Home > 전체기사
마법의 비밀번호로 로그인해 유령처럼 공격하는 백도어 스킵2.0
  |  입력 : 2019-10-23 15:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
마이크로소프트의 SQL 11과 12버전 집중적으로 노리는 은밀한 백도어
윈티의 다른 공격 도구와 조합해서 파괴력 발휘...단독으로 사용되지는 않을 듯


[보안뉴스 문가용 기자] 최근 중국 정부의 지원을 받고 있는 것으로 보이는 윈티(Winnti) 해킹 그룹이 마이크로소프트의 SQL을 겨냥한 은밀한 백도를 사용하기 시작했다고 보안 업체 이셋(ESET)이 발표했다. 2009년부터 활동을 해온 것으로 보이는 윈티는 항공, 게임, 제약, 기술, 통신, 소프트웨어 개발 산업을 집중적으로 염탐해온 것으로 유명하다.

[이미지 = iclickart]


이번에 발견된 멀웨어는 대단히 은밀해 탐지하는 것이 쉽지 않으며 다양한 기능을 가지고 있다고 한다. 또한 지난 주 이셋이 발견한 백도어인 포트리유즈(PortReuse)와 많은 부분 유사하다고 한다. 이름은 스킵2.0(skip-2.0)으로 가장 널리 쓰이는 MSSQL 서버 11과 12 버전을 집중적으로 공략한다. 비밀번호를 교묘하게 사용해 아무 MSSQL 계정과 연결할 수 있으며, 로그에 연결된 사실을 남기지 않아 탐지가 어렵다.

“이런 상태라면 백도어가 데이터베이스에 들락날락 거리면서 정보를 복제하든, 조작하든, 삭제하든 알 수가 없게 됩니다. 스킵2.0이 먼저 침투해 자리를 잡아주면 공격자는 갖가지 행위를 할 수 있게 됩니다. 심지어 인게임 머니나 특정 커뮤니티 내에서 유통되는 화폐의 가치를 조작해 금전적인 이득을 취할 수도 있습니다.”

그렇다면 스킵2.0을 윈티가 사용하고 있다는 건 어떻게 알았을까? “포트리유즈라는 백도어를 시스템에 드롭시킬 때 사용되던 툴이 있습니다. VM프로텍티드(VMProtected)라는 일종의 런처인데요, 스킵2.0도 이 도구를 통해 퍼졌습니다. 그 외에도 윈티 해커들만의 고유한 패커 등이 발견되기도 했습니다.”

이셋 측은 VM프로텍티드 런처가 DLL 하이재킹 취약점들 중 하나를 공략해 공격 지속성을 확보하는 것으로 예상하고 있다. “DLL 하이재킹이란, 공격자들이 표준 SessionEnv 서비스를 통해 악성 라이브러리를 로딩하는 것으로, 윈티는 포트리유즈와 셰도우패드(ShadowPad)라는 멀웨어를 이런 식으로 퍼트리곤 했습니다.”

또한 MSSQL 서버의 프로세스인 sqlserv.exe를 찾는 데에, 예전부터 윈티의 무기로 알려진 이너로더(Inner-Loader)라는 인젝터가 사용되기도 했다. 이 인젝터는 skip-2.0.dll이라는 파일을 해당 프로세스에 주입하는 역할을 담당했다. 다음으로 스킵2.0은 자신이 sqlserv.exe 프로세스 내에서 실행되고 있는지 확인하고, sqllang.dll을 로딩한다. 이 안에는 여러 가지 기능들이 포함되어 있는데, 이 기능을 바탕으로 공격을 실시한다. 이런 과정이 포트리유즈 당시에 발견됐던 것과 상당히 비슷하다고 한다.

스킵2.0 백도어는 인증과 이벤트 로깅과 관련된 기능들을 표적으로 삼아 공격한다. 여기에는 사용자가 제공한 비밀번호를 확인하는 데 사용되는 CPwdPolicyManager::ValidatePwdForLogin도 포함되어 있다. 여기에 “마법의 비밀번호”라는 것이 확인되면 원래 함수는 호출되지 않고, 0이라는 값을 되돌린다. “즉 올바른 비밀번호가 입력되지 않았는데도 연결이 성립한다는 것입니다.”

이 특수한 비밀번호를 사용함으로써 공격자들은 공격 지속성을 갖추게 될 뿐만 아니라 로그와 이벤트 처리 기능으로부터 무시되기도 한다. 즉 기록이 남지 않는다는 것이다. “이 때문에 탐지가 되지 않습니다. 이 비밀번호만 사용하면 유령이 되어 시스템을 돌아다닐 수 있게 되는 겁니다.”

이셋은 “윈티가 매우 흥미로운 무기를 새롭게 갖추게 됐다”며, “이전에 윈티가 사용했던 다양한 무기들과 비슷한 점들이 많다”고 설명한다. “여러 가지를 살폈을 때 윈티가 예전부터 보유하고 있던 다양한 해킹 도구들과 조합해서 사용하기 위해 개발한 것으로 보입니다. 스킵2.0은 이미 침해된 MSSQL 서버들에 침투해 공격자들이 지속적으로 공격할 수 있는 통로를 몰래 확보하는 역할을 하는 도구로 사용될 가능성이 높습니다.”

3줄 요약
1. 스킵2.0이라는 새로운 백도어 발견됨.
2. 마법의 비밀번호 사용해서, 로그에도 남지 않고 탐지도 되지 않은 채 백도어 기능 발휘.
3. 중국의 해킹 그룹 윈티가 새롭게 개발한 백도어 툴로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제