사이버공격자들이 선호하는 악성코드와 공격 툴 4가지 보안

[보안뉴스 김경애] 사이버공격자들이 교묘하게 네트워크에 침투하면서 각종 보안조치를 회피할 수 있는 기술 개발에 공을 들이고 있다. 2015년 상반기에 나타난 온라인 공격자의 주요 특징을 살펴보면 보안 방어 시스템을 피하기 위해 새로운 공격 툴과 전략을 개발하거나 기존 기술을 재활용하는 양상이 두드러지고 있다.

이에 본지는 시스코 2015 중기 보안 보고서를 통해 앵글러, 랜섬웨어,
마이크로소프트 오피스 매크로, 롬버틱 4가지의 주요 보안 위험성과 공격자들이 이를 어떻게 악용하는지 등 다양한 공격전략에 대해 살펴보고자 한다.

▲ 연도별 플래시 취약점 발생 건수


1. 플래시 취약점의 주요 악용도구, 앵글러(Angler)

먼저 올해 상반기에는 해킹팀 이슈 등의 영향으로 플래시 플레이어(Adobe Flash Player) 취약점이 급증한 것으로 나타났다. CVE(Common Vulnerabilities and Exposures)에 따르면 2006년 2개, 2007년 2개, 2008년 4개, 2009년 15개, 2010년 53개 2011년 56개, 2012년 57개, 2013년 55개, 2014년 41개, 2015년 1월부터 5월까지 62개로 급증한 것으로 집계됐다.


플래시 취약점을 악용한 익스플로잇 가운데서는 앵글러 익스플로잇 킷이 단연 1위로 꼽히고 있다. 앵글러의 경우 전반적인 정교함과 실효성 측면에서 매우 뛰어나 공격자들이 선호하기 때문이다.


이와 관련 시스코 측은 “앵글러 익스플로잇 킷이 새로운 방법으로 플래시, 자바, MS 인터넷 익스플로러, 실버라이트 취약성을 이용한다”며 “현재 활동 중인 것으로 확인된 익스플로잇 킷 중에서도 단연 경계순위 1위”라고 강조했다. 또한, 웹에서 앵글러 익스플로잇 킷을 통해 랜딩 페이지를 만난 사용자 중 평균 40%가 악성코드에 감염됐다고 밝혔다.


앵글러는 탐지 기술 회피도 뛰어나다. 도메인 섀도잉(Domain Shadowing)은 익스플로잇 킷 개발자들이 최근에 도입한 기술 중 하나로, 도메인 이름 등록자의 계정을 감염시킨 다음, 해당 사용자의 합법적인 도메인 아래 하위 도메인을 등록하는 방법이다. 특히, 사용자는 계정정보를 확인하지 않는 한 하위 도메인의 존재를 모르며, 하위 도메인은 악성 서버로 연결된다. 이는 규모가 크고 수명이 짧으며 차단이 쉽지 않다. 실제로 지난 2014년 12월부터 도메인 섀도잉 사용이 증가했으며, 익스플로잇 킷 개발자의 하위 도메인 활동 중 75% 이상이 앵글러에 의한 것으로 분석됐다.


2. 전략적으로 발전하는 랜섬웨어(Ransomware)

다음으로는 랜섬웨어 악성코드다. 랜섬웨어와 같은 크라임웨어(Crimeware)를 운영하는 조직에서는 탐지 기술을 계속 우회하면서 새로운 변종과 전술을 개발하고, 수익성 있는 공격 전술을 유지하기 위해 전문개발팀을 고용하고 자금을 지원한다.


랜섬웨어는 사용자의 파일을 암호화해 파일 값을 요구하는데, 요구금액은 대개 300~500달러 수준으로 공격자는 시장조사를 거쳐 금액을 요구한다. 이는 경찰에 신고하지 않을 정도로 요구금액이 아주 높지 않아야 하며, 수수료 정도로 책정해 공격자가 최대한 수익을 내려는 의도다.


랜섬웨어 관련 거래 대부분은 익명 네트워크인 토르(Tor)를 통해 진행된다. 토르는 사이버범죄에서 네트워크 통신을 숨기는데 이용된다. 시스코 연구진은 “랜섬웨어 변종에서 토르 트래픽을 생성한 사례를 발견했다”며 “기업의 보안담당자는 네트워크에 악성코드 트래픽이 존재하는지, 토르 트래픽이 합법적인지 여부를 판단해야한다”고 설명했다.


공격자는 애플리케이션끼리 가명으로 안전하게 메시지를 보낼 수 있는 컴퓨터 네트워크 레이어인 I2P 채널을 이용해 탐지위험을 낮추고 수익성을 높인다. 또한, 공격자는 개발팀을 꾸려 안티바이러스 업체의 업데이트 모니터링을 통해 전술을 바꿀 시점을 찾는다.


이와 관련 시스코 측은 “최근 온라인 게이머와 같은 특정 사용자 집단을 노리는 맞춤형 캠페인을 다수 발견했다”며 “일부 랜섬웨어 개발자는 아이슬란드어와 같이 흔치 않은 언어로 변종을 개발했다”고 밝혔다.


사용자는 몸값을 내고 파일을 해독한 후에도 시스템이 위험한 상태일 수 있음을 인지해야 하며, 거의 모든 랜섬웨어는 멀티 벡터라는 게 시스코 측의 설명이다. 이는 다른 악성코드에 의해 배포됐을 가능성이 있으며, 최초 감염 벡터가 제거되어야 시스템의 안전이 보장될 수 있다는 얘기다.


3. 악성코드 전달수단, MS 오피스 매크로
세 번재는 악성코드 전달수단으로 악요용되는 MS 오피스 매크로다. 공격자들은 매크로에 기존 툴 또는 위협요소를 부활시켜 재사용하거나 신속하게 위협을 변형시켜 공격하고, 탐지기술을 우회한다. 최근에는 사회공학적 수법을 통해 매크로를 활성화하도록 유도하고 있다.


일례로 드라이덱스(Dridex) 트로이 목마가 송장 또는 기타 중요한 문서로 가장해 이메일 첨부 형태로 특정 수신자에게 전달된 정황이 포착되는가 하면, 합법적인 것으로 보이는 메시지와 워드 문서가 이메일에 포함되어 특정 계정과 송장번호를 언급하면서 첨부문서를 송장으로 가장한 정황이 탐지됐다.


이와 관련 시스코 측은 “일부 캠페인에서는 사용자에게 매크로를 활성화할 방법을 알려주는 안내가 포함되어 있었다”며 “매크로가 활성화되면 드라이덱스에서 피해자의 은행 계좌 로그인 정보 및 비밀번호 유출을 시도할 수 있게 된다”고 밝혔다.


특히, 드라이덱스 페이로드를 유포하는 스팸 캠페인의 수명이 매우 짧고 탐지를 피하고자 자주 변이된다는 사실을 발견했다. 또한, 캠페인의 악성행위가 탐지될 무렵 이미 공격자는 이메일 내용, 첨부파일 등을 바꾼 상태가 되어 안티바이러스 솔루션이 단명성 스팸 켐페인을 탐지하는 데는 적합하지 않다는 게 시스코 측의 설명이다.


이처럼 스팸, 마이크로오피스 매크로, 드라이덱스를 결합한 이 방식이 2015년 상반기에 사이버범죄자들에게 각광받았다.


4. 데이터 탈취 및 파괴용 악성코드 롬버틱

마지막으로 데이터를 탈취하고 파괴하는 기능을 갖춘 악성코드인 롬버틱이다. 롬버틱은 바이너리 조작 시도를 탐지하고, 호스트 컴퓨터의 MBR(Master Boot Record)을 파괴하는 기능이 있다. 또한, 스팸 및 피싱 메시지를 통해 사용자 시스템에 침투하는데, 이를 위해 사회공학적 수법으로 수신자를 속여 악성코드가 포함된 첨부파일을 다운로드하고 압축을 풀게 만든다.


롬버틱의 목적은 사용자의 웹 브라우저에 침투한 다음, 공격자가 제어하는 서버로 중요 사용자 정보를 유출하기 위한 것이다.


이와 관련 시스코 측은 “롬버틱에서 주목할 점은 더욱 발전된 분석 우회 기술은 물론 실행중인 시스템의 운영 체제 소프트웨어를 손상시키는 기능이 있다는 것”이라며 “앞으로 이러한 악성코드와 맞서야 하는 보안기술은 더욱 힘든 상황에 처하게 될 것”이라고 밝혔다. 또한, 다른 악성코드 개발자이 롬버틱 전술을 부가할 경우 그 파괴력을 더욱 증강시킬 수도 있다고 덧붙였다.

원문 : http://www.boannews.com/media/view.asp?idx=47884