Home > 전체기사
오래된 공격 인프라 이아이테스트, 함정 수사 당하다
  |  입력 : 2018-04-16 17:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2011년부터 익스플로잇 킷 활용해 감염 활동 벌였던 인프라
핵심 도메인 확보한 후 ‘함정’ 파놓고 트래픽 수집


[보안뉴스 문가용 기자] 보안 업체 프루프포인트(Proofpoint)가 어쩌면 가장 오래된 ‘감염의 고리’들을 무력화시켰다고 발표했다. 프루프포인트가 말하는 감염의 고리란 사용자들을 다양한 소셜 엔지니어링 기법을 통해 익스플로잇 킷으로 우회시키고 여러 악성 행위를 시도하는 걸 말한다.

[이미지 = iclickart]


프루프포인트의 분석 대상이 된 ‘감염의 고리’는 2011년부터 활성화된 것으로 이아이테스트(EITest)라고 불린다. 이 고리를 통해 공격자들은 랜섬웨어를 뿌리고, 정보 탈취기를 전파해왔다. 하루에 약 2백만 건의 트래픽을 우회시킨다고 알려져 있으나, 최근 프루프포인트가 brilliantit.com과 abuse.ch와 함께 협력하여 무력화시켰다.

2011년 이아이테스트는 사용자들을 글라주노프(Glazunov)라는 익스플로잇 킷으로 우회시켰다. 하지만 곧 주요 익스플로잇 킷을 앵글러(Angler)로 전환했는데, 처음 이 현상이 발견된 건 2014년 7월의 일이다. 이렇게 앵글러로 나타나기 전에는 6개월 간의 공백이 있었다. 2013년 11월부터 이아이테스트의 대대적인 공격 인프라 변화가 시작되었다는 것이 보안 업계의 분석이다.

아무튼 2014년 7월 다시 나타난 이아이테스트는 다양한 페이로드를 여기 저기에 뿌리기 시작했다. 이를 바탕으로 당시 보안 업계는 “공격 인프라 자체를 대여하는 사업을 하는 것 같다”고 분석했고, 이를 바탕으로 추적을 다시 시작했다. 그리고 그 결과 5~7만의 방문자들을 우회시키는 데에 천 명 당 20달러 정도를 받는 사업이 진행되고 있음을 확인했다. 결국 트래픽 한 블록 당 1000~1400 달러의 수익을 올리고 있었던 것이다.

그러더니 이아이테스트 공격자들은 소셜 엔지니어링 전략도 활용하기 시작했다. 이것이 최초로 발견된 건 2017년 1월 즈음이다. 첫 시작은 기술 지원 사기 기법이었고, 이를 통해 랜섬웨어를 주로 뿌려댔다. 그러다가 크롬 사용자들을 겨냥한 악성 캠페인도 진행하기 시작했다. 가짜 폰트 업데이트 알림을 통해 멀웨어를 전파하는 수법이었다. 앵글러 외에 리그V(RIG-V) 익스플로잇 킷을 활용하는 모습도 보였다.

이러한 이아이테스트를 추적해온 프루프포인트는 올해 3월 15일, 이 감염 고리를 일정 부분 무력화시키는 데 성공했다고 한다.

“C&C 도메인들이 여럿 있었는데, 그 중에는 핵심이 되는 도메인이 하나 있었어요. 바로 stat-dns.com이었습니다. 여러 도메인들이 다 이 도메인을 중심으로 생성되는 것이었죠. 이를 파악하고 나고, 해당 도메인을 확보하는 데 성공했습니다. 그리고 그 도메인에 새로운 IP 주소를 할당해 새로운 이아이테스트 C&C 도메인을 네 개 생성했습니다. 이 도메인들은 abuse.ch 싱크홀로 우회하도록 설정했고요.” 프루프포인트의 설명이다.

새로운 도메인들을 생성함으로써 프루프포인트는 악성 서버를 오히려 함정(싱크홀)으로 대체할 수 있게 되었다. 그러므로 침해된 웹사이트의 백도어에서 오는 트래픽을 프루프포인트가 받아낼 수 있게 된 것이다. 당연히 이 과정에서 사용자들에게 갈 악성 트래픽도 걸러질 수 있었다. 그렇다고 이아이테스트의 존재 자체가 사라진 건 아니었다. 아직도 추적 및 청소 작업은 계속되고 있다.

올해 3월 15일부터 4월 4일까지, 이 ‘함정’으로 약 5만 2천 개의 서버로부터 4천 4백만 건의 요청들이 들어왔다. 침해된 도메인들과 ITP 주소들, 그리고 이곳으로 들어온 사용자들에 관한 정보들이 함께 유입됐다. 이러한 자료들을 전부 목록화 한 프루프포인트는 국가 침해대응센터에 이를 넘겼다.

이 정보에 의하면 침해된 웹사이트들 대부분은 워드프레스라는 콘텐츠 관리 시스템을 기반으로 하고 있었다고 한다. 국가별로 보면 미국인들이 이아이테스트가 감염시킨 사이트에 가장 많이 접속했고, 그 다음은 우크라이나, 캐나다, 프랑스, 아일랜드 순이었다.

“이아이테스트는 현존하는 ‘감염 고리’ 중 가장 오래된 선배격 인프라입니다. 익스플로잇 킷과 조합해 악성 멀웨어를 퍼트리거나, 이 인프라 자체를 대여하는 악성 사업의 기반이 되고 있지요. 이러한 공격의 망을 역이용해 함정을 파고, 역으로 피해 상황을 분석한다는 건 공격자들을 이해하는 데 있어 큰 도움이 됩니다. 게다가 해커들은 서로를 활발하게 모방하거든요.”

그러나 이아이테스트 측에서도 자신들이 당했다는 사실을 간파한 듯 하다. 이러한 프루프포인트의 활동 후에 이아이테스트 C&C 프록시들은 전부 닫혔고, 공격자들은 움직임을 일절 중단했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향