다. 악성코드 경유지로 활용된 위 URL은 2차 도메인으로 오래전 도움 요청을 해 온 기업에 내부용으로만 제공해준 URL이다. 즉 데브피아가 직접 관리하는 사이트가 아니다라고 밝혀왔다. 이에 19일 데일리시큐 기사를 통한 KISA 전화를 받고 긴급히 조치를 취해 현재는 경유지 역할을 하지 않고 있다고 전해와 데일리시큐는 데브피아 내용에 대한 일부내용을 수정처리했음을 독자들에게 알림)   

또 그는 “현재 시간에도 영향력을 유지하고 있으므로 대응이 필요하며 수시로 최종 악성코드들이 변경되고 있어서 탐지 및 대응에 어려움이 있을 것으로 판단된다”며 “최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태”라고 경고했다.
 
전 이사는 “공격자들은 평상시 악성링크를 제거해 두었다가 공격 시점에만 활성화시키고 있다. 이 점은 공격 자가 해당 서비스에 대한 완벽한 권한을 행사하고 있음을 의미하는 것”이라며 “단순한 링크 삭제로는 근본적인 해결책이 되지 않는 다는 것을 알아야 한다”고 우려했다.
 
그리고 공격자들은 다수의 MalwareNet을 또 하위 유포채널로 유지하고 있는 형태로 운영하고 있다. 그래서 공격자는 단 한 번의 변경만으로도 최소 70여 곳 이상의 웹서비스에서 동시다발적으로 악성코드를 배포할 수 있는 상황이다. devpia.com도 현재 악성코드 유포 경유지로 활용되고 있다. 
 
특히 10월 2주차 빛스캔 위협보고서에는 국내 보안이 얼마나 취약한지 보여 주기 위해 악성코드를 유포한 유포지를 보여주고 있다. 하루에 악성코드 유포를 위해 50여 곳 이상을 해킹해 악성링크를 추가한 정황이 보고서에 나와있다고 한다.
 
전 이사는 “현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속 해서 변형들이 출현하고 있는 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있다”며 “기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 필요하다. 특히 Oracle Java취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있다. 특히 사후대응보다는 사전대응에 초점을 맞춰야 한다”고 강조했다.  
 
또 그는 “기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은 사용자PC의 드라이버 및 시스템 파일 교체, 윈도 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높다”며 “또한 백도어 설치 시에는 시스템상의 백신 프로세스 우회 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제해 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바란다”고 덧붙였다.
 
현재 빛스캔 기술 분석 보고서에는 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있다. 이번 주에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있다. 차단해야 한다.
 
또 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분이다. 모두 시스템에서 백신 프로세스를 중지시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있다고 한다.  
 
이외에도 기술분석보고서에는 C&C 서버의 차단과 관련된 핵심적인 내용들이 공개돼 추가적으로차단해야 할 정보들이 직접공개돼 있어 사전대응을 위한 다양한 정보가 공개돼 있다.  
 
문일준 빛스캔 대표는 “PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있다”며 “각 부분별로 발전적인 협력을 원하는 부분에 대해서는 메일(info@bitscan.co.kr)로 문의를 주면 협력할 수 있다”고 밝혔다.  
 
빛스캔 보안위협 보고서 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr으로 기관명/ 담당자/ 연락처 등을 기재해 시범서비스는 기관/기업별 1회에 한정하고 있다.
 
보고서를 위한 악성링크 수집은 빛스캔 PCDS (Pre crime detect system)를 통해 수집되며 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com