중국의 APT 단체가 처음으로 리눅스를 노리는 공격을 하기 시작했다. 이는 최근 APT 조직들 간에 나타나는 특정한 트렌드를 보여준다. 윈도가 조금 강해진 탓에, 리눅스에 관심을 두는 공격자들이 많아지고 있다.
[보안뉴스 문정후 기자] 중국의 해킹 단체인 겔세뮴(Gelsemium)이 새로운 백도어를 사용하기 시작했다. 한 번도 발견된 적이 없던 것으로, 리눅스 기반 시스템을 공략하기 위해 개발된 것으로 보인다. 또한 기존에 발견된 멀웨어인 프로젝트우드(Project Wood)와도 관련성이 깊은 것으로 분석됐다. 이 모든 내용을 보안 업체 이셋(ESET)이 추적해 발표했다.
[이미지 = gettyimagesbank]
이셋은 현재 이 새 멀웨어에 울프스베인(WolfsBane)이라는 이름을 붙여 추적하고 있다. “울프스베인은 새 멀웨어이지만 겔세뮴은 그렇지 않습니다. 이들은 최소 2014년부터 활동해 온 것으로 알려져 있습니다. 하지만 겔세뮴이 리눅스 멀웨어를 사용했다는 보고가 나온 사례는 단 한 번도 없습니다. 겔세뮴이 자신들의 전략을 확장시킨 것으로 보입니다.” 이셋의 설명이다.
바이러스토탈(VirusTotal)에는 울프스베인의 샘플이 두 가지로 업로드 되어 있었다고 한다. “이 샘플들은 겔세뮴이 이전에 사용했던 윈도용 악성 코드와 굉장히 닮아 있었습니다. 바로 겔세비린(Gelsevirine)이라고 하는 건데, 울프스베인은 이 겔세비린의 리눅스 버전이라고 볼 수 있습니다. 겔세비린이나 울프스베인이나 주요 목적은 피해자의 시스템 정보나 크리덴셜, 특정 파일이나 디렉토리의 정보를 빼돌리는 것입니다. 은밀하게 기능을 수행하면서 최대한 오래 머물러 스파이 활동을 하려고 만들어진 멀웨어들이죠.”
이 공격을 추적하다가 이셋의 연구원들은 또 다른 백도어를 발견했다. 이름은 파이어우드(FireWood)로, 이전부터 알려진 멀웨어인 프로젝트우드(Project Wood)와 유사성이 있는 것으로 분석됐다. “겔세뮴 공격자들은 파이어우드의 윈도 버전에 해당하는 멀웨어(즉 프로젝트우드)를 이전 다른 캠페인에서 사용한 적이 있습니다. 당시 보안 업계에서는 이 캠페인을 투해시작전(Ooperation TooHash)라고 불러 추적한 적이 있습니다.” 그 외에도 웹셸 등 겔세뮴이 사용한 다른 공격 도구들이 발견되기도 했다.
참고로 겔세뮴은 이전부터 동아시아와 중동 지역의 각종 조직들을 대상으로 공격을 실시해 왔던 악성 단체다. 이번에 발견된 울프스페인 역시 대만, 필리핀, 싱가포르로부터 바이러스토탈에 업로드 되었다. 이 샘플들은 울프스베인의 침해로부터 시스템을 방어하는 과정 중에 업로드 된 것으로 추정되고 있다. 프로젝트우드의 경우 보안 이셋이 2005년까지 추적하기도 했었던, 역사가 깊은 멀웨어다. 그 후 프로젝트우드는 여러 버전을 거쳐 정교하게 발전했다.
멀웨어 교통정리
이셋의 연구원들이 울프스베인과 겔세비린을 사실상 하나의 멀웨어로 파악하는 데에는 다음과 같은 이유가 있다.
1) 네트워크 통신을 위한 맞춤형 라이브러리가 동일하다.
2) 명령 실행 메커니즘이 동일하다.
3) 두 가지 백도어의 구조가 매우 유사하다.
4) 울프스베인 분석 중에 나온 도메인 하나가 이전부터 겔세뮴의 침해지표로 등장했던 도메인이다.
파이어우드와 프로젝트우드와의 연결 고리 역시 다음과 같은 이유로 추정 가능하다고 한다.
1) 코드 간 유사성이 눈에 띈다.
2) 이름을 지정할 때 사용하는 규칙이 동일하다. 둘 다 이름에 우드(Wood)라는 문자열을 사용하는 것이다.
3) 파일 확장자가 동일하다. 둘 다 .k2와 .v2라는 확장자를 가지고 파일 이름을 짓는다.
4) TEA 암호화 알고리즘이 동일하게 사용되고 있다.
5) C&C 통신을 위한 문자열에서 동일한 것이 발견되고 있다.
6) 두 샘플의 네트워킹 관련 코드가 매우 유사하다.
그래서 나오는 이셋의 결론은 이렇다.
1) 울프스베인(리눅스용) = 겔세비린(윈도용)
2) 파이어우드(리눅스용) = 프로젝트우드(윈도용)
다만 울프스베인의 배후에 겔세뮴이 있다는 것은 거의 확실한데 파이어우드는 그렇지 않다고 한다. 이 때문에 이셋은 파이어우드는 다른 중국 APT 그룹으로부터 겔세뮴이 공유를 받은 도구일 수 있다고 보고 있다.
공격, 어떻게 이뤄지는가?
울프스베인을 심기 위해 겔세뮴 공격자들은 어떤 식으로 피해자의 시스템에 최초로 접근할까? 결론부터 말하자면 이셋은 아직 구체적인 증거를 확보하지 못했다고 한다. “하지만 추적 중에 여러 가지 웹셸들이 발견됐고, 겔세뮴이 과거 사용해 왔던 공격 전술과 기술을 알고 있기 때문에 이들이 특정 웹 애플리케이션 취약점을 익스플로잇 했다는 것으로 추정하고 있습니다. 물론 더 많은 증거를 확보해야 더 자신감 있게 결론을 내릴 수 있을 겁니다.”
첫 단계에서 공격자들이 먼저 사용하는 건 드로퍼다. “울프스베인의 드로퍼는 cron이라는 파일에서 발견됐습니다. 마치 스케줄링 도구처럼 이름이 지어져 있죠. 하지만 이 파일을 실행시키면 숨겨진 디렉토리에 있던 실행파일이 실행되며, 주요 백도어를 다운로드 받아 설치합니다. 그 후에는 공격 지속성 확보를 위한 악성 행위를 실시합니다. 이건 시스템의 구성에 따라 그 방식이 조금씩 달라집니다.”
다음 단계에서 공격자들은 KDE라는 정상적인 데스크톱 구성 요소로 위장한 바이너리를 심어 추가적인 공격 지속성을 확보한다. 이 바이너리 내부에는 여러 가지 설정 내용들이 저장되어 있는데, 여기에 지정되어 있는 파일을 참조하여 울프스베인 백도어의 설치를 시작한다. 즉 이 바이너리가 울프스베인 공격을 본격적으로 시작하는 데 있어 대단히 중요한 역할을 한다는 것이다.
마지막 단계에서 울프스베인은 udevd라는 이름의 파일로 저장되는데, 본격적인 악성 행위를 시작하기 전에 먼저 내장된 라이브러리를 로드하고 일부 함수를 호출하는 작업을 시작한다. 이 함수가 울프스베인의 주요 기능을 포함하고 있기에 이는 꼭 있어야 할 절차다. 이 라이브러리는 libMainPlugin.so인데, 울프스베인의 윈도 버전인 겔세비린에도 이와 비슷한 라이브러리가 존재한다. 이름은 조금 다르다.
이런 단계를 거친 울프스베인은 오픈소스인 BEURK를 이용해 자신의 악성 행위를 감추기도 한다. BEURK는 그 자체로 루트킷이기도 한데, 다른 라이브러리들보다 먼저 로드되어 원래 함수들을 이용하거나 회피하여 본연의 기능을 실행하는 것이 그 특징이다. 다만 BEURK 루트킷에 원래 포함되어 있던 네트워크 트래픽 은닉 기능은 제거된 채였다.
파이어우드와 기타 다른 도구들
겔세뮴은 이번 캠페인을 통해 파이어우드라는 백도어도 사용한 것으로 조사됐다. 이 백도어의 경우 dbus라는 이름의 파일 형태로 존재하며, 프로젝트우드라는 기존 멀웨어를 리눅스용으로 포팅한 것과 같았다고 이셋은 설명한다. “커널 드라이버 모듈도 포함하고 있으며, 프로세스를 숨기는 기능도 가지고 있었습니다. 또한 넷링크(Netlink)라는 프로토콜을 사용해 커널 드라이버와 통신하기도 합니다.”
파이어우드는 피해자의 시스템에 설치된 후 먼저 설정 파일에 지정된 값을 기반으로 자신의 프로세스 이름을 변경하는 작업부터 실시한다. “그런 후에는 공격 지속성을 확보하기 위해 특정 파일을 생성하여 부팅 시 이 파일이 실행되도록 합니다. 그리고 TCP를 통해 C&C 서버와 통신할 수 있도록 채널을 마련하기도 합니다. 모든 데이터는 TEA 암호화 알고리즘을 통해 암호화 되기도 하고요. 이런 모든 절차를 실행한 후 성공과 실패 여부를 공격자에게 알려주기도 합니다.”
그 외에도 다음과 같은 도구들을 활용하기도 했었다.
1) SSH 비밀번호 탈취 도구
2) 권한 상승 도구
3) 세 가지 웹셸(login.jsp / yy1.jsp / a.jsp) : 각종 악성 행위를 다양하게 실행시키기 위한 도구들
겔세뮴의 변화, 어떤 의미인가
상기했다시피 겔세뮴은 처음으로 리눅스 시스템을 공격하기 시작했다. 이 변화가 갖는 의미가 크다고 이셋은 설명한다. “APT 그룹들이 최근 들어 리눅스용 악성 코드를 개발하는 데 집중하고 있습니다. 이는 윈도의 이메일 및 엔드포인트 보안이 강화되고 있기 때문이라고 생각합니다. 게다가 마이크로소프트가 기본적으로 VBA 매크로를 비활성화 했기 때문에 악성 매크로를 활용할 만한 기회가 기하급수적으로 줄어들기도 했습니다. 그래서 공격자들은 지금까지도 새로운 공격 표적과 경로를 모색하고 있으며, 그런 가운데 리눅스가 공격자들의 관심을 받게 된 겁니다.”
게다가 아직 확실하지는 않지만 중국 APT 조직들 간 협력 체계가 발견되었다는 것도 주의 깊게 살펴야 할 내용이다. “파이어우드의 경우 겔세뮴이 독자적으로 개발하여 사용하고 있는 고유의 도구라고 하기에는 아직 증거가 부족합니다. 오히려 다른 중국 APT 조직들의 흔적이 이 파이어우드로부터 발견되고 있지요. 중국 APT들 간에 서로 영향을 주는 일들이 일어나고 있는 것으로 추정됩니다.”
3줄 요약
1. 중국의 APT 조직 겔세뮴, 최근 리눅스 시스템 노리기 시작.
2. 겔세뮴이 리눅스를 노린 건 이번이 처음으로 최근 APT들 간 유행을 보여줌.
3. 게다가 겔세뮴이 사용한 리눅스 멀웨어에서 다른 중국 APT의 향기가 남.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 중국의 해킹 단체인 겔세뮴(Gelsemium)이 새로운 백도어를 사용하기 시작했다. 한 번도 발견된 적이 없던 것으로, 리눅스 기반 시스템을 공략하기 위해 개발된 것으로 보인다. 또한 기존에 발견된 멀웨어인 프로젝트우드(Project Wood)와도 관련성이 깊은 것으로 분석됐다. 이 모든 내용을 보안 업체 이셋(ESET)이 추적해 발표했다.
[이미지 = gettyimagesbank]
이셋은 현재 이 새 멀웨어에 울프스베인(WolfsBane)이라는 이름을 붙여 추적하고 있다. “울프스베인은 새 멀웨어이지만 겔세뮴은 그렇지 않습니다. 이들은 최소 2014년부터 활동해 온 것으로 알려져 있습니다. 하지만 겔세뮴이 리눅스 멀웨어를 사용했다는 보고가 나온 사례는 단 한 번도 없습니다. 겔세뮴이 자신들의 전략을 확장시킨 것으로 보입니다.” 이셋의 설명이다.
바이러스토탈(VirusTotal)에는 울프스베인의 샘플이 두 가지로 업로드 되어 있었다고 한다. “이 샘플들은 겔세뮴이 이전에 사용했던 윈도용 악성 코드와 굉장히 닮아 있었습니다. 바로 겔세비린(Gelsevirine)이라고 하는 건데, 울프스베인은 이 겔세비린의 리눅스 버전이라고 볼 수 있습니다. 겔세비린이나 울프스베인이나 주요 목적은 피해자의 시스템 정보나 크리덴셜, 특정 파일이나 디렉토리의 정보를 빼돌리는 것입니다. 은밀하게 기능을 수행하면서 최대한 오래 머물러 스파이 활동을 하려고 만들어진 멀웨어들이죠.”
이 공격을 추적하다가 이셋의 연구원들은 또 다른 백도어를 발견했다. 이름은 파이어우드(FireWood)로, 이전부터 알려진 멀웨어인 프로젝트우드(Project Wood)와 유사성이 있는 것으로 분석됐다. “겔세뮴 공격자들은 파이어우드의 윈도 버전에 해당하는 멀웨어(즉 프로젝트우드)를 이전 다른 캠페인에서 사용한 적이 있습니다. 당시 보안 업계에서는 이 캠페인을 투해시작전(Ooperation TooHash)라고 불러 추적한 적이 있습니다.” 그 외에도 웹셸 등 겔세뮴이 사용한 다른 공격 도구들이 발견되기도 했다.
참고로 겔세뮴은 이전부터 동아시아와 중동 지역의 각종 조직들을 대상으로 공격을 실시해 왔던 악성 단체다. 이번에 발견된 울프스페인 역시 대만, 필리핀, 싱가포르로부터 바이러스토탈에 업로드 되었다. 이 샘플들은 울프스베인의 침해로부터 시스템을 방어하는 과정 중에 업로드 된 것으로 추정되고 있다. 프로젝트우드의 경우 보안 이셋이 2005년까지 추적하기도 했었던, 역사가 깊은 멀웨어다. 그 후 프로젝트우드는 여러 버전을 거쳐 정교하게 발전했다.
멀웨어 교통정리
이셋의 연구원들이 울프스베인과 겔세비린을 사실상 하나의 멀웨어로 파악하는 데에는 다음과 같은 이유가 있다.
1) 네트워크 통신을 위한 맞춤형 라이브러리가 동일하다.
2) 명령 실행 메커니즘이 동일하다.
3) 두 가지 백도어의 구조가 매우 유사하다.
4) 울프스베인 분석 중에 나온 도메인 하나가 이전부터 겔세뮴의 침해지표로 등장했던 도메인이다.
파이어우드와 프로젝트우드와의 연결 고리 역시 다음과 같은 이유로 추정 가능하다고 한다.
1) 코드 간 유사성이 눈에 띈다.
2) 이름을 지정할 때 사용하는 규칙이 동일하다. 둘 다 이름에 우드(Wood)라는 문자열을 사용하는 것이다.
3) 파일 확장자가 동일하다. 둘 다 .k2와 .v2라는 확장자를 가지고 파일 이름을 짓는다.
4) TEA 암호화 알고리즘이 동일하게 사용되고 있다.
5) C&C 통신을 위한 문자열에서 동일한 것이 발견되고 있다.
6) 두 샘플의 네트워킹 관련 코드가 매우 유사하다.
그래서 나오는 이셋의 결론은 이렇다.
1) 울프스베인(리눅스용) = 겔세비린(윈도용)
2) 파이어우드(리눅스용) = 프로젝트우드(윈도용)
다만 울프스베인의 배후에 겔세뮴이 있다는 것은 거의 확실한데 파이어우드는 그렇지 않다고 한다. 이 때문에 이셋은 파이어우드는 다른 중국 APT 그룹으로부터 겔세뮴이 공유를 받은 도구일 수 있다고 보고 있다.
공격, 어떻게 이뤄지는가?
울프스베인을 심기 위해 겔세뮴 공격자들은 어떤 식으로 피해자의 시스템에 최초로 접근할까? 결론부터 말하자면 이셋은 아직 구체적인 증거를 확보하지 못했다고 한다. “하지만 추적 중에 여러 가지 웹셸들이 발견됐고, 겔세뮴이 과거 사용해 왔던 공격 전술과 기술을 알고 있기 때문에 이들이 특정 웹 애플리케이션 취약점을 익스플로잇 했다는 것으로 추정하고 있습니다. 물론 더 많은 증거를 확보해야 더 자신감 있게 결론을 내릴 수 있을 겁니다.”
첫 단계에서 공격자들이 먼저 사용하는 건 드로퍼다. “울프스베인의 드로퍼는 cron이라는 파일에서 발견됐습니다. 마치 스케줄링 도구처럼 이름이 지어져 있죠. 하지만 이 파일을 실행시키면 숨겨진 디렉토리에 있던 실행파일이 실행되며, 주요 백도어를 다운로드 받아 설치합니다. 그 후에는 공격 지속성 확보를 위한 악성 행위를 실시합니다. 이건 시스템의 구성에 따라 그 방식이 조금씩 달라집니다.”
다음 단계에서 공격자들은 KDE라는 정상적인 데스크톱 구성 요소로 위장한 바이너리를 심어 추가적인 공격 지속성을 확보한다. 이 바이너리 내부에는 여러 가지 설정 내용들이 저장되어 있는데, 여기에 지정되어 있는 파일을 참조하여 울프스베인 백도어의 설치를 시작한다. 즉 이 바이너리가 울프스베인 공격을 본격적으로 시작하는 데 있어 대단히 중요한 역할을 한다는 것이다.
마지막 단계에서 울프스베인은 udevd라는 이름의 파일로 저장되는데, 본격적인 악성 행위를 시작하기 전에 먼저 내장된 라이브러리를 로드하고 일부 함수를 호출하는 작업을 시작한다. 이 함수가 울프스베인의 주요 기능을 포함하고 있기에 이는 꼭 있어야 할 절차다. 이 라이브러리는 libMainPlugin.so인데, 울프스베인의 윈도 버전인 겔세비린에도 이와 비슷한 라이브러리가 존재한다. 이름은 조금 다르다.
이런 단계를 거친 울프스베인은 오픈소스인 BEURK를 이용해 자신의 악성 행위를 감추기도 한다. BEURK는 그 자체로 루트킷이기도 한데, 다른 라이브러리들보다 먼저 로드되어 원래 함수들을 이용하거나 회피하여 본연의 기능을 실행하는 것이 그 특징이다. 다만 BEURK 루트킷에 원래 포함되어 있던 네트워크 트래픽 은닉 기능은 제거된 채였다.
파이어우드와 기타 다른 도구들
겔세뮴은 이번 캠페인을 통해 파이어우드라는 백도어도 사용한 것으로 조사됐다. 이 백도어의 경우 dbus라는 이름의 파일 형태로 존재하며, 프로젝트우드라는 기존 멀웨어를 리눅스용으로 포팅한 것과 같았다고 이셋은 설명한다. “커널 드라이버 모듈도 포함하고 있으며, 프로세스를 숨기는 기능도 가지고 있었습니다. 또한 넷링크(Netlink)라는 프로토콜을 사용해 커널 드라이버와 통신하기도 합니다.”
파이어우드는 피해자의 시스템에 설치된 후 먼저 설정 파일에 지정된 값을 기반으로 자신의 프로세스 이름을 변경하는 작업부터 실시한다. “그런 후에는 공격 지속성을 확보하기 위해 특정 파일을 생성하여 부팅 시 이 파일이 실행되도록 합니다. 그리고 TCP를 통해 C&C 서버와 통신할 수 있도록 채널을 마련하기도 합니다. 모든 데이터는 TEA 암호화 알고리즘을 통해 암호화 되기도 하고요. 이런 모든 절차를 실행한 후 성공과 실패 여부를 공격자에게 알려주기도 합니다.”
그 외에도 다음과 같은 도구들을 활용하기도 했었다.
1) SSH 비밀번호 탈취 도구
2) 권한 상승 도구
3) 세 가지 웹셸(login.jsp / yy1.jsp / a.jsp) : 각종 악성 행위를 다양하게 실행시키기 위한 도구들
겔세뮴의 변화, 어떤 의미인가
상기했다시피 겔세뮴은 처음으로 리눅스 시스템을 공격하기 시작했다. 이 변화가 갖는 의미가 크다고 이셋은 설명한다. “APT 그룹들이 최근 들어 리눅스용 악성 코드를 개발하는 데 집중하고 있습니다. 이는 윈도의 이메일 및 엔드포인트 보안이 강화되고 있기 때문이라고 생각합니다. 게다가 마이크로소프트가 기본적으로 VBA 매크로를 비활성화 했기 때문에 악성 매크로를 활용할 만한 기회가 기하급수적으로 줄어들기도 했습니다. 그래서 공격자들은 지금까지도 새로운 공격 표적과 경로를 모색하고 있으며, 그런 가운데 리눅스가 공격자들의 관심을 받게 된 겁니다.”
게다가 아직 확실하지는 않지만 중국 APT 조직들 간 협력 체계가 발견되었다는 것도 주의 깊게 살펴야 할 내용이다. “파이어우드의 경우 겔세뮴이 독자적으로 개발하여 사용하고 있는 고유의 도구라고 하기에는 아직 증거가 부족합니다. 오히려 다른 중국 APT 조직들의 흔적이 이 파이어우드로부터 발견되고 있지요. 중국 APT들 간에 서로 영향을 주는 일들이 일어나고 있는 것으로 추정됩니다.”
3줄 요약
1. 중국의 APT 조직 겔세뮴, 최근 리눅스 시스템 노리기 시작.
2. 겔세뮴이 리눅스를 노린 건 이번이 처음으로 최근 APT들 간 유행을 보여줌.
3. 게다가 겔세뮴이 사용한 리눅스 멀웨어에서 다른 중국 APT의 향기가 남.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
