휴일에 성인물 관련 키워드로 검색하다가 중국 해커들에게 감염된다

2024-09-16 10:37
  • 카카오톡
  • 네이버 블로그
  • url
드래곤랭크라는 해킹 그룹이 활동을 시작했다. 이들은 여러 나라의 언어로 ‘성인물 관련 콘텐츠’를 검색하는 사용자들을 노리고 있으며, 종국에는 윈도 IIS 서버를 감염시키고 있다. IIS 서버를 감염시키면 검색 순위를 조작할 수 있어 여러 응용 공격이 가능하다.

[보안뉴스 문가용 기자] 중국을 기반으로 한 것으로 보이는 새로운 공격 단체가 발견됐다. 이름은 드래곤랭크(DrangonRank)라고 하며, 시스코(Cisco)의 탈로스(Talos) 팀이 발견했다. 검색엔진 최적화 순위(rank)를 조작하는 기법을 사용하고 있어 ‘드래곤랭크’라는 이름이 붙었다. 이들의 공격에 의한 피해가 한국에서도 발견되고 있다는 경고가 나오기도 했다.


[이미지 = gettyimagesbank]

피해 상황
탈로스가 최근 몇 달 동안 드래곤랭크를 추적한 바에 의하면 드래곤랭크의 주요 피해 국가는 태국, 인도, 한국, 벨기에, 네덜란드, 중국인 것으로 밝혀졌다. 피해가 발생한 곳을 산업별로 보자면 보석, 미디어, 전문 연구 서비스, 의료, 영상 및 TV 제작, 제조, 교통, 종교, IT 서비스, 국제 업무 및 싱크탱크, 농업, 스포츠 등 다양하다. 때문에 아직까지 이들의 표적에 대한 독특한 패턴이 나타나고 있지는 않다.

드래곤랭크가 노리는 건 윈도 인터넷 정보 서비스(Windows Internet Information Service, IIS) 서버들이다. 이런 서버들을 침해해 배드IIS(BadIIS)라는 악성 코드를 심는데, 이는 배드IIS를 통해 검색엔진 크롤러를 조작하기 위함이다. 검색엔진 크롤러를 조작하면 검색엔진 최적화(SEO)를 조작할 수 있게 되며, 따라서 피해자들은 조작된 검색 결과를 통해 악성 사이트에 접속하게 된다. “보통 사람들은 뭔가를 검색하고서는 가장 위에 나타난 몇 가지를 클릭해봅니다. 검색 순위를 조작하면 공격자가 원하는 사이트를 상단에 노출시킬 수 있게 되죠. 자연스럽게 클릭을 유도하게 되는 겁니다.”

뿐만 아니라 공격자는 검색 순위를 조작함으로써 특정 브랜드나 사이트로 가는 트래픽을 막을 수도 있게 된다. “경쟁자의 평판을 하락시키는 데에도 활용될 수 있겠죠. 검색 순위가 낮아지고 평판이 하락하면 금전적 손실로 이어지게도 되고, 더 나아가 브랜드 인지도까지 떨어트릴 수 있게 됩니다.” 이번 캠페인에서 드래곤랭크는 피해자들을 악성 웹사이트로 우회 접속시키는 것으로 나타났다.

그렇다면 어떤 단어를 가지고 검색했을 때 드래곤랭크의 마수에 걸려들게 될까? “현재까지 피해자들은 주로 성인물과 관련된 검색을 하다가 드래곤랭크가 손을 써둔 악성 사이트에 접속하는 경우가 많았습니다. 특히, 다양한 언어로 각종 성인물 관련 단어들을 검색했을 때 이 공격에 걸려들도록 했습니다. 이 때 35개 이상의 IIS 서버가 공격에 활용되고 있음을 발견할 수 있었습니다.”

SEO 조작
사실 SEO를 조작하는 건 그 동안 여러 해킹 단체가 활용하던 수법이다. 탈로스 팀은 “드래곤랭크의 수법에는 뭔가 다른 게 있다”고 말한다. “기존 SEO 조작 공격은 가능한 많은 웹사이트 서버를 침해하여 검색엔진 트래픽을 조작했습니다. 그러나 드래곤랭크는 횡적으로 이동하는 것과 권한을 상승시키는 것에 보다 집중하고 있습니다. 즉 한 번 침투한 곳에서 더 깊이 들어가 또 다른 서버를 침해하는 것까지 가려하는 것이죠. 이런 수법을 선보인 공격 단체는 처음이고, 따라서 저희는 드래곤랭크가 새로운 해킹 단체일 가능성이 높다고 보고 있습니다.”

드래곤랭크는 이러한 SEO 조작 능력 자체를 판매하는 것으로 조사됐다. 자신들이 자신들의 목적을 달성하기 위해 SEO 조작 공격을 하기도 하지만, 다른 공격자들을 위해서도 돈을 받고 SEO 조작을 실시한다는 것이다. “이들이 사업을 위해 운영하는 사이트는 중국어와 영어로 되어 있습니다. 각종 SEO 순위 조작을 대행해준다는 광고가 있고, 사용자가 원하는 상품을 고를 수 있도록 만들어져 있습니다. 교차 사이트 랭킹, 단일 사이트 랭킹 등 각종 랭킹 조작을 할 수 있다고 스스로를 소개하고 있습니다.” 이들의 이러한 기술에 당한 피해자는 전 세계 200여개국에서 발견되고 있다.

드래곤랭크는 고객들을 유치하고, 고객들과 상담하기 위해 텔레그램과 QQ를 활용하고 있었다. “저희는 이러한 플랫폼들을 통해 이들이 어떤 사업 모델을 가지고 있었고, 그 동안 어떤 범죄 활동에 연루되어 왔는지를 확인할 수 있었습니다. 재미있게도 ‘결제 실수에 대해 책임지지 않는다’는 문구도 가지고 있었습니다. 맞춤형 프로모션도 진행하며, 고객의 필요에 따라 검색 키워드나 표적으로 삼을 웹사이트를 지정해서 공격하는 것도 가능했습니다. 언어권이나 국가를 지정할 수도 있었습니다.” 참고로 비즈니스를 위해 운영하는 드래곤랭크의 텔레그램 계정은 태국에서 만들어졌다.

웹 애플리케이션 취약점의 익스플로잇
탈로스 팀은 조사를 통해 드래곤랭크가 phpMyAdmin과 워드프레스(WordPress) 등 웹 애플리케이션 서비스의 취약점을 익스플로잇 함으로써 최초 침투한다는 사실도 발견할 수 있었다. “주로 원격 코드 실행 취약점이나 임의 파일 업로드 취약점을 익스플로잇 하고 있었습니다. 이를 통해 웹셸을 심고, 이 웹셸을 가지고 피해자의 서버를 제어했습니다. 이번 캠페인에서 사용된 웹셸은 오픈소스인 ASPXspy였습니다. 그 위치는 C드라이브의 phpMyAdmin이나 AWStats라는 폴더였습니다.”

웹셸이 유포된 이후 드래곤랭크는 이를 활용해 시스템 정보를 수집하고 상기한 플러그엑스나 배드IIS와 같은 멀웨어를 시도한다. 그 외에도 각종 크리덴셜 탈취 도구들을 추가로 투입시키기도 하는데, 현재까지 발견된 것은 미미캐츠(Mimikatz),프린트노티파이포테이토(PrintNotifyPotato), 배드포테이토(BadPotato), 갓포테이토(GodPotato) 등이다.

그러면서 드래곤랭크는 피해자 네트워크 내의 또 다른 윈도 IIS 서버에도 침투한다. 주로 위의 크리덴셜 탈취 도구를 통해 획득한 크리덴셜을 활용하는 것으로 분석됐다. “추가 IIS 서버에 접근한 후 웹셸이나 RDP를 사용해 플러그엑스와 배드IIS, 각종 크리덴셜 탈취 도구를 또 다시 설치하는 일을 반복합니다. 그런 다음 최대한 눈에 띄지 않게 은밀히 움직여서 네트워크 내에서 최대한 오랜 시간 머무르도록 합니다. 또한 관리자 권한을 게스트 계정에 복제하여 게스트 계정을 관리자 권한으로 상승시키는 유틸리티 도구를 사용하는 것도 확인됐습니다.”

주로 사용되는 멀웨어, 플러그엑스
플러그엑스는 이번 캠페인에서 사용된 주요 백도어라고 할 수 있다. 공격자들은 DLL 사이드로딩 기법을 활용해 취약한 바이너리를 악용함으로써 플러그엑스 로더를 실행시킨 것으로 분석됐다. 이번에 새로운 함수(TopLevelExceptionFilter)가 추가됐는데, 이를 통해 플러그엑스 로더를 별 다른 의심 없이 로드할 수 있도록 업그레이드 됐다. 이렇게 업그레이드 된 버전은 바이러스토탈에 이미 업로드 되었다.

“플러그엑스는 그 동안 여러 중국 기반 해킹 그룹이 사용해온 원격 접근 도구(RAT)입니다. 이미 10년도 넘게 중국 해커들 사이에서 큰 인기를 누려왔었죠. 모듈 구성으로 되어 있어서 활용성에 있어서 매우 유연한 모습을 보입니다. 플러그엑스를 대체할 수 있는 멀웨어가 이미 수년 전에 개발되었지만, 그럼에도 아직 중국 해커들은 플러그엑스를 선호하는 모습을 보입니다.”

드래곤랭크가 사용한 플러그엑스의 C&C 서버 주소는 mail.tttse.com:53이었다. 또한 시스템 지속성을 확보하기 위해 각종 서비스와 레지스트리 키를 이용하기도 했다. 설치에 활용된 디렉토리는 %ALLUSERSPROFILE%\Adobe\Player였다. 공격에 활용된 서비스 이름은 Microsoft Office Document Update Utility였다. 그 외에도 ddos.zip이라는 가짜 디도스 관리 도구로 위장된 파일에서 동일한 플러그엑스 로더와 페이로드를 발견하기도 했다. 여기에는 보안 도구에 의한 탐지를 어렵게 만드는 요소도 포함되어 있었다.

주로 사용되는 멀웨어, 배드IIS
검색엔진 크롤러와 하이퍼링크 조작을 위해서 드래곤랭크가 사용한 건 배드IIS라는 악성 코드였다. 이전부터 잘 알려진 멀웨어로, 2021년 열린 블랙햇 USA를 통해 처음 발표됐다. 침해된 IIS 서버의 HTTP 응답을 변조해 검색 결과 순위를 조작한다. 특정 웹사이트의 SEO 순위를 인위적으로 올릴 수 있다. “드래곤랭크는 보안 탐지 기술들을 회피하기 위해 이 배드IIS를 카스퍼스키SDK(Kaspersky SDK)라는 이름의 디렉터리에 설치하고 있었습니다.”

이번에 활용된 배드IIS는 작년 4월부터 8월 사이에 컴파일링 된 것으로 확인됐다. 이 멀웨어는 두 단계로 나뉘어 실행되는데, 먼저는 1.bat이라는 패치 파일을 실행하는 것부터 시작한다. 이는 일종의 스크립트 파일로, 실행되면 피해자의 IIS 서버에 배드IIS의 실제 페이로드가 다운로드 및 설치된다. 또한 appcmd.exe라는 유틸리티를 사용해 IIS 환경설정 내용을 바꾸고, 배드IIS 모듈 파일을 특정 디렉토리 내에 복제한 뒤 IIS 서비스를 재시작해 변동된 사항을 적용한다.

“특이한 건 1.bat에 두 개의 명령어가 최근 추가되었다는 겁니다. 이 두 가지 명령을 통해 배드IIS의 프록시 기능이 스크립트, 실행파일, HTML, CSS, 자바스크립트, 이미지와 같은 정적 파일로 압축되지 않게 합니다. 즉 IIS의 동적 및 정적 압축 기능을 비활성화 하는 것이죠. 공격자들이 이번 캠페인을 위해 잘 알려진 멀웨어를 어느 정도 커스터마이징 했다는 것을 알 수 있습니다. 배드IIS는 취약한 서버나 사용자에게 직접적인 피해를 주지는 않습니다. 그러나 피싱 공격의 중간다리 역할을 하기 때문에 위험합니다.”

침해 지표는 탈로스 팀의 블로그 게시글을 통해 확인이 가능하다.

3줄 요약
1. 드래곤랭크라는 중국 해킹 단체가 등장해 윈도 IIS 서버를 감염시켜 IIS 서버를 침해함..
2. 주요 피해 국가는 태국, 인도, 한국, 벨기에, 네덜란드, 중국.
3. 성인물과 관련된 키워드로 검색하다가 걸리는 피해자들이 많음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 프로브디지털

    • 인텔리빅스

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 세연테크

    • 비전정보통신

    • 디비시스

    • 동양유니텍

    • 스피어AX

    • 투윈스컴

    • 아이리스아이디

    • 한결피아이에프

    • 유에치디프로

    • 위트콘

    • 주식회사 에스카

    • 포엠아이텍

    • 세렉스

    • 안랩

    • 이글루코퍼레이션

    • 엔피코어

    • 시만텍

    • 트렐릭스

    • 스텔라사이버

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 미래시그널

    • 케이제이테크

    • 알에프코리아

    • 유투에스알

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에스에스티랩

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 구네보코리아주식회사

    • 티에스아이솔루션

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 넥스트림

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 이오씨

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기