보안 업체가 발견한 후 서비스 업체들에 알려...합동 조치로 인프라 폐쇄
[보안뉴스 문가용 기자] 더블건 그룹(DoubleGun Group)이라는 중국향 사이버 범죄 단체가 알리바바(Alibaba)와 바이두(Baidu)의 공공 클라우드를 활용해 거대한 봇넷을 운영하다가 발각됐다. 그러면서 공격에 활용하던 인프라가 일부 와해되기도 했다.
[이미지 = utoimage]
중국의 보안 업체 치후360(Qihoo 360)의 보안 연구소 넷랩 360(NetLab 360)에 의하면 “최근 윈도우 기반 장비들을 다량으로 제어하는 수상한 도메인(pro.csocools.com)을 하나 발견했다”고 한다. 추가로 분석을 했더니 C&C 인프라임이 드러났고, 해당 인프라를 확장시키기 위한 멀웨어를 분석했을 때 더블건 그룹이 가장 유력한 용의자로 떠올랐다. “더블건은 이전에도 여러 차례 발각되고 와해된 그룹입니다. 그런데도 계속 살아나서 공격을 실시합니다.”
가장 최근에 이들은 해적판 게임이 유통되는 곳에서 멀웨어를 퍼트리고 있었다고 한다. 동시에 알리바바의 클라우드 서비스와 바이두라는 중국 내 초대형 온라인 커뮤니티를 활용해 각종 공격용 파일들을 호스팅 해두었다. 또 다른 중국 대기업의 텐센트(Tencent)에 호스팅 된 URL로 감염된 장비들을 관리하는 모습을 보이기도 했다.
“이들이 활동하는 곳에서 해적판 게임의 다운로드 링크를 누르면 게임이 호스팅 되어 있는 사설 서버로 연결이 됩니다. 그리고 구매 없이도 라이선스가 풀리는 ‘패치’를 다운로드 받고 적용하게 되어 있습니다. 더블건은 이 ‘패치’를 조작했습니다. 사용자들이 패치를 적용하는 순간 악성 코드가 설치됩니다. 이번 캠페인에서는 cs.dll이라는 악성 파일이며, 바이두에 호스팅 되어 있습니다.” 넷랩 전문가들의 설명이다.
cs.dll 파일은 있는 그대로 바이두에 호스팅 되어 있지 않다. 다양한 이미지 파일 속에 숨겨져 있다. 이 이미지들은, 실제 이미지를 구현하는 데 필요한 데이터와 악성 코드 데이터를 모두 포함하고 있다. 이 악성 데이터는 DES를 변형시킨 알고리즘으로 암호화 되어 있는데, 이 부분이 이전 더블건의 공격에서 발견된 것이기도 하다.
이 cs.dll의 기능은 다음과 같다.
1) 간단한 가상기계 기능 실행
2) 소프트웨어 분석 방해
3) 바이두 통계 서비스를 활용해 봇 정보를 C&C 서버로 전송
장비가 감염이 되면 기본적으로 봇 ID가 부여되며, 이 번호도 더블건으로 전송된다. 바이두의 통계 서비스는 수많은 웹사이트에서 사용되고 있기 때문에 악의적인 목적으로 활용되는 소수의 몇 개를 골라내기란 매우 어렵다고 한다.
그 후에는 추가 드라이버가 설치된다. 이 드라이버는 또 다른 악성 파일을 암호화 해서 가져온다. “이렇게 추가에 추가를 거듭해 설치되는 것이 주요 페이로드입니다. 이 페이로드가 설치되면 시스템 프로세스를 본격적으로 하이재킹 하는 게 가능하게 되며, 그 다음부터 공격자는 보다 자유로운 악성 행위를 할 수 있습니다. 추가 악성 프로그램을 설치할 수도 있고요.”
치후360은 이 캠페인에 연루된 기업들인 알리바바, 바이두, 텐센트에 이와 같은 사실을 모두 알렸다. 해당 기업들은 모두 필요한 조치를 취했고, 더블건이 마련한 거대 공격 인프라는 거의 폐쇄되다시피 했다.
바이두는 “방대한 위협 첩보를 바탕으로 바이두는 여러 기업들과 협업하여 불법 행위를 하는 자들의 기반 시설을 폐쇄하는 데 성공했다”고 발표했다. 그러면서 “많은 피해자를 감염시켰던 멀웨어가 당분간 다운로드 되는 일이 없을 것”이라고 덧붙이기도 했다.
또한 바이두는 “이번 협업을 통해 더블건이라는 사이버 범죄 단체의 기술적 배경과 공격 전략에 대해 보다 상세히 이해하기 되었고, 앞으로 비슷한 류의 공격에 대해 더 탄탄한 방어 체계를 구축할 수 있게 되었다”며 “이런 식의 첩보 공유와 협업이 얼마나 중요한지 다시 한 번 체험했다”고 발표하기도 했다.
3줄 요약
1. 중국의 사이버 범죄 단체, 대형 공공 클라우드와 커뮤니티를 공격 인프라로 활용.
2. 이를 발견한 보안 업체, 해당 서비스 제공 업체들과 공조해 인프라 폐쇄시킴.
3. 첩보 공유와 협업의 힘 보여줄 수 있었다는 바이두 측의 소감.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>