Home > 전체기사
벌써 세 번째! 2013년부터 활동한 레이튼트봇 발견
  |  입력 : 2015-12-14 14:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2013년 중반부터 9개국에서 활동한 멀웨어
여러 단계 거쳐 감염, 실제 악성 코드는 메모리에만 있어


[보안뉴스 문가용] 발견하기 힘들어 장기간 네트워크 혹은 공공 인터넷 상에 잠복해온 멀웨어가 최근 들어 잇따라 발견되고 있다. 이번에 발견된 멀웨어는 레이튼트봇(Latentbot)이라는 것으로 2013년 중반부터 미국, 영국, 브라질, UAE, 캐나다 등을 비롯한 9개 국가에서 활동한 것으로 알려졌다.

▲ 이 정도면 숨기의 달인


약 3년 동안 레이튼트봇은 거의 한 번도 모습을 드러낸 적이 없으며 흔적도 남기지 않았다. 인터넷에서 전혀 그 존재감이 드러난 적이 없었다고 파이어아이(FireEye)는 경보를 발령했다. 파이어아이에 의하면 레이튼트봇은 시스템의 통제권을 완전히 가져갈 수 있으며, 데이터를 훔치고 피해자를 감시하는 행위도 할 수 있다. 또한 하드디스크를 완전히 오염시켜 아예 시스템 사용을 불가능하게 만들 수도 있다.

그러나 무엇보다 관심을 끄는 건 앞서도 언급한 완벽한 스텔스 기능이다. 레이튼트봇은 여러 겹으로 난독화를 사용해 추적이 완전히 불가능하게 만들었다고 한다. 일단 이 멀웨어는 최초로 시스템을 감염시킬 때 악성 워드 파일(1)이 첨부된 이메일을 표적에게 보낸다. 표적이 이 파일을 열면 파일이 실행되는데, 이는 공격자의 서버로부터 두 번째 멀웨어 다운로드를 시작한다.

이 두 번째 멀웨어를 파이어아이 측은 루미노시티링크(LuminosityLink)(2)라고 밝혔다. 루미노시티링크란 이전부터 정보 및 암호, 키스트로크 정보의 탈취용으로 사용된 원격 트로이 목마 중 하나다. 사실 루미노시티링크 하나만 가지고도 표적 시스템의 통제권을 완전히 거머쥐는 게 가능하다.

그런데 이때 루미노시티링크만이 흘러들어가는 게 아니다. 이때 .NET 바이너리로 위장한 레이튼트봇(3)도 함께 표적 시스템에 스민다. 이 단계의 레이튼트봇에는 시스템 메모리에 악성 코드를 주입하는 페이로드(4)를 포함한다. 그리고 다섯 번째와 여섯 번째 페이로드를 C&C 서버로부터 전송받게 된다. 이 모든 과정 동안 페이로드들에는 난독화가 잘 적용되어 있다.

파이어아이의 수석 멀웨어 전문가인 다니엘 레갈라도(Daniel Regalado)는 레이튼트봇을 ‘다양한 기능을 가진 악성 앱’이라고 설명한다. “실제 ‘악성’인 코드는 메모리에만 잠깐 남아있다가 사라집니다. 그래서 그 핵심 기능은 잡아내는 게 매우 어렵죠. 게다가 부가적인 다른 기능들은 전부 난독화가 적용되어 있고, 여러 단계를 거쳐서 시스템을 장악하기 때문에 어지간해선 눈에 띄지 않습니다. 결국 이를 분석하려면 메모리부터 C&C 서버까지 완벽하게 추적을 해야 합니다.”

그러나 추적이란 게 말처럼 쉽지는 않다. 메모리에서 스트링을 복호화시켜도 금방 사라지기 때문이다. 콜백 트래픽, API, 레지스트리 키 등 침입을 가리키는 요소들이 다이내믹하게 복호화되기도 해서 알아보는 건 더욱 힘들어진다. 게다가 레이튼트봇은 마스터 부트 기록을 지우는 기능도 가지고 있다. 평범한 멀웨어에서는 발견하기가 힘든 기능이라고 전문가들은 말한다.

레이튼트봇에는 독특한 기능이 하나 더 있는데, 메모리 내에 숨겨진 가상 네트워크 컴퓨팅(VNC) 프로세스를 사용해 공격자들이 원격에서 피해자를 감시할 수 있도록 하는 것이다. 또한 멀웨어가 모듈화 되어 있기 때문에 공격자들은 갖가지 기능을 상황에 맞게 조절할 수 있기도 하다.

“그래서 과연 이 멀웨어가 하는 역할이 정확이 무엇인지 파악하려면 여러 층의 난독화 장치를 거쳐 C&C 서버와의 통신을 실시간으로 잡아내야 합니다. 그래서 어떤 모듈이 다운로드되고 있는지를 알아내면 많은 힌트가 됩니다. 만약 레이튼트봇을 발견했는데 C&C와의 통신이 없다면, 대부분의 경우 빈 깡통과 같은 멀웨어의 껍질만 발견한 것처럼 보일 겁니다. 통신 없는 레이튼트봇은 정말 아무 것도 보여주지 않습니다.”

레이튼트봇은 2013년 온라인 샌드박스를 통해 샘플이 공개된 이후 ‘인터넷의 유령’으로 불려왔다. “샘플이 발견되었지만 아무도 어떤 식으로 작동하는지는 이해할 수 없었거든요.”

한편 레이튼트봇은 최근 벌써 세 번째로 발견된 장기간 잠복 멀웨어다.


Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)