Home > 전체기사
요즘 공격자의 ‘Living off the Land’ 전략 사례, 세파
  |  입력 : 2019-02-22 11:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
크리덴셜 훔치는 대규모 캠페인 진행 중...세파 활용되고 있어
세파 멀웨어, 사실은 여러 개 정상 툴 남용하도록 만들어져


[보안뉴스 문가용 기자] 지난 몇 주 동안 크리덴셜을 훔치는 멀웨어인 세파(Separ)를 퍼트렸던 피싱 캠페인이 발견됐다. 이 공격으로 사기업 조직들 수백 곳이 피해를 입은 것으로 밝혀졌다. 사건은 대부분 동남아시아와 중동의 조직들 사이에서 벌어졌다.

[이미지 = iclickart]


세파 멀웨어는 시스템을 감염시킨 후 매일 데이터를 훔쳐 공격자의 서버로 업로드시킨다는 특징을 가지고 있다. 이를 찾아낸 보안 업체 딥 인스팅트(Deep Instinct)의 연구원 가이 프로퍼(Guy Propper)는 블로그 포스트를 통해 세파 멀웨어에 대해 알리며, “일부 북미 조직들도 피해를 입기 시작했다”고 밝혔다.

이 캠페인에서 피해자들은 주로 가짜 PDF 문서가 첨부된 피싱 이메일을 받는다. 이 PDF 파일은 사실 PDF 문서가 아니라 스스로 압축을 해제하는 아카이브로, 세파 페이로드를 실행시키는 데에 필요한 여러 개의 파일을 포함하고 있다.

프로퍼에 따르면 이 아카이브 안에는 다음과 같은 것들이 들어있다.
1) VB스크립트
2) 2개의 패치 스크립트
3) 4개의 실행파일

피싱 이메일 자체는 전형적이라, 가격이나 명세표, 배송 안내, 장비 사양 등의 정보를 담고 있는 것처럼 작성되어 있다. 해외 무역을 자주하거나 외국 시장에서 물건을 자주 사는 사람들이라면 속을 수 있다. 이에 메일을 열고 PDF 파일을 다운로드 받으면 시스템에서 아카이브가 저절로 해제된다.

해제 후 제일 먼저 VB스크립트가 작동하기 시작한다. 이 VB스크립트의 기능은 첫 번째 배치 스크립트를 호출하는 것으로, 발동하기 시작한 배치 스크립트는 디렉토리들을 생성하고 특정 파일들을 그 디렉토리들 안에 저장한다. 그런 후에 두 번째 배치 스크립트를 실행시킨다.

두 번째 배치 스크립트는 다양한 악성 행위들을 실시하는데, 그 중 가장 중요한 건 정상적인 이메일 및 브라우저 비밀번호 덤핑 툴을 실행한다는 것이다. 이는 시큐리티엑스플로디드(SecurityXploded)에서 만든 것으로, 공격자들은 이 툴을 남용해 사용자의 크리덴셜을 훔쳐낸다. 그 다음 세파는 정상적은 FTP 클라이언트인 ancp.exe를 실행해 훔쳐낸 정보를 정상 FTP 호스팅 서비스인 freehostia.com으로 업로드한다.

ancp.exe외에 최초 아카이브에 포함되어 있는 실행파일은 1) xcopy.exe, 2) attrib.exe, 3) sleep.exe다. 각각 악의적인 공격을 하는 데에 활용된다.

프로퍼는 “세파 캠페인은 현재 공격자들 사이에서 유행하고 있는 ‘자급자족식 공격(Living off the Land)’ 기법을 보여주는 한 사례”라고 설명한다. “악성 스크립트를 사용한 것 외에는 정상적인 툴들을 사용하죠. 피해자 시스템에 이미 탑재된 기능을 남용하는 부분도 있고요. 이렇게 정상적인 툴들을 공격에 사용하면 탐지가 정말 까다로워집니다. 그게 ‘자급자족식 공격’의 장점입니다.”

프로퍼는 공격자들이 사용하고 있는 FTP 서버에 몇 차례 접근했다고 한다. “갈 때마다 피해자들이 늘어나고 있다는 걸 눈으로 확인할 수 있었습니다. 공격이 아직도 실시간으로 진행되고 있다는 것이고, 성공률이 낮지 않다는 겁니다.” 또한 프로퍼는 “공격자들이 주로 노리는 정보는 ipconfig 명령을 실행했을 때의 결과와 이메일 및 브라우저용 비밀번호”라고 경고하기도 했다.

3줄 요약
1. 새로운 대규모 크리덴셜 탈취 캠페인 발견됨. 여기에 사용되는 멀웨어는 세파.
2. PDF 같이 보이는 아카이브 파일로 최초 공격 시작. 공격이 진행되는 과정 중에 사용되는 건 대부분 정상 툴들.
3. 공격자의 FTP 서버 들어가 보니 공격은 여전히 진행 중이고 성공률도 낮지 않음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제