Home > 전체기사
베스트바이에서 USB를 보내줬다? 정성스런 USB 공격 발견돼
  |  입력 : 2020-03-30 20:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
감사 카드와 함께 동봉된 USB...상품 목록 담겨 있다고 하지만 사실은 배드USB
파워셸 공격 연이어 발생하고, 마지막으로 악성 자바스크립트 심겨...공격자 의중은 아직


[보안뉴스 문가용 기자] 보안 전문가들이 악성 USB를 배포하는 고도의 표적 공격을 발견해 무력화시키는 데 성공했다. 이에 대해 상세히 발표한 보안 업체 트러스트웨이브(Trustwave)의 웹사이트에 의하면 “고객의 파트너사 한 군데가 이 공격에 당하면서 캠페인에 대해 알게 되었다”고 한다.

[이미지 = iclickart]


USB가 담긴 문제의 소포는 베스트바이(Best Buy)에서 온 것처럼 꾸며져 있었다. 또한 “그 동안 좋은 관계를 유지해주셔서 감사하다”는 내용의 카드와 함께 50달러짜리 상품권이 동봉되어 있었다. “USB에는 상품권으로 구매 가능한 상품들의 목록이 포함되어 있으니 자유롭게 고르라”는 내용도 함께였다.

그러나 이 USB는 일명 배드USB(BadUSB)로 알려진 공격용 장비다. 정상 펌웨어가 남아있지 않고 악성 명령을 PC에 자동으로 주입하는 기능만이 이 USB에 탑재되어 있다. 트러스트웨이브는 이 USB를 분석해 “2단계 파워셸 코드를 다운로드 하는 1단계 파워셸 페이로드를 발견하는 데 성공했다”고 한다.

“2단계 파워셸 코드는 PC에서 실행됨과 동시에 악성 자바스크립트를 설치하는 기능을 가지고 있습니다. 이 자바스크립트 코드는 시스템 정보를 수집하는 등의 기능을 수행하고요. 즉 여러 단계를 거쳐 진행되는 공격의 1단계가 이 USB로부터 시작되는 겁니다.” 트러스트웨이브가 자사 홈페이지를 통해 밝힌 내용이다.

자바스크립트고 수집하는 정보는 사용자 이름, 호스트 이름, 도메인 이름, 컴퓨터 모델 종류, 현재 운영되고 있는 프로세스들, 설치된 오피스 버전, 설치된 어도비 아크로뱃 버전, 설치된 OS 정보 등이다. 이 모든 것들이 공격자들의 C&C 서버로 전송된다.

“최종 공격 도구인 자바스크립트 코드는 무한정 루프에 돌입하는데, 루프 한 번 반복할 때마다 2분 간 슬립 모드에 들어갔다가 C&C 서버로부터 새로운 명령을 받습니다.” 즉 꽤나 다양한 공격을 실시할 수 있다는 뜻이다.

그렇기 때문에 공격자들의 종 목표가 무엇인지는 아직 확실히 알아내지 못하고 있는 상황이다. 하지만 이런 식으로 USB를 직접 보내는 공격은 매우 보기 드문 것이라고 한다. “생각해보면 꽤나 영리한 공격일 수 있습니다. USB라는 것이 이제는 많이 상용화 되었기 때문에 구매 부담이 없고, 동시에 누구나 무심코 꼽아볼 수 있습니다. 의외로 공격에 걸릴 가능성이 높다는 겁니다.”

트러스트웨이브는 “USB처럼 일상 생활 속에서 흔히 볼 수 있는 장비에 대해서 우리는 무심하게 다가가려는 경향이 있다”며 “단지 자주 보이고 친숙하다는 것 때문에 모든 USB를 일반화시켜 ‘안전하다’고 받아들이고 있는 우리의 인식과 습관을 되돌아봐야 한다”고 설명했다.

또한 “모르는 USB가 보이면 호기심부터 발동해 PC에 다짜고짜 꼽아보는 사람들도 있는데, 이 사람들 역시 대단히 위험한 부류”라고 경고하기도 했다. “제로 트러스트의 개념은 특히 이렇게 우리 주변에서 흔히 볼 수 있는 장비들부터 적용해야 합니다.”

3줄 요약
1. 이상한 공격자들, USB를 표적에게 직접 소포로 보내는 공격 기법 선보임.
2. USB는 일명 배드USB로 꼽으면 바로 악성 코드가 컴퓨터에 심겨짐.
3. 흔하고 친숙하기 때문에 신뢰도 높은 USB에 대한 인식을 노린 공격.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)