Home > 전체기사
소니 픽처스 괴롭혔던 파괴형 멀웨어 드디어 공개
  |  입력 : 2015-02-25 09:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

크라우드스트라이크, 대중을 대상으로 한 데모 영상 공개

멀웨어 자체를 감지하는 노력 보다 사용자의 행동분석이 더 유효


[보안뉴스 문가용] 크라우드스트라이크는 최근 소니 픽처스 사태 때 발견된 파괴형 멀웨어 혹은 와이퍼(wiper) 멀웨어의 기능을 웹 사이트를 통해 대중에게 선보이기 시작했다. 어떻게 피해자 시스템에 침투하는지부터 퍼져가는 과정, 또 이를 어떻게 막는지도 공개했다. 물론 크라우드스트라이크가 개발한 팔콘(Falcon) 제품을 홍보하려는 목적이 없지는 않으나, 소문 무성했던 와이퍼 멀웨어가 움직이는 걸 직접 볼 수 있다는 점에서 한번쯤 살펴볼만 하다.

 


이 와이퍼 멀웨어가 가진 독특한 점들 중 하나는 소니의 파일 서버의 이름들이 똑같이 하드코드되어 있다는 것이다. 그렇기 때문에 이 시범을 위해 크라우드스트라이크 측에서는 소니의 서버 환경과 이름이 똑같은 네트워크 환경을 별도로 구성해야 했다. 또한 와이퍼 멀웨어 자체도 살짝 수정했는데, 예를 들어 잠자기(sleep) 명령을 지워서 시범 운영 중에 갑자기 멀웨어가 잠드는 일을 방지하기 위함이었다. 그런데 이런 사소한 수정 때문에 멀웨어가 감지툴 우회력이 더 높아지는 예상 외의 결과가 발생하기도 했다.


물론 실제 소니를 공격한 해커들이 어떻게 처음 네트워크에 침투했는지는 아직도 알려진 바가 없다. 이번 시범을 위해서 크라우드스트라이크는 SQL 인젝션 기법으로 차이나초퍼(ChinaChopper)라고 하는 7자짜리 소형 웹쉘을 주입했다. 최초 침투 경로는 오리무중이라고 하지만 그 단계가 지나고 나서 이 멀웨어가 취한 행동은 관리자 로그인 정보를 찾아내서 높은 권한을 보유하는 것이었다.


그러나 이렇게 하려면 소형 웹쉘로는 부족했다. 해커는 그래서 추가로 멀웨어를 업로드했다. 업로드 장소는 최초로 해킹을 당한 사용자가 사용권한을 가지고 있는 아무 폴더면 되었다. 이 멀웨어에는 미미캐츠(Mimikatz)라는 로그인 정보 훔치는 프로그램이 포함되어 있었다. 미미캐츠는 로그인 정보를 죄다 긁어모으는데, 여기에는 당연히 관리자급 권한을 가진 로그인 정보도 딸려 들어오게 되어 있다. 이렇게 뒷문으로 들어오는 방법을 취하기 때문에 제 아무리 복잡한 암호라도 전혀 해커들의 움직임을 어렵게 만들거나 늦추지 못했다. 암호가 복잡한 건 브루트포스 방식의 공격에만 유효한 방어법이라는 게 드러나는 지점이다.


그래서 크라우드스트라이크의 연구원들은 암호를 복잡하게 설정하는 데에 노력을 기울이기보다 권한 설정 혹은 권한 변경 방법을 까다롭게 만들어야 한다고 주장한다. 관리자급 로그인 정보의 탈취 과정을 어렵게만 해도 해커들의 계획을 상당히 꼬아놓을 수 있다는 것이다. 게다가 로그인 정보가 통상 네트워크 내에서 여러 군데에 저장되어 있기 때문에 해커들로서는 한 군데에 저장되어 있는 경우보다 찾기가 더 쉽다는 점도 지적하고 있다.


크라우드스트라이크가 이렇게 멀웨어를 실험환경에 침투시켰을 때 팔콘(Falcon)이라는 자사 제품으로 감지하는 게 가능했다. 팔콘은 멀웨어 자체가 아니라 로그인 된 사용자의 수상한 행동을 감지해 실시간으로 보고서를 발송했다. 두 번째 시도 역시 마찬가지였다. 팔콘은 ‘행동분석’을 통해 멀웨어를 감지했는데, 이는 요즘 해커들 사이에서 멀웨어에 의존하는 정도가 줄어들고 대신 합법적인 사용자의 로그인 정보를 훔침으로써 합법적인 권한을 손에 쥐고 합법적인 사용자인 척 나쁜 짓을 하는 방식이 유행이기 때문에 더욱 감지 확률이 높다는 것이 크라우드스트라이크의 설명이다.


한편 이렇게 로그인 정보를 확보한 해커들은 파일 공유 기능을 통해 정보를 빼돌리는 게 가능해지고, 실제 정보를 빼냈다. 필요한 정보를 다 뺀 이후에는 와이퍼 멀웨어가 제 기능을 발휘하기 시작한다. 자가 복제를 해서 네트워크 구석구석까지 장악한 후 모든 것을 파괴시키는 바로 그 기능 말이다. 심지어 마스터 부트 기록까지도 살아남지 못한다. 그런 후 와이퍼 멀웨어는 빨간 해골 이미지에 배경에는 기관총 소리가 계속해서 재생되는 경고 페이지를 호스팅하는 웹 서버를 시작했다. 그래서 사용자가 브라우저를 켜려고만 하면 이 경고 페이지만 계속해서 나온다.


와이퍼 멀웨어의 또 다른 특징은 어떤 하드웨어에 침투하던지 두 시간이 지나면 리부팅을 강제했다는 점이다. 그리고 리부팅을 시작하면 검은 화면에 ‘운영체제를 찾을 수 없습니다’라는 메시지가 뜨기 마련이었다. 모든 게 지워졌으니까. 그리고 사용자에게 있어 이 화면보다 무서운 화면은 없다. 저 빨간 해골 이미지가 있는 페이지는 비교도 안 될 정도로.


크라우드스트라이크는 멀웨어가 시스템에 침투했을 때 나타나는 현상들에 주목해야지 멀웨어 자체를 잡으려고만 하면 발견이 더 어려워질 수 있다고 권고했다. 데모를 다시 보려면 여기를 클릭하면 된다(등록을 두 번 해야 한다).

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)