Home > 전체기사

오픈소스 툴 마구 짜깁기 하는 프랑켄슈타인 공격 발견돼

  |  입력 : 2019-06-10 15:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
공격자의 수준 그리 높진 않지만, 지원 수준은 높은 것으로 보여
오픈소스 툴 여러 가지로 짜깁기 한 공격...악성 문건으로 위장되기도


[보안뉴스 문가용 기자] 시스코의 탈로스(Talos) 팀에서 새로운 사이버 공격 캠페인을 발견했다. 이 캠페인의 특징은 여러 개의 오픈소스 기술들을 결합해 만든 도구가 활용되었다는 것이라고 한다. 탈로스는 이렇게 여러 기술을 짜깁기한 도구와, 이 도구를 활용한 공격을 ‘프랑켄슈타인(Frankenstein)’이라고 부른다.

[이미지 = iclickart]


프랑켄슈타인 공격은 2019년 1월부터 4월까지 이어졌다. 목표는 많은 컴퓨터를 멀웨어에 감염시키는 것이었다. 하지만 ‘대량’으로 감염시키는 것 그 자체가 목표는 아니었다. “여러 가지 정황을 보건데, 프랑켄슈타인은 표적 공격의 일종이었습니다.”

프랑켄슈타인 공격을 감행한 자들은 기술적으로 최고 수준을 띄고 있는 것처럼 보이지는 않지만, 넉넉한 지원을 받고 있는 것이 거의 분명하다고 한다. “공격자들은 오픈소스 솔루션들에 상당 부분 의존하고 있습니다. 거기다가 분석 및 탐지 방해 도구들도 사용하며, 가상 환경 솔루션도 적극 활용합니다. 데이터를 전송할 때는 암호화를 하고요.”

이 공격에 사용되는 악성 문건들 중 샘플이 발견된 건 두 개다. 아마도 이메일을 통해 피해자에게 전달된 것으로 보인다. 두 개 중 한 개는 CVE-2017-11882 취약점을 익스플로잇 하는 것으로, 공격자들은 이를 통해 코드를 실행시켰다. 다른 하나는 사용자를 유도해 매크로를 발동시키도록 하며, 궁극적으로는 비주얼 베이직(Visual Basic) 스크립트가 실행된다.

첫 번째 공격 시나리오에서 공격자들은 명령 스크립트를 실행해 스케줄러 기능을 발동시킴으로써 공격 지속성을 확보한다. 이 때 실행되는 건 베이스64(base64)를 기반으로 인코딩 된 파워셸 명령이라고 한다.

이 시나리오에 속하는 문서들 중 일부는 마치 보안 업체 카스퍼스키(Kaspersky)가 만든 것처럼 위장되어 있었다. 또 다른 문서에는 중동 지역의 한 정부기관이 사용하는 로고가 입혀져 있으며, 경우에 따라서는 불특정 건물들의 사진이 저장되어 있는 경우도 있다고 한다.

두 번째 시나리오에서는 매크로가 활성화되자마자 분석 방지 기능 두 가지가 한꺼번에 발동된다. “먼저는 윈도우 관리 도구(WMI)에 특정 애플리케이션들이 있는지 확인하는 요청을 보냅니다. VM웨어, V박스(Vbox), 프로세스 익스플로러, 프로세스 해커, 프록몬(ProcMon), 비주얼 베이직, 피들러(Fiddler), 와이어샤크(WireShark) 등입니다. 그 다음으로는 VM웨어, V박스, Vx스트림(VxStream), 오토IT, VM툴즈, TCP뷰, 와이어샤크, 프로세스 익스플로러, 비주얼 베이직, 피들러 등이 실행되고 있는지 확인합니다.”

그리고 위에 언급된 프로세스들이 발견되면 악성 기능이 작동을 멈춘다. 그렇지 않을 경우, WMI를 호출해 시스템에 배정된 코어의 숫자를 확인합니다. 그리고 2개 이하일 경우 시스템을 빠져나갑니다.

이런 확인 작업이 끝난 이후에는 MS빌드(MSbuild)를 사용해 공격자들이 만든 .xml 파일을 실행시킨다. 이 .xml 파일은 MSBuild-inline-task라는 이름의 오픈소스 프로젝트를 기반으로 하고 있을 가능성이 높다고 탈로스 팀은 말한다. “이 파일 내에는 베이스64 기반 명령들이 암호화 된 채 저장되어 있습니다. 이 명령들이 실행되면 C&C 서버로부터 추가 페이로드가 다운로드 됩니다.”

그 다음 단계에서 실행되는 건 파워셸 엠파이어(PowerShell Empire) 에이전트다. “이 에이전트는 로컬 시스템으로부터 특정 정보를 추출합니다. 사용자 이름, 도메인 이름, 기계 이름, 공공 IP 주소, 관리자 권한 등급, 현재 실행되고 있는 프로세스, OS 버전, 보안 시스템의 SHA256 HMAC 등입니다.”

이렇게 수집된 정보는 암호화 된 채널을 통해 C&C 서버로 전송된다. 특정 사용자-에이전트 문자열과 세션 키가 이 과정에서 사용되며, 공격자들은 원격에서 에이전트와 상호작용을 해서 파일을 업로드 하거나 다운로드 한다. 또한 엠파이어 프레임워크와 호환이 되는 플러그인들도 사용한다.

“예전에는 지원을 풍부하게 받는 공격자들이 직접 공격 툴을 만들었습니다. 그러나 그렇게 할 경우, 정체가 너무 쉽게 발각되죠. 그래서 최근에는 공격자들이 오픈소스를 사용하기 시작했습니다. 그렇게 할 경우 공격자의 정체를 파악하는 게 굉장히 어려워지거든요. 공격 도구 외에 더 깊은 차원의 첩보가 필요하게 됩니다.”

탈로스의 말을 종합하면, 프랑켄슈타인 공격의 배후에는 특정 국가가 있는 것으로 보이며, 정보를 수집하는 것이 주요 목표이다. 하지만 어떤 국가가 배후에 있으며, 어떤 국가가 피해를 입고 있는지는 언급이 되지 않고 있다.

3줄 요약
1. 1월부터 4월까지, 정찰을 목표로 한 프랑켄슈타인 공격 발생함.
2. 왜 프랑켄슈타인이냐면, 여러 가지 오픈소스 툴을 이리저리 짜깁기 해서.
3. 최근 사이버전 공격자들은 자체 개발하지 않고 오픈소스 툴 사용에 더 적극적임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)