Home > 전체기사
요즘 공격자의 ‘Living off the Land’ 전략 사례, 세파
  |  입력 : 2019-02-22 11:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
크리덴셜 훔치는 대규모 캠페인 진행 중...세파 활용되고 있어
세파 멀웨어, 사실은 여러 개 정상 툴 남용하도록 만들어져


[보안뉴스 문가용 기자] 지난 몇 주 동안 크리덴셜을 훔치는 멀웨어인 세파(Separ)를 퍼트렸던 피싱 캠페인이 발견됐다. 이 공격으로 사기업 조직들 수백 곳이 피해를 입은 것으로 밝혀졌다. 사건은 대부분 동남아시아와 중동의 조직들 사이에서 벌어졌다.

[이미지 = iclickart]


세파 멀웨어는 시스템을 감염시킨 후 매일 데이터를 훔쳐 공격자의 서버로 업로드시킨다는 특징을 가지고 있다. 이를 찾아낸 보안 업체 딥 인스팅트(Deep Instinct)의 연구원 가이 프로퍼(Guy Propper)는 블로그 포스트를 통해 세파 멀웨어에 대해 알리며, “일부 북미 조직들도 피해를 입기 시작했다”고 밝혔다.

이 캠페인에서 피해자들은 주로 가짜 PDF 문서가 첨부된 피싱 이메일을 받는다. 이 PDF 파일은 사실 PDF 문서가 아니라 스스로 압축을 해제하는 아카이브로, 세파 페이로드를 실행시키는 데에 필요한 여러 개의 파일을 포함하고 있다.

프로퍼에 따르면 이 아카이브 안에는 다음과 같은 것들이 들어있다.
1) VB스크립트
2) 2개의 패치 스크립트
3) 4개의 실행파일

피싱 이메일 자체는 전형적이라, 가격이나 명세표, 배송 안내, 장비 사양 등의 정보를 담고 있는 것처럼 작성되어 있다. 해외 무역을 자주하거나 외국 시장에서 물건을 자주 사는 사람들이라면 속을 수 있다. 이에 메일을 열고 PDF 파일을 다운로드 받으면 시스템에서 아카이브가 저절로 해제된다.

해제 후 제일 먼저 VB스크립트가 작동하기 시작한다. 이 VB스크립트의 기능은 첫 번째 배치 스크립트를 호출하는 것으로, 발동하기 시작한 배치 스크립트는 디렉토리들을 생성하고 특정 파일들을 그 디렉토리들 안에 저장한다. 그런 후에 두 번째 배치 스크립트를 실행시킨다.

두 번째 배치 스크립트는 다양한 악성 행위들을 실시하는데, 그 중 가장 중요한 건 정상적인 이메일 및 브라우저 비밀번호 덤핑 툴을 실행한다는 것이다. 이는 시큐리티엑스플로디드(SecurityXploded)에서 만든 것으로, 공격자들은 이 툴을 남용해 사용자의 크리덴셜을 훔쳐낸다. 그 다음 세파는 정상적은 FTP 클라이언트인 ancp.exe를 실행해 훔쳐낸 정보를 정상 FTP 호스팅 서비스인 freehostia.com으로 업로드한다.

ancp.exe외에 최초 아카이브에 포함되어 있는 실행파일은 1) xcopy.exe, 2) attrib.exe, 3) sleep.exe다. 각각 악의적인 공격을 하는 데에 활용된다.

프로퍼는 “세파 캠페인은 현재 공격자들 사이에서 유행하고 있는 ‘자급자족식 공격(Living off the Land)’ 기법을 보여주는 한 사례”라고 설명한다. “악성 스크립트를 사용한 것 외에는 정상적인 툴들을 사용하죠. 피해자 시스템에 이미 탑재된 기능을 남용하는 부분도 있고요. 이렇게 정상적인 툴들을 공격에 사용하면 탐지가 정말 까다로워집니다. 그게 ‘자급자족식 공격’의 장점입니다.”

프로퍼는 공격자들이 사용하고 있는 FTP 서버에 몇 차례 접근했다고 한다. “갈 때마다 피해자들이 늘어나고 있다는 걸 눈으로 확인할 수 있었습니다. 공격이 아직도 실시간으로 진행되고 있다는 것이고, 성공률이 낮지 않다는 겁니다.” 또한 프로퍼는 “공격자들이 주로 노리는 정보는 ipconfig 명령을 실행했을 때의 결과와 이메일 및 브라우저용 비밀번호”라고 경고하기도 했다.

3줄 요약
1. 새로운 대규모 크리덴셜 탈취 캠페인 발견됨. 여기에 사용되는 멀웨어는 세파.
2. PDF 같이 보이는 아카이브 파일로 최초 공격 시작. 공격이 진행되는 과정 중에 사용되는 건 대부분 정상 툴들.
3. 공격자의 FTP 서버 들어가 보니 공격은 여전히 진행 중이고 성공률도 낮지 않음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향