세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 외신
고전적인 RLO 공격 가능케 하는 취약점, 텔레그램서 발견
  |  입력 : 2018-02-14 17:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
러시아 공격자들, 이미 수개월간 익스플로잇 해
채굴 코드 심기 위해 활용되는 경우 가장 많아


[보안뉴스 문가용 기자] 유명 메신저인 텔레그램(Telegram)의 윈도우 클라이언트에서 취약점이 발견되었다. 하지만 이미 악성 공격에 수개월 활용된 것으로 알려졌다. 그것도 고전적인 RLO(Right-to-Left Override) 공격의 통로가 되었다고 한다.

[이미지 = iclickart]


텔레그램 메신저 윈도우 클라이언트를 통해 파일을 보낼 경우 U+202E로 분류되는 RLO 확장자들을 활용해 글자의 순서를 바꿈으로써 눈을 속이는 기법이다. 이러한 공격법을 통해 실행파일 등의 이름이나 확장자를 속일 수 있게 된다. 이러한 취약점을 익스플로잇하는 파일은 확장자나 이름이 불완전하다든가 거꾸로 작성되어 있는 경우가 많다.

예를 들어 photo_high_re*U+202E*gnp.js라는 파일이 있다면, 텔레그램 상에서 이 파일은 gnp.js를 거꾸로 한, sj.png 파일로 나타난다는 것이다. 즉 무심코 보면 일반적인 png 파일로 나타나게 된다. 카스퍼스키에 의하면 이러한 약점을 알아차린 공격자들이 수개월 동안 메신저를 통해 멀웨어를 배포했다고 한다.

카스퍼스키가 이러한 공격 현상을 처음 알아차린 건 2017년 10월의 일이다. 수사를 진행한 결과 범죄자들 사이에서는 이 취약점이 이미 알려져 있었고, 최소 2017년 3월부터 활용해온 것으로 나타났다. 이런 공격을 통해 시스템 통제권을 완전히 빼앗긴 피해자도 있었고, 중요한 정보가 탈취된 사람도 있었다.

보통 이러한 종류의 공격은 ‘다운로더’ 파일이 표적으로 전송되는 것부터 시작된다. 이 다운로더는 시스템에 자리만 잡은 채 명령 서버로부터 연락을 기다린다. 이 다운로더를 통해 공격자는 백도어를 심을 수도 있고, 로거를 심을 수도 있고, 심지어 파괴형 멀웨어를 심을 수도 있다. 카스퍼스키는 “요즘 범죄자들 사이에서 유행하는 채굴 코드가 심긴 경우가 가장 많다”고 말한다.

“저희가 본 바로는 BAT 파일을 실행하도록 되어 있는 스크립트가 숨겨진 SFX 아카이브 파일로부터 공격이 시작됩니다. 이 SFX 아카이브 파일은 실행파일인 것처럼 위장되어 있고요. 사용자가 실행하는 순간 가짜 파일이 먼저 열립니다. 그 뒤에선 두 개의 채굴 코드가 실행되고요. 이 때 nssm.exe라는 유틸리티가 활용됩니다.”

두 개의 채굴 코드 중 하나는 nheq.exe라는 툴인 것으로 밝혀졌다. 지캐시(Zcash)를 채굴하는 툴이다. 다른 하나는 taskmgn.exe로 크립토나이트(CryptoNight)라는 알고리즘을 기본으로 하고 있으며, 팬톰코인(Fantomcoin)과 모네로(Monero)를 채굴한다.

BAT 스크립트에 추가 기능이 심긴 경우도 관찰됐다. “윈도우의 보안 기능을 해제시키는 기능이었습니다. 보안 기능을 무력화시킨 후에 악성 페이로드를 추가로 다운로드 받는 역할을 하고 있더군요. 이 경우도 역시 채굴 코드가 심겨 있었습니다.”

카스퍼스키는 한 공격자들의 악성 FTP 서버를 추적하는 데에 성공하기도 했다. “그 FTP에는 텔레그램 연락처 정보들이 저장되어 있었습니다. 공격 당한 피해자들로부터 훔친 것들이었죠. 가장 오래된 파일이 2017년 3월에 저장된 것이었습니다. 또한 개인의 통신 내용이 담긴 캐시 파일도 있었습니다. 누군가를 염탐하는 데에도 이 취약점이 활용된 것이지요.”

VB스크립트가 실행된 경우도 있었다. 역시 가짜 이미지 파일이 열려 사용자의 눈을 가리고, 뒤에서 악성 페이로드를 실행시키는 기능을 했다.

카스퍼스키는 “러시아의 사이버 범죄자들만 알고 있던 취약점으로 보인다”고 말한다. “모든 공격이 러시아어로 진행됐거든요. 그 외 수사를 진행하는 동안 우리가 찾아냈던 많은 증거들이 러시아의 사이버 범죄 조직들과 관련된 것들이었습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
오는 7월부터 근로시간이 주 52시간으로 단축되는 조치가 점차적으로 시행됩니다. 이번 조치가 보안종사자들과 보안업계에 미칠 영향은?
보안인력 확충과 워라벨 문화 확산으로 업계 근로여건 개선
보안인력 부족, 인건비 부담 상승으로 업계 전체 경쟁력 약화
기타(댓글로)