최근 나타난 공격 패턴에서는 ‘전체 감염 전략’ 바뀐 듯한 모습 보여
[보안뉴스 문가용 기자] 올해 평창에서 열린 동계올림픽에서 발견된 올림픽 디스트로이어(Olympic Destroyer)라는 멀웨어가 다시 모습을 드러냈다. 이번에는 새로운 1단계 드로퍼 변종을 동원하고 있다고 한다.
[이미지 = iclickart]
올림픽 디스트로이어는 올림픽이 끝난 2월부터는 올림픽과 상관없는 조직들도 노리기 시작했다. 배후에 있는 공격자들은 악성 매크로를 포함한 첨부 파일이 덧붙여진 스피어 피싱 기법을 사용해 공격을 진행했다. 보안 업체 체크포인트(Check Point)는 “그 때부터 올림픽 디스트로이어는 매달 조금 씩 바뀐 변종들과 함께 나타났다”며 “이 때문에 탐지가 쉽지만은 않다”고 설명했다.
“10월에 발견된 공격의 경우, 그 전에 있었던 올림픽 디스트로이어와 비교했을 때 문자열 엔코딩 방법이나 그 외 여러 지표들에서 상당한 유사성을 보입니다. 사실 같은 단체가 만든 것이라고밖에는 설명이 되지 않을 정도입니다. 매달 업그레이드 되는 난독화 툴도 그렇고요. 다만 가장 최근에 확보한 샘플은 기존의 ‘업그레이드 패턴’과 조금 달랐습니다. 즉, 이전과는 확연히 다른 변종이 나타났다는 겁니다.”
그러면서 체크포인트는 “이번 변종에는 분석 방해 기능과 실행 지연 기능이 새롭게 추가됐는데, 이전까지는 삭제 기능을 가지고 있던 두 번째 페이로드에 있던 것들”이라고 지적했다. “별 거 아닌 것처럼 보일 수 있는 변화인데, 사실 감염의 전략과 큰 흐름을 바꿨다는 뜻으로 해석이 가능합니다.”
공격자들이 사용하는 doc 문서들과 매크로 난독화 기술에는 독특한 특징이 있는데, “이 때문에 올림픽 디스트로이어가 사용하는 드로퍼와 다른 공격자들의 드로퍼가 구분이 간다”고 한다. “예를 들면 올림픽 디스트로이어 드로퍼에는 제임스(James), 존(John), AV라는 세 가지 이름 중 하나가 반드시 있습니다. 올림픽 디스트로이어 공격은 자주 일어나지 않기 때문에 분석과 추적이 매우 어려운데, 이런 고유한 특징이 있다는 건 분석가들에게 있어 굉장히 중요한 일입니다.”
체크포인트는 “다른 보안 업체들 사이에서도 올림픽 디스트로이어 배후의 공격자들을 추적하는 게 얼마나 어려운지 소문이 나있다”며, “오죽하면 이들을 지옥이나 저승이라는 뜻의 하데스(Hades)라고 부르겠는가”라고 덧붙였다. “주로 널리 사용되는 툴들을 가지고 정찰 및 공격을 함으로써 혐의를 벗어나는 게 이들의 수법입니다.” 또 다른 보안 업체 카스퍼스키(Kaspersky) 역시 이들을 하데스라고 칭하는 데 거리낌이 없다.
최근 공격 캠페인에서 하데스는 “피해자들에게 빈 페이지를 보여주는 것으로 공격을 시작했다”고 한다. “매크로를 켜면 텍스트가 검게 보이도록 한 것인데요, 궁금증을 참지 못한 사용자가 매크로를 활성화 하는 순간, 물론 글씨도 보이지만, 악성 행위도 시작됩니다. 사용자 눈에 보이는 텍스트 자체는 인터넷에서 쉽게 구할 수 있는 정상적인 문건에서 따온 겁니다.”
매크로가 실행되면 제일 먼저 샌드박스 우회 기능을 실시한다. “현재 돌아가고 있는 프로세스를 목록화하고, 하나하나 살피면서 분석 툴과 관련되어 있는지를 확인합니다. 전체 프로세스를 다 세고, 분석합니다. 총 프로세스 수를 세는 건, 샌드박스나 분석 환경이 존재하는 시스템에서는 프로세스의 수가 비교적 적기 때문입니다.” 문제는 이런 기능이 이전 올림픽 디스트로이어 공격에서는 파워셸 단계에서 발동되기 시작했다는 것이다. 역시 하데스 그룹의 전체 감염 전략이 바뀌었을 가능성을 시사하는 부분이다.
또한 이 최근 드로퍼는 복호화된 HTA 파일을 디스크에 작성하기도 한다. 그리고 스케줄러를 조작해 아침 시간 대에 자동으로 실행되도록 한다. HTA 파일은 VB스크립트를 활용해 다음 단계의 명령행을 복호화한다. 이 부분을 분석하다가 체크포인트는 서버 오류를 발견했다. “하데스 그룹에 대해서는 알려진 바가 많이 없습니다. 드로퍼나 페이로드를 분석하는 게 거의 전부인데, 일부 드로퍼에서 서버 오류가 발견됐습니다. 하데스가 침해한 서버가 프록시로서만 활용되고 있다는 걸 유추할 수 있었습니다.”
체크포인트는 “올림픽 디스트로이어 배후 세력은 끊임없는 변화를 꾀하는 그룹이라는 게 다시 한 번 증명됐다”고 결론을 내린다. “그 모든 노력은 결국 추적과 분석을 따돌리기 위한 것입니다. 그 부분에 있어서 워낙 악명이 높아 애초에 이름도 하데스라고 붙은 것이고요. 이들은 실제로 평창 올림픽 당시 북한과 러시아를 가리키는 흔적을 모두 남겨 수사에서도 혼란이 있었죠. 아직도 북한이 그랬느냐, 러시아가 그랬느냐, 결론이 명확히 내려지지 않은 상태이고요. 최근 발견된 공격에서도 이들의 이러한 특징이 고스란히 나타났습니다.”
그러면서 체크포인트는 “올림픽 디스트로이어 공격자들 혹은 하데스 그룹은 아직까지도 전성기”라고 말하며 “당분간 공격의 고삐를 늦추지 않을 것으로 보인다”고 경고했다.
3줄 요약
1. 평창 올림픽 공격의 주역 올림픽 디스트로이어, 다시 나타나다.
2. 배후 세력 아직도 명확히 밝혀지지 않았지만, 지어진 별명은 하데스이고, 끊임없는 진화가 특징임.
3. 최근 공격에서는 단순 악성 코드나 페이로드 일부가 아니라 전체적인 감염 전략 바뀐 듯한 모습 나타나기도 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>