Home > 전체기사
해킹팀의 RCS 바탕으로 한 새로운 백도어 등장
  |  입력 : 2018-06-05 11:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이탈리아의 감시 툴 제조 업체가 판매하던 툴의 소스코드 일부 존재
백도어 설치된 이후에는 암호화폐 채굴하거나 랜섬웨어 공격하거나


[보안뉴스 문가용 기자] 아이언(Iron)이라는 이름의 사이버 범죄 일당이 새로운 백도어를 하나 만들었는데, 이는 RCS를 바탕으로 한 것으로 보인다. RCS는 원격 통제 시스템(Remote Control System)의 준말로, 이탈리아의 해킹팀(HackingTeam)이라는 업체가 여러 정부 기관들을 대상으로 판매하던 감시 제품이다. 몇 년 전 해킹팀이 해킹을 당하면서 RCS의 소스코드가 유출된 바 있다.

[이미지 = iclickart]


아이언 그룹은 아이언 랜섬웨어(Iron Ransomware)를 만든 것으로 유명한 공격 단체며, 약 18개월 정도 활동해온 것으로 알려져 있다. 그 18개월 동안 아이언 그룹은 다양한 멀웨어 패밀리들을 만들었는데, 여기에는 백도어, 암호화폐 채굴코드, 랜섬웨어 등이 포함된다. 윈도우, 리눅스, 안드로이드 기기들을 노린 것이 대부분이며, 수천~수만 명이 피해를 본 것으로 추정된다.

그런 아이언 그룹이 이번 4월부터 새로운 백도어를 들고 등장했다. VM프로텍트(VMProtect)로 보호되어 있고, UPX로 압축된 인스톨러로 구성되어 있다. 설치를 시작하면 제일 먼저 인스톨러는 ‘가상 기기 환경’ 여부를 확인한다. 그런 후 악성 크롬 확장 프로그램을 드롭시켜 설치를 시작한다. 동시에 작업 예약을 걸고, 자신의 인스턴스가 하나만 운영되도록 뮤텍스(mutex)를 생성한다. 그리고는 백도어를 Temp 폴더에 드롭시키고 OS 버전을 확인한 후 알맞은 백도어를 실행시킨다.

이 멀웨어는 보안 업체 치후360(Qihoo360)에서 만든 제품들이 설치되어 있는지도 확인한다. 그리고 하나도 없을 때만 위와 같은 일들을 시작한다. 가짜 인증서도 설치해 백도어 바이너리를 최고 인증기관인 것처럼 서명한다. 그러고 나서는 백도어로 연결되는 서비스를 하나 생성한다.

특이한 것은 이러한 백도어의 코드 일부가 RCS의 소스코드를 그대로 따온 것으로 보인다는 점이다. 특히 두 가지 주요 함수인 아이언스틸러(IronStealer)와 아이언 랜섬웨어 패밀리들에서 유사점이 드러난다고 한다. 예를 들어 해킹팀에서 만든 솔져(Soldier)라는 임플란트는 쿡쿠 샌드박스(Cuckoo Sandbox)와 VM웨어 제품들, 오라클의 버추얼박스(VirtualBox)를 겨냥한 가상 기기 보호 코드인데, 이 기능이 그대로 심겨져 있다. 또한 다이내믹콜(DynamicCall)이라는 모듈이 있는데, 이 역시 해킹팀의 라이브러리에서 나온 것이다.

위에서 언급된 크롬 확장 프로그램의 경우, 애드블록 플러스(Adblock Plus)의 패치 버전인데, 브라우저용 암호화폐 채굴코드 모듈을 삽입한다. 이 코드는 크립토노터(CryptoNoter)를 기반으로 하고 있다. 뿐만 아니라 브라우저 내 지불 과정을 하이재킹하는 모듈도 발견된다.

이 확장 프로그램은 배경에서 계속해서 돌아간다. 그러면서 크롬이 실행되고 있는지 1분에 한 번씩 확인하고, 크롬이 실행되지 않고 있으면 사용자 몰래 실행시키기도 한다. 그런 후 채굴을 실시한다. 크롬만이 아니라 인터넷 익스플로러를 위한 애드블록 플러스도 엠베드 된다. 크롬용 확장 프로그램과 유사하다. 다만 공격자의 개입 없이, 자동으로 설치되거나 돌아가지는 않는다고 한다.

키후360에서 만든 세이프가드(Safe Guard)나 인터넷 시큐리티(Internet Security)가 시스템 내에서 발견되면 멀웨어는 딱 한 번만 실행된다.

아이언 그룹의 새로운 백도어는 셸코드를 복호화시켜 코발트 스트라이크(Cobalt Strike)라는 멀웨어를 로드하고, 하드코드 된 페이스트빈(Pastebin) 주소로부터 페이로드를 가져오기도 한다. 총 두 가지 페이로드가 드롭되는데, 하나의 이름은 엑스에이전트(Xagent)다. 제이보스마이너(JbossMiner)의 변종이라고 하며, 또 다른 페이로드는 아이언 랜섬웨어다.

보다 최근에 발견된 백도어는 에브리씽(Everything)이라는 검색 유틸리티를 드롭시켜 설치하기도 한다. 이 툴을 활용해 암호화폐 지갑과 관련된 파일을 찾아내려는 것으로 보인다. 약 20가지 종류의 지갑을 찾아낼 수 있다고 한다. 비트코인, 모네로, 이더리움 등이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)