기존 사이버전 떠오르게 하는 기능 및 공격 방식
배후 세력은 아직 미궁 속...리눅스와 윈도우 버전도 있을 듯
[보안뉴스 문가용 기자] 2017년의 첫 맥용 멀웨어가 등장했다. 게다가 사이버전의 흔적으로 의심을 받고 있기도 하다. 멀웨어 자체는 매우 간단한 구조로 만들어져 있으며 오래되다 못해 낡아빠진 코드를 포함하고 있기도 하며, 스파이 활동을 꽤나 오랜 시간 이어온 것으로 보인다. 그리고 무엇보다 생체의학 분야의 다양한 기관 및 연구 자료들을 노린 것으로 의심된다.
.jpg)
이 멀웨어에 대한 수사 및 분석은 보안 전문업체인 멀웨어바이츠(Malwarebytes)가 진행하고 있으며, 멀웨어바이츠는 이 멀웨어를 퀴밋친(Quimitchin)이라고 부르기로 했다. 퀴밋친은 고대 아즈텍 스파이를 지칭하는 것으로, 멀웨어 안에 포함되어 있는 코드 일부가 매우 오래되었기 때문에 이러한 이름을 붙였다고 한다.
퀴밋친 멀웨어는 크게 두 가지 파일로 구성되어 있다. 하나는 .plist이고 다른 하나는 .client다. .plist 파일의 기능은 .client 파일이 계속해서 돌아가도록 하는 것이고, .client 파일은 펄 스크립트로 만들어진 실제 페이로드로 난독화 처리가 적용돼 있다. 이 페이로드는 또 세 가지로 구성되어 있는데, 맥 바이너리, 또 다른 펄 스크립트, 자바 클래스가 바로 그것이다.
퀴밋친 멀웨어는 컴퓨터 화면과 웹 캠 화면을 캡처하는 기능을 가지고 있는데, 이는 스파잉 툴의 가장 기본적인 기능이다. 멀웨어바이츠는 “화면 캡처 기능이 가장 주요한 기능인 것으로 보아 데이터를 빼돌리는 유형의 멀웨어인 것으로 보인다”며 “생체의학 분야 시설에서 발견된 것으로 보아, 이 분야의 정보를 특정해 노린 것 같다”고 설명한다. 하지만 아직 배후에 누가 있는지는 알 수 없다고 덧붙였다.
하지만 일부 코드가 너무 오래되었다는 점이 의아스럽다고 멀웨어바이츠는 밝힌다. “시스템 호출 기능 부분의 코드는 OS X가 나오기 전부터 있었던 방식입니다. 바이너리에도 오픈소스 libjpeg 코드가 있었는데, 이건 최종 업데이트가 1998년에 있었던 겁니다. IT 세계에서는 고대의 유물이 발견된 것과 같습니다.”
멀웨어바이츠는 퀴밋친에서 리눅스 쉘 명령어도 발견했다. 그래서 리눅스 시스템에서도 퀴밋친을 실험했고, 그 결과 대부분이 정상적으로 작동하는 걸 알아냈다. “아마 리눅스 버전의 퀴밋친도 존재하리라고 봅니다. 아직 저희가 찾아내지 못한 것 뿐이죠. 뿐만 아니라 바이러스토탈(VirusTotal)은 윈도우용 실행 파일도 두 개 찾아냈습니다. 이 두 파일 모두 같은 C&C 서버와 통신을 합니다. 재미있는 건 이 두 파일 중 하나에서도 1998년에 마지막으로 업데이트 된 libjpeg 라이브러리가 발견되었다는 겁니다.”
오래된 코드 및 라이브러리가 있었기 때문에 퀴밋친이 상당히 오랫동안 숨어서 정보를 빼돌린 것 아니냐는 의문이 제기되었다. “현재까지 이 멀웨어가 발견되지 않았던 건, 공격 목표가 매우 한정되어 있어서가 아닐까 합니다. 애초에 공격받은 사람이 많지 않았기 때문에 드러나지가 않았다는 것이죠. 지난 몇 년간 러시아나 중국이 미국과 유럽의 과학자 및 연구 시설의 정보를 노리고 훔쳐간 것은 잘 알려진 사실입니다. 물론 퀴밋친이 중국이나 러시아가 만든 것이라는 증거는 없습니다만, 생체의학 분야에서만 발견되었다는 사실 하나만으로도 어느 정도 의심이 갈 수밖에 없습니다.”
또 다른 보안 업체인 ESET의 수석 연구원인 데이비드 할리(David Harley) 역시 비슷한 의견이다. “다수를 향해 살포했다면 일반적인 사이버 범죄자들을 의심했을 수도 있습니다만, 이번엔 공격 목표가 매우 정확했고, 특수하기도 했습니다. 게다가 국가가 후원하는 해커들이 요 몇 년 사이 맥 시스템을 노리는 멀웨어를 제작하고 있기도 하고요. 물론 일반 범죄자나 경쟁 기업이 퀴밋친을 만들었을 수도 있지만, 제 경험상 이런 기능을 하는 멀웨어는 대부분 사이버전에 동원되는 것들이었습니다.”
그러나 할리는 코드가 오래되었으니 스파잉도 오래 해왔을 거라는 추측은 위험할 수 있다고 말한다. “왜냐하면 퀴밋친의 개발자가 맥 시스템을 잘 모르는 사람일 수도 있거든요. 아니면 특정 이유 때문에 일부러 오래된 시스템 요청 방식을 활용한 것일 수도 있고요. 코드 나이가 이번 건의 핵심은 아닙니다. 이게 몇 년도 코드인지에 집중하기 시작하면 본질을 놓치게 됩니다. 게다가 멀웨어 개발자들은 늘 ‘옛’ 코드를 사용해왔습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
배후 세력은 아직 미궁 속...리눅스와 윈도우 버전도 있을 듯
[보안뉴스 문가용 기자] 2017년의 첫 맥용 멀웨어가 등장했다. 게다가 사이버전의 흔적으로 의심을 받고 있기도 하다. 멀웨어 자체는 매우 간단한 구조로 만들어져 있으며 오래되다 못해 낡아빠진 코드를 포함하고 있기도 하며, 스파이 활동을 꽤나 오랜 시간 이어온 것으로 보인다. 그리고 무엇보다 생체의학 분야의 다양한 기관 및 연구 자료들을 노린 것으로 의심된다.
이 멀웨어에 대한 수사 및 분석은 보안 전문업체인 멀웨어바이츠(Malwarebytes)가 진행하고 있으며, 멀웨어바이츠는 이 멀웨어를 퀴밋친(Quimitchin)이라고 부르기로 했다. 퀴밋친은 고대 아즈텍 스파이를 지칭하는 것으로, 멀웨어 안에 포함되어 있는 코드 일부가 매우 오래되었기 때문에 이러한 이름을 붙였다고 한다.
퀴밋친 멀웨어는 크게 두 가지 파일로 구성되어 있다. 하나는 .plist이고 다른 하나는 .client다. .plist 파일의 기능은 .client 파일이 계속해서 돌아가도록 하는 것이고, .client 파일은 펄 스크립트로 만들어진 실제 페이로드로 난독화 처리가 적용돼 있다. 이 페이로드는 또 세 가지로 구성되어 있는데, 맥 바이너리, 또 다른 펄 스크립트, 자바 클래스가 바로 그것이다.
퀴밋친 멀웨어는 컴퓨터 화면과 웹 캠 화면을 캡처하는 기능을 가지고 있는데, 이는 스파잉 툴의 가장 기본적인 기능이다. 멀웨어바이츠는 “화면 캡처 기능이 가장 주요한 기능인 것으로 보아 데이터를 빼돌리는 유형의 멀웨어인 것으로 보인다”며 “생체의학 분야 시설에서 발견된 것으로 보아, 이 분야의 정보를 특정해 노린 것 같다”고 설명한다. 하지만 아직 배후에 누가 있는지는 알 수 없다고 덧붙였다.
하지만 일부 코드가 너무 오래되었다는 점이 의아스럽다고 멀웨어바이츠는 밝힌다. “시스템 호출 기능 부분의 코드는 OS X가 나오기 전부터 있었던 방식입니다. 바이너리에도 오픈소스 libjpeg 코드가 있었는데, 이건 최종 업데이트가 1998년에 있었던 겁니다. IT 세계에서는 고대의 유물이 발견된 것과 같습니다.”
멀웨어바이츠는 퀴밋친에서 리눅스 쉘 명령어도 발견했다. 그래서 리눅스 시스템에서도 퀴밋친을 실험했고, 그 결과 대부분이 정상적으로 작동하는 걸 알아냈다. “아마 리눅스 버전의 퀴밋친도 존재하리라고 봅니다. 아직 저희가 찾아내지 못한 것 뿐이죠. 뿐만 아니라 바이러스토탈(VirusTotal)은 윈도우용 실행 파일도 두 개 찾아냈습니다. 이 두 파일 모두 같은 C&C 서버와 통신을 합니다. 재미있는 건 이 두 파일 중 하나에서도 1998년에 마지막으로 업데이트 된 libjpeg 라이브러리가 발견되었다는 겁니다.”
오래된 코드 및 라이브러리가 있었기 때문에 퀴밋친이 상당히 오랫동안 숨어서 정보를 빼돌린 것 아니냐는 의문이 제기되었다. “현재까지 이 멀웨어가 발견되지 않았던 건, 공격 목표가 매우 한정되어 있어서가 아닐까 합니다. 애초에 공격받은 사람이 많지 않았기 때문에 드러나지가 않았다는 것이죠. 지난 몇 년간 러시아나 중국이 미국과 유럽의 과학자 및 연구 시설의 정보를 노리고 훔쳐간 것은 잘 알려진 사실입니다. 물론 퀴밋친이 중국이나 러시아가 만든 것이라는 증거는 없습니다만, 생체의학 분야에서만 발견되었다는 사실 하나만으로도 어느 정도 의심이 갈 수밖에 없습니다.”
또 다른 보안 업체인 ESET의 수석 연구원인 데이비드 할리(David Harley) 역시 비슷한 의견이다. “다수를 향해 살포했다면 일반적인 사이버 범죄자들을 의심했을 수도 있습니다만, 이번엔 공격 목표가 매우 정확했고, 특수하기도 했습니다. 게다가 국가가 후원하는 해커들이 요 몇 년 사이 맥 시스템을 노리는 멀웨어를 제작하고 있기도 하고요. 물론 일반 범죄자나 경쟁 기업이 퀴밋친을 만들었을 수도 있지만, 제 경험상 이런 기능을 하는 멀웨어는 대부분 사이버전에 동원되는 것들이었습니다.”
그러나 할리는 코드가 오래되었으니 스파잉도 오래 해왔을 거라는 추측은 위험할 수 있다고 말한다. “왜냐하면 퀴밋친의 개발자가 맥 시스템을 잘 모르는 사람일 수도 있거든요. 아니면 특정 이유 때문에 일부러 오래된 시스템 요청 방식을 활용한 것일 수도 있고요. 코드 나이가 이번 건의 핵심은 아닙니다. 이게 몇 년도 코드인지에 집중하기 시작하면 본질을 놓치게 됩니다. 게다가 멀웨어 개발자들은 늘 ‘옛’ 코드를 사용해왔습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
