Home > 전체기사
윈도우 7 벗어나지 못한 대형 제조사들, 레몬 덕에 감염되고 있다
  |  입력 : 2020-02-06 15:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
빠르게 퍼져나가는 것이 특징인 멀웨어 레몬 덕, 윈도우 7 공격해
최종 목적은 암호화폐 채굴...윈도우 10이었으면 성공하지 못했을 공격


[보안뉴스 문가용 기자] 프린터, 스마트 TV, 자율주행 차량과 같은 사물인터넷 장비들 중 윈도우 7을 기반으로 하고 있는 기계들이 최근 사이버 범죄자들 사이에서 높은 인기를 구가하기 시작했다고 한다. 그러면서 스스로 복제하고 퍼지는 멀웨의 일종인 레몬 덕(Lemon Duck)이 퍼지고 있다는 소식이다. 보안 업체 트랩엑스 시큐리티(TrapX Security)가 상세 내용을 발표했다.

[이미지 = iclickart]


레몬 덕을 사용해 사물인터넷을 공략하는 사이버 범죄자들의 목표는, 현재로서 사물인터넷 장비를 최대한 많이 수중에 넣고 암호화폐를 채굴하는 것이다. 특히 XM리그(XMRig)라는 채굴 도구를 가지고 모네로를 획득하는 데에 혈안이 되어 있다고 한다. 공격자에 따라 달라지지만, 채굴에 지나치게 욕심을 낼 경우 장비가 과부하에 걸려 마비되는 경우가 생기고, 그것이 어떤 장비냐에 따라 추가 사고로 이어질 가능성도 높다.

사실 레몬 덕을 활용한 캠페인 자체는 이전에도 있었고, 가깝게는 지난 10월에도 발견된 바 있다. 하지만 이번 캠페인의 경우 대규모 제조사들에 최대한의 피해를 주려는 목적성을 분명하게 띄고 있다는 차이점이 있다. 트랩엑스가 발표한 보고서에는 세 개의 제조사가 표적이 되었다고 나온다. “세 군데 모두 전 세계적인 규모를 가진 회사고, 윈도우 7을 아직도 유지하고 있다는 특징을 가지고 있습니다.” 윈도우 7은 올해 1월 14일부터 지원이 종료됐다.

공격자들은 윈도우 7에서 발견된 취약점들을 최초 침투를 이뤄내는 데에 활용한 것으로 보인다. 주로 서버 메시지 블록(Server Message Block, SMB) 프로토콜을 악용하는 이터널블루(EternalBlue) 익스플로잇이 애용되고 있으나, MySQL 데이터베이스 애플리케이션을 겨냥한 SQL 주입 공격도 만만치 않게 활발히 악용되고 있다고 한다.

“트랩엑스가 입수한 샘플은 레몬 덕 패밀리의 일원으로 보이며, 표적이 된 시스템 및 네트워크를 스캔하는 것부터 공격을 시작합니다. 특히 SMB(445번 포트)와 MSSQL(1433번 포트)을 확인해 인터넷과 연결이 되어 있는지부터 살핍니다. 공격을 무차별적으로 퍼붓지 않습니다. 그리고 공격 대상이 정해지면, 다수의 스레드를 실행시키기 시작합니다.”

다수의 스레드를 통해서는 다수의 기능이 실행된다. 그 중 하나는 브루트포스 공격을 실시해 서비스를 크래킹 하는 건데, 성공할 경우 SMB나 MSSQL을 통해 추가 멀웨어를 전송한다. 그 외에 NTLM 해시를 훔쳐서 임포트 시키는 기능도 있다. 이 역시 추가 공격을 실시하는 데 주로 활용된다. “공격 지속성을 확보하는 기능도 있습니다. 스케줄러나 파워셸 스크립트가 활용됩니다.”

이렇게 제조사들을 노리고 레몬 덕 멀웨어를 통해 침투하고, 공격 지속성까지 확보하는 이유는 XM리그를 심기 위해서다. 글로벌 제조사들의 네트워크와 시스템을 활용해 꾸준히 모네로를 채굴하는 것이 이들의 목표인 것이다.

“이들의 공격 수법은 윈도우 10에서는 통하지 않습니다. 윈도우 10의 기본적인 방어 시스템만으로도 충분히 막을 수 있는 수준의 공격인 것이죠. 공격자들이 그러한 자신들의 상태를 잘 알고 공격 표적을 윈도우 7로 잘 잡은 것으로 보입니다. 공격의 기술적인 측면보다 전략이 더 눈에 띄는 캠페인입니다.”

이 공격은 어떤 식으로 방어해야 할까? 트랩엑스는 비밀번호 관리 정책을 보다 강력하고 철저하게 도입하고, 시스템을 최신화 시켜야 한다고 강조한다. “네트워크에서 폴더나 파일을 공유할 때 특히 조심하고, 로그인 활동 기록을 면밀히 살펴 낯선 계정이 접근하지 못하도록 해야 합니다. 하지만 가장 중요한 건 윈도우 7을 10으로 업그레이드 하는 것이라고 볼 수 있습니다.”

3줄 요약
1. 윈도우 7 사용하는 글로벌 제조 기업 세 군데, 레몬 덕에 감염되고 있음.
2. 레몬 덕을 통해 침투한 공격자들은 윈도우 취약점 통해 퍼져 암호화폐 채굴 코드 심음.
3. 비밀번호 관리, 소프트웨어 최신화 등 기본 보안 수칙 지키고 윈도우 10으로 업그레이드 해야 방어 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)