Home > 전체기사

선버스트가 코발트스트라이크가 되기까지, MS가 밝혀내

  |  입력 : 2021-01-21 12:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
솔리윈즈 사태의 공격자들, 코발트 스트라이크를 어떤 과정을 밟아가며, 어떤 순서로 심었을까? 큰 틀에서의 움직임은 대강은 알지만 세부적 내용을 몰랐던 MS가 오늘 기술적인 정보까지 알아내 발표했다. 공격자들의 높은 수준이 한 번 더 입증되었다.

[보안뉴스 문가용 기자] 솔라윈즈(SolarWinds) 사태가 벌어지고서 한 달이 지났는데도 계속해서 새로운 사실들이 나오고 있다. 어제는 네 번째 멀웨어가 발굴되고, 네 번째 보안 업계 피해자가 나타났고, 오늘은 MS가 솔라윈즈 공격자들에 대한 새로운 보고서를 발표했다. 특히 공격자들이 여러 로더를 통해 코발트 스트라이크(Cobalt Strike)라는 모의 해킹 도구를 설치한 전략이 상세히 공개됐다.

[이미지 = utoimage]


마이크로소프트는 “공격자들이 어떤 순서를 밟아가며 공격을 실시했는지 최근까지 확실하게 파악하기 힘들었다”며 “알아내고 나니 공격자들의 어느 정도로 자신들의 행적을 감추기 위해 애썼는지도 파악이 됐다”고 설명했다. “이러한 부분도 시사하는 점이 있어 저희는 저희가 찾아낸 내용들을 엮어서 보고서를 작성했습니다.” MS 측의 설명이다.

“특히 솔로리게이트(Solorigate) 백도어에서 코발트 스트라이크의 로더로까지 이어지는 과정을 알아내는 게 어려웠습니다. 그럴 수밖에 없었던 것이, 공격자들이 추적을 따돌리고 분석을 방해하려고 일부러 백도어 공격과 코발트 공격이 전혀 상관이 없는 것처럼 분리시켜 놓기 위해 많은 노력을 기울였더군요.”

여기서 말하는 솔로리게이트는 선버스트(Sunburst)라고도 불리는 멀웨어다. 공격자들은 솔라윈즈의 오리온(Orion) 솔루션의 업데이트 파일을 선버스트로 감염시킴으로써 다수 솔라윈즈 고객사들에 침투할 수 있었다. 그리고 선버스트가 보내주는 여러 정보를 검토해 추가 공격 대상을 선정했고, 그 수는 생각보다 적은 것으로 밝혀졌다. 일부 피해 조직에서는 코발트 스트라이크가 발견됐는데, MS가 이번에 밝혀낸 건 선버스트가 코발트 스트라이크로 이어지는 과정이다.

MS에 의하면 선버스트/솔로리게이트는 피해자의 네트워크에 안착한 뒤 공격자들이 제어하는 원격 서버와 통신을 했다고 한다. 공격자들은 통신 채널이 마련되면 이를 통해 2단계 멀웨어인 레인드롭(Raindrop)을 추가로 설치했다. 파이어아이(FireEye)는 이를 티어드롭(Teardrop)이라고 부른다고 한다. (어제까지는 레인드롭이 티어드롭과 별개인 것처럼 발표가 됐는데, 오늘 MS는 이를 같은 멀웨어라고 발표했다.)

코발트 스트라이크라는 모의 해킹 도구는 바로 이 레인드롭/티어드롭을 통해 설치된 것으로 밝혀졌다. 공격자들은 코발트 스트라이크를 사용해 피해자 네트워크에서 횡적으로 움직이거나 권한을 높일 수 있었다.

그러면 공격자들은 선버스트를 통한 1차 활동과 레인드롭을 통한 2차 활동을 어떤 방법으로 분리시켰을까? MS에 의하면 마이터 코퍼레이션(MITRE Corporation)이 ‘이벤트 발동 실행(event triggered execution)’이라고 부르는 공격 기법이 활용됐다고 한다. 특정 프로세스가 호스트 시스템 내에서 실행될 때만 악성 코드가 발동되도록 하는 기법이다. 솔라윈즈 공격자들은 솔라윈즈의 프로세스가 시작될 때마다 ‘이미지 파일 실행 옵션(Image File Execution Options, IEFO) 레지스트리가 생성되도록 했다.

그리고 이 레지스트리를 통해 악성 VB스크립트 파일이 실행되도록 만들었다. VB스크립트는 또 다른 실행파일을 실행하는데, 그 결과가 바로 코발트 스트라이크 DLL의 활성화다. 흥미로운 건 코발트 스트라이크 DLL이 활성화 되면서 생성되는 프로세스가, 이전 단계에서 악성 코드 실행을 위해 마련되거나 활용된 프로세스들과 완전히 다른 것이라는 사실이다. 두 프로세스 사이에는 그 어떤 연결고리도 없다고 한다. 심지어 이 VB스크립트는 IEFO 레지스트리 값을 삭제하기까지 한다.

현재까지도 공격자의 최종 목적이나 공격 동기는 명확히 밝혀지지 않고 있다. 하지만 공격 표적이 됐던 조직들을 겨냥한 정찰 혹은 정보 수집을 위해 벌린 사건이라고 보는 것이 중론이다. 미국 정부 기관들은 러시아 해커들이 의심된다고 발표하기도 했었다.

4줄 요약
1. MS, 솔라윈즈 공격자들에 대한 새 사실 보고서로 발표.
2. 특히 1단계 선버스트 공격에서 최종 코발트 스트라이크까지 어떻게 이어지는지를 기술적으로 정리.
3. 공격자들은 특정 프로세스가 발동될 때만 악성 스크립트를 발동시켰음.
4. 그리고 그 프로세스와 전혀 상관없는 프로세스를 통해 코발트 스트라이크를 실행함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비