Home > 전체기사
4년 동안 사라졌던 두쿠? 들키지 않았던 것뿐이었다
  |  입력 : 2019-04-10 10:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2011년 처음 발견된 두쿠, 갑자기 사라지고 2015년에 등장
그러나 4년 동안에도 두쿠 멀웨어 개발하고 향상시키고 있었던 것 밝혀져


[보안뉴스 문가용 기자] 2011년 처음 발견된 멀웨어 중에 두쿠(Duqu)라는 것이 있다. 두쿠는 스턱스넷(Stuxnet) 멀웨어와 유사한 점이 많았고, 모듈 구조로 만들어져 있어서 주목을 받았다. 주로 유럽, 아프리카, 중동의 다양한 조직들을 염탐하는 데 사용됐다. 추가 공격을 위한 발판 마련의 의미로 인증 기관(CA)들을 공격하기도 했다.

[이미지 = iclickart]


그런데 두쿠 공격자들은 2011년 자신들의 도구가 세상에 공개된 이후 모습을 감췄다. 무려 4년 동안 조용히 있다가 2015년에 다시 발견됐다. 훨씬 더 강력하고 발전된 모습이었다. 보안 전문가들은 2011년에 발견된 것을 두쿠 1.0, 2015년에 발견된 것을 두쿠 2.0이라고 불렀다. 두쿠 2.0은 메모리 내에서 실행되며, 웜과 유사한 형태로 네트워크에 퍼진다는 특징도 가지고 있었다. 약 100개의 모듈로 구성되어 있었으며, 보안 업체 카스퍼스키(Kaspersky) 등을 염탐하는 데 사용됐다.

알파벳의 자회사이자 보안 전문 기업인 크로니클(Chronicle)은 최근 두쿠 1.0과 두쿠 2.0 사이에 1.5 버전이 존재했다고 발표했다. 즉 항간에 알려진 대로 2011년과 2015년 사이에 두쿠 공격자들이 침묵을 지키고 있던 건 아니라는 것이다. “그들은 2011년 발견된 이후 숨어서 활동을 멈춘 게 아니라, 2015년까지 들키지 않고 있었을 뿐입니다.”

크로니클의 연구원들이 발견한 건 평범해 보이는 커널 드라이버였다. 디지털 서명도 되어 있었고, 아무런 해악 요소가 없어 보였다. “사실은 복잡한 인메모리 멀웨어 플랫폼의 일부였습니다. 그 멀웨어는 모듈로 구성된 것이었고, 커널 드라이버는 그러한 멀웨어의 일부였던 것이죠. 보다 정확히 말하자면 지속적인 공격을 담당하는 부품이었습니다. 이 플랫폼에는 두 가지 가상 파일 시스템(VFS)이 암호화되어 포함돼 있었습니다. 하나는 KMART.dll이고 다른 하나는 다량의 플러그인 모듈들입니다.”

이 멀웨어가 바로 두쿠 1.5였다. 2015년에 발견된 두쿠 2.0과 많은 부분 닮아 있었지만 “지나치게 엔지니어링이 적용되어 있었다”고 한다. “압축 해제 및 언패킹 패턴이 미로처럼 많았고, 암호화된 문자열과 역동적으로 로딩된 API 호출들도 무수히 많이 포함되어 있었습니다. 또한 하위 모듈들을 활용하고 구축하기 위해 셸코드 로더(shellcode loader)를 사용하는 흔적도 보였습니다. 하지만 이 커널 드라이버가 어떻게 최초 침투에 성공했는지는 확실히 파악하지 못했습니다.”

위에서 언급된 두 가지 가상 파일 시스템 중 KMART.dll은 여러 다양한 모듈들의 설치와 상호작용을 관리한다. 주로 카스퍼스키의 백신 제품을 우회하기 위한 목적으로 만들어졌다. “이 기능은 훗날 두쿠 2.0에도 그대로 적용됩니다.” KMART.dll은 단계적으로 여러 플러그인을 설치하기도 한다. “두쿠 1.5와 두쿠 2.0의 가장 큰 차이점은 모듈의 수입니다. 1.5 버전의 모듈이 더 적죠. 크로니클이 복구시킬 수 있었던 모듈은 몇 가지뿐입니다.”

두쿠 1.5는 네트워트 내에서의 횡적 움직임을 위해 윈도우 인스톨러 패키지(Windows Installer Packages)를 활용한 것으로 보인다. 하지만 두쿠 2.0에서 발견된 ‘확장 모듈’이 두쿠 1.5에서도 활용되었는지 여부는 확실히 밝혀지지 않았다. 공격자들과 소통했던 C&C 서버와 IP 주소도 각각 한 개씩만 찾아내는 게 전부였다. “두쿠 1.5는 HTTP나 HTTPS 요청을 사용하지 않았습니다. 정상 트래픽에 녹아들기 위해서였죠.”

크로니클은 “여태까지 두쿠는 굉장히 독특한 역사를 가진 멀웨어로 인식됐다”고 결론을 내렸다. “두쿠 공격자들이 존재를 들킨 후, 공격 인프라와 도구들을 완전히 없애고 증발했다고 보안 업계는 알고 있었습니다. 그리고 3~4년 후 새롭게 등장했다고 여겼었죠. 이렇게까지 극단적으로 반응하는 공격자는 처음이었고, 그런 의미에서 커다란 상징을 가지고 있었습니다. 하지만 두쿠는 꾸준하고 지속적으로 트렌드에 맞게 자신들의 공격 툴을 변화시키고 있었습니다. 그 중간 과정을 여태까지 우리가 몰랐던 것입니다.”

3줄 요약
1. 보안 업체 크로니클, 두쿠 1.0과 두쿠 2.0 사이의 ‘미싱 링크’ 찾아냄.
2. 여태까지는 ‘들키자마자 부리나케 사라져 4년 동안 모습을 감춘 그룹’이었는데...
3. 사실은 트렌드에 맞게 발전하고 있던 그룹이었음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향