2019-11-21 20:56 (목)
라우터 대상으로 한 악성 코드 '슬링샷'
상태바
라우터 대상으로 한 악성 코드 '슬링샷'
  • 유성희 기자
  • 승인 2018.03.16 17:18
이 기사를 공유합니다

1.jpg
▲출처=픽사베이
안티 바이러스 소프트웨어 개발 업체 카스퍼스키 랩(Kaspersky Labs)이 미크로틱(MikroTik) 라우터에서 새로운 멀웨어를 발견했다.

카스퍼스키 랩의 글로벌 조사 및 분석 담당 이사 코스틴 라이우는 슬링샷(Slingshot)이라는 멀웨어를 공개하며 이와 같은 멀웨어는 여태까지 본 적이 없다고 말했다. 그는 자신들이 우연히 발견한 슬링샷은 시스템 관리자에 접근하는 새로운 방법이라고 덧붙였다. 회사는 이 멀웨어가 다른 곳에서도 발견되는지 알아보기 위해 키로깅을 스캔 및 분석했다. 슬링샷의 흔적은 scesrv.dll이라는 다른 컴퓨터 파일에서 발견됐다.

슬링샷은 컴퓨터가 라우터의 구성 시스템에 연결될 때 활성화된다다. 이 멀웨어는 연결 PC에 자신을 복사하고 루트 액세스 권한을 얻는다. 그런 다음 Cahnadr 및 GollumApp로 알려진 두 개의 코드(스크린 샷, 키보드 데이터, 네트워크, 비밀번호, USB 연결 및 데스크톱 데이터를 도용할 수 있음)가 포함된 새로운 모듈을 다운로드한다. 멀웨어는 보안 소프트웨어에 감지되지 않으며 디지털 포렌식 도구가 사용될 경우 구성 요소를 스스로 종료한다.

슬링샷은 이미 6번째 버전으로 개발됐을 만큼 보안 도구의 감시망을 피하는 데 효과적이다. 2012년에 영어를 모국어로 하는 해커가 제작한 것으로 예상된다. 카스퍼스키 랩은 슬링샷이 영국 정보통신본부가 벨기에의 통신사 벨가컴(Belgacom)을 감시할 때 사용한 레긴(Regin) 멀웨어와 비슷하기 때문에 이것이 정부 요원에 의해 만들어졌을 가능성이 높다고 전했다. 연구 결과 중동과 아프리카, 특히 케냐와 예멘에서 100건의 슬링샷 감염이 확인됐다. 회사는 슬링샷에 대한 서명 파일을 발행했으며 미크로틱은 슬링샷을 막는 새로운 코드를 배포했다. 미크로틱은 시스템 관리자들에게 가능한 빨리 펌웨어를 업데이트하고 가능하면 버너 PC를 사용할 것을 권고했다.