NSHC(대표 허영일) Red Alert팀에서 ‘Gh0st RAT’ 악성코드에 대한 2차 분석 보고서를 발표했다.
 
Red Alert팀은 “Gh0st RAT는 2014년 초부터 탐지되던 악성코드다. 시간이 지남에 따라 악성코드 감염규모가 확장돼, 현재 69종의 악성코드가 배포되고 있다. 또한 C&C 서버의 규모도 국내 30건, 미국 5건, 중국 2건이 탐지돼 단일 악성코드에서 사용하는 C&C 서버 규모 중 가장 큰 것으로 확인됐다”며 “감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 반드시 필요하다”고 강조했다.

 
보고서에 따르면, Gh0st RAT 클라이언트로 감염시키기 위한 바이너리의 종류와 유포지가 다양하게 탐지되고 있으며, KISA 주민등록번호 클린 센터로 위장해 유포되는 정황까지 탐지됐다. 이에 따라 유포지 및 파일 다운로드 서버 정보가 공개됐고 유포지로 사용된 도메인은 지난해 10월에 탐지됐던 URL로, 국내 대형 포털사이트 URL과 유사하게 만들어 오타 발생시 파밍을 유도할 수 있는 상황이라고 설명했다.
 
악성코드 동작에 사용되는 유포지, 파일 서버, Gh0st 서버, 3차 C&C 서버는 국내와 미국, 중국의 서버를 이용하고 있는 것으로 전했다.
 
특정 서버의 경우, C&C 서버의 기능과 원격 관리목적으로 사용되는 것으로 확인, 원격 관리 서버의 경우 FTP, HTTP, RPC, SMB, IIS, MYSQL 서비스 등이 활성화돼 있다. 또 웹 서버를 이용한 원격 관리자 페이지가 존재한다고 분석했다.
 
Red Alert팀은 “국내 사용자들을 대상으로 한 공격으로 판단되며 중국어 언어 환경에서 제작된 점 등을 미루어 보면, 중국 내에서 조직적으로 공격이 이루어진 것으로 판단된다”며 “윈도 탐색기의 폴더옵션에서 보호된 운영체제 파일 숨기기’ 체크박스의 체크를 해제하고 ‘숨김 파일 및 폴더 표시’의 라이도 버튼을 클릭해 적용한 뒤 파일을 삭제해야 한다”고 권고했다.
 
보다 자세한 분석보고서는 Red Alert팀 페이스북 사이트에서 다운로드 가능하며 데일리시큐 자료실에서도 다운로드 가능하다.
 
-Red Alert팀: www.facebook.com/nshc.redalert/posts
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com