Home > 전체기사
사이버공격자들이 선호하는 악성코드와 공격 툴 4가지
  |  입력 : 2015-09-18 10:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
시스코 2015 중기 보안 보고서 분석해보니...4가지 공격 두드러져_
공격자, 보안 시스템 회피 목적으로 공격 툴 개발과 기존 기술 재활용

 

[보안뉴스 김경애] 사이버공격자들이 교묘하게 네트워크에 침투하면서 각종 보안조치를 회피할 수 있는 기술 개발에 공을 들이고 있다. 2015년 상반기에 나타난 온라인 공격자의 주요 특징을 살펴보면 보안 방어 시스템을 피하기 위해 새로운 공격 툴과 전략을 개발하거나 기존 기술을 재활용하는 양상이 두드러지고 있다.

이에 본지는 시스코 2015 중기 보안 보고서를 통해 앵글러, 랜섬웨어,
마이크로소프트 오피스 매크로, 롬버틱 4가지의 주요 보안 위험성과 공격자들이 이를 어떻게 악용하는지 등 다양한 공격전략에 대해 살펴보고자 한다.

 ▲ 연도별 플래시 취약점 발생 건수


1. 플래시 취약점의 주요 악용도구, 앵글러(Angler)

먼저 올해 상반기에는 해킹팀 이슈 등의 영향으로 플래시 플레이어(Adobe Flash Player) 취약점이 급증한 것으로 나타났다. CVE(Common Vulnerabilities and Exposures)에 따르면 2006년 2개, 2007년 2개, 2008년 4개, 2009년 15개, 2010년 53개 2011년 56개, 2012년 57개, 2013년 55개, 2014년 41개, 2015년 1월부터 5월까지 62개로 급증한 것으로 집계됐다.


플래시 취약점을 악용한 익스플로잇 가운데서는 앵글러 익스플로잇 킷이 단연 1위로 꼽히고 있다. 앵글러의 경우 전반적인 정교함과 실효성 측면에서 매우 뛰어나 공격자들이 선호하기 때문이다.


이와 관련 시스코 측은 “앵글러 익스플로잇 킷이 새로운 방법으로 플래시, 자바, MS 인터넷 익스플로러, 실버라이트 취약성을 이용한다”며 “현재 활동 중인 것으로 확인된 익스플로잇 킷 중에서도 단연 경계순위 1위”라고 강조했다. 또한, 웹에서 앵글러 익스플로잇 킷을 통해 랜딩 페이지를 만난 사용자 중 평균 40%가 악성코드에 감염됐다고 밝혔다.


앵글러는 탐지 기술 회피도 뛰어나다. 도메인 섀도잉(Domain Shadowing)은 익스플로잇 킷 개발자들이 최근에 도입한 기술 중 하나로, 도메인 이름 등록자의 계정을 감염시킨 다음, 해당 사용자의 합법적인 도메인 아래 하위 도메인을 등록하는 방법이다. 특히, 사용자는 계정정보를 확인하지 않는 한 하위 도메인의 존재를 모르며, 하위 도메인은 악성 서버로 연결된다. 이는 규모가 크고 수명이 짧으며 차단이 쉽지 않다. 실제로 지난 2014년 12월부터 도메인 섀도잉 사용이 증가했으며, 익스플로잇 킷 개발자의 하위 도메인 활동 중 75% 이상이 앵글러에 의한 것으로 분석됐다.


2. 전략적으로 발전하는 랜섬웨어(Ransomware)

다음으로는 랜섬웨어 악성코드다. 랜섬웨어와 같은 크라임웨어(Crimeware)를 운영하는 조직에서는 탐지 기술을 계속 우회하면서 새로운 변종과 전술을 개발하고, 수익성 있는 공격 전술을 유지하기 위해 전문개발팀을 고용하고 자금을 지원한다.


랜섬웨어는 사용자의 파일을 암호화해 파일 값을 요구하는데, 요구금액은 대개 300~500달러 수준으로 공격자는 시장조사를 거쳐 금액을 요구한다. 이는 경찰에 신고하지 않을 정도로 요구금액이 아주 높지 않아야 하며, 수수료 정도로 책정해 공격자가 최대한 수익을 내려는 의도다.


랜섬웨어 관련 거래 대부분은 익명 네트워크인 토르(Tor)를 통해 진행된다. 토르는 사이버범죄에서 네트워크 통신을 숨기는데 이용된다. 시스코 연구진은 “랜섬웨어 변종에서 토르 트래픽을 생성한 사례를 발견했다”며 “기업의 보안담당자는 네트워크에 악성코드 트래픽이 존재하는지, 토르 트래픽이 합법적인지 여부를 판단해야한다”고 설명했다.


공격자는 애플리케이션끼리 가명으로 안전하게 메시지를 보낼 수 있는 컴퓨터 네트워크 레이어인 I2P 채널을 이용해 탐지위험을 낮추고 수익성을 높인다. 또한, 공격자는 개발팀을 꾸려 안티바이러스 업체의 업데이트 모니터링을 통해 전술을 바꿀 시점을 찾는다.


이와 관련 시스코 측은 “최근 온라인 게이머와 같은 특정 사용자 집단을 노리는 맞춤형 캠페인을 다수 발견했다”며 “일부 랜섬웨어 개발자는 아이슬란드어와 같이 흔치 않은 언어로 변종을 개발했다”고 밝혔다.


사용자는 몸값을 내고 파일을 해독한 후에도 시스템이 위험한 상태일 수 있음을 인지해야 하며, 거의 모든 랜섬웨어는 멀티 벡터라는 게 시스코 측의 설명이다. 이는 다른 악성코드에 의해 배포됐을 가능성이 있으며, 최초 감염 벡터가 제거되어야 시스템의 안전이 보장될 수 있다는 얘기다.


3. 악성코드 전달수단, MS 오피스 매크로
세 번재는 악성코드 전달수단으로 악요용되는 MS 오피스 매크로다. 공격자들은 매크로에 기존 툴 또는 위협요소를 부활시켜 재사용하거나 신속하게 위협을 변형시켜 공격하고, 탐지기술을 우회한다. 최근에는 사회공학적 수법을 통해 매크로를 활성화하도록 유도하고 있다.


일례로 드라이덱스(Dridex) 트로이 목마가 송장 또는 기타 중요한 문서로 가장해 이메일 첨부 형태로 특정 수신자에게 전달된 정황이 포착되는가 하면, 합법적인 것으로 보이는 메시지와 워드 문서가 이메일에 포함되어 특정 계정과 송장번호를 언급하면서 첨부문서를 송장으로 가장한 정황이 탐지됐다.


이와 관련 시스코 측은 “일부 캠페인에서는 사용자에게 매크로를 활성화할 방법을 알려주는 안내가 포함되어 있었다”며 “매크로가 활성화되면 드라이덱스에서 피해자의 은행 계좌 로그인 정보 및 비밀번호 유출을 시도할 수 있게 된다”고 밝혔다.


특히, 드라이덱스 페이로드를 유포하는 스팸 캠페인의 수명이 매우 짧고 탐지를 피하고자 자주 변이된다는 사실을 발견했다. 또한, 캠페인의 악성행위가 탐지될 무렵 이미 공격자는 이메일 내용, 첨부파일 등을 바꾼 상태가 되어 안티바이러스 솔루션이 단명성 스팸 켐페인을 탐지하는 데는 적합하지 않다는 게 시스코 측의 설명이다.


이처럼 스팸, 마이크로오피스 매크로, 드라이덱스를 결합한 이 방식이 2015년 상반기에 사이버범죄자들에게 각광받았다.


4. 데이터 탈취 및 파괴용 악성코드 롬버틱

마지막으로 데이터를 탈취하고 파괴하는 기능을 갖춘 악성코드인 롬버틱이다. 롬버틱은 바이너리 조작 시도를 탐지하고, 호스트 컴퓨터의 MBR(Master Boot Record)을 파괴하는 기능이 있다. 또한, 스팸 및 피싱 메시지를 통해 사용자 시스템에 침투하는데, 이를 위해 사회공학적 수법으로 수신자를 속여 악성코드가 포함된 첨부파일을 다운로드하고 압축을 풀게 만든다.


롬버틱의 목적은 사용자의 웹 브라우저에 침투한 다음, 공격자가 제어하는 서버로 중요 사용자 정보를 유출하기 위한 것이다.


이와 관련 시스코 측은 “롬버틱에서 주목할 점은 더욱 발전된 분석 우회 기술은 물론 실행중인 시스템의 운영 체제 소프트웨어를 손상시키는 기능이 있다는 것”이라며 “앞으로 이러한 악성코드와 맞서야 하는 보안기술은 더욱 힘든 상황에 처하게 될 것”이라고 밝혔다. 또한, 다른 악성코드 개발자이 롬버틱 전술을 부가할 경우 그 파괴력을 더욱 증강시킬 수도 있다고 덧붙였다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제