Home > 전체기사
북미 협상 노리나? 동남아 사용자 노리는 백도어 퍼지고 있어
  |  입력 : 2019-02-28 14:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
백도어는 파시어...윈도우 시스템 노려...헨박스라는 멀웨어와 관련 있어
공격 인프라에서 다양한 멀웨어 발견돼...공격자는 전부 동일 그룹?


[보안뉴스 문가용 기자] 북미 협상이 베트남에서 진행되고 있는 가운데, 동남아 지역을 겨냥한 백도어가 발견됐다. 이에 대해 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 상세히 분석한 내용을 발표했다.

[이미지 = iclickart]


이 백도어의 이름은 파시어(Farseer)로, 윈도우 기반 컴퓨터를 감염시키며, 헨박스(HenBox)라는 안드로이드 멀웨어 패밀리와 관련이 있는 것으로 보인다. 헨박스는 작년 위구르족을 대상으로 한 사이버 정찰 및 감시 공격에 사용되고 있는 것이 발견된 바 있다.

헨박스와 파시어의 공격 인프라를 추적한 결과 다른 멀웨어들도 등장하기 시작했다. 포이즌 아이비(Poison Ivy), 줍댁스(Zupdax), PK플러그(PKPLUG)가 대표적인데, 사실 이 멀웨어 패밀리들은 대단히 큰 인프라를 통해 배포되고 있어 다른 인프라와 겹치는 부분이 자주 발생하는 편이다.

지난 2년 동안 파시어의 변종은 30개가 넘게 발견됐다. 그 중 2017년에 발견된 수가 가장 많았고, 2018년에도 적지 않은 수가 새로 등장했다. 현재까지 발견된 변종 중 가장 최신의 것은 지난 2개월 사이에 발견되기도 했다.

이 최신 변종의 경우 C&C 활동을 위한 도메인이 달라졌다. 이 도메인의 경우 새롭게 생성된 것은 아니고, 포이즌 아이비의 샘플과도 연관이 있는 것으로 나타났다. “포이즌 아이비의 공격자들도 같은 도메인을 C&C로 활용하고 있었습니다. 이 도메인이 마지막으로 사용된 건 2018년 12월입니다.”

C&C 인프라 외에도 파시어와 포이즌 아이비 사이에는 공통점들이 몇 가지 추가로 발견됐다. “공통된 도메인이 추가로 발견되기도 했고, C&C 목적으로 활용되는 제3의 도메인도 찾아낼 수 있었습니다. 그 외에 IP 주소 일부가 겹치기도 했습니다. 한편 파시어는 헨박스나 플러그엑스(PlugX), 고스트랫(Gh0st RAT) 등의 다른 멀웨어와 C&C 도메인과 IP 주소를 공유하기도 했습니다.”

이는 무슨 뜻일까? 왜 이렇게 수많은 멀웨어와 같은 인프라를 가지고 있는 걸까? “공격자가 비슷하거나 동일한 인물 혹은 단체일 가능성도 있고, 해당 인프라가 범죄 조직들 사이에서 인기가 높은 것일 수도 있습니다. 그러나 추가 조사가 이어지고, 더 많은 증거가 나오기 전까지는 확신할 수가 없습니다.”

파시어는 페이로드를 로딩하기 위해 DLL 사이드로딩(DLL Sideloading)이라는 기법을 사용한다고 팔로알토 네트웍스는 설명한다. “멀웨어의 환경설정 파일들은 헨박스의 그것과 유사한 점이 많습니다. 둘 다 텍스트 파일이며, 런타임 동안 읽고 확인하는 게 가능하다는 것부터 비슷합니다.” 또 파시어는 공격의 지속성을 확보하기 위해 레지스트리를 새로 입력해 VBS 스크립트가 실행되도록 한다. 이 스크립트는 bscmake.exe를 실행시킨다.

팔로알토는 “아직까지 드러난 사실로는 파시어 공격자들이 구체적으로 어떤 부류의 사람들을 노리는지 알 수가 없다”고 말한다. “다만 여태까지 축적된 자료와 대조해보고, 파시어의 인프라에서 발견된 다른 멀웨어를 통해 봤을 때 공격자들은 동남아 지역의 사용자들을 노리고 있음이 가장 확실해 보입니다.”

파시어는 최종 페이로드를 설치하는데, 이 페이로드가 바로 백도어다. 미리 설정한 C&C 서버로부터 명령을 받고, 공격자의 운영을 통해 다양한 기능을 발휘할 수 있다. 그럼으로써 탐지 기술을 피해가고 분석을 방지할 수 있게 된다. 페이로드는 디스크에 암호화되어 보관되며 런타임 동안 복호화가 메모리 내에서 이뤄진다. “이렇게 함으로써 분석이 더 어렵게 됩니다.”

한편 북미 1차 회담이 작년 싱가포르에서 진행되었을 당시, 싱가포르로 들어오는 사이버 공격이 회담일 전후로 급증하기도 했었다. 이번 파시어 공격이 북미 정상회담과 관련이 있는지는 아직 정확히 말할 수 없는 단계다.

3줄 요약
1. 파시어라는 백도어의 변종이 새로 발견됨. 공격 인프라를 통해 다른 여러 멀웨어들도 퍼지고 있음.
2. 누군가 여러 멀웨어를 통해 다양한 공격을 하는 것, 아니면 범죄자들이 그 인프라를 즐겨 사용하는 것.
3. 증거를 더 찾아야 정확한 공격 배후 세력이나 동기 알 수 있는 상태

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제