.gif)
최근 여러 보안 업체들이 분석하고 있는 멀웨어가 있다. 범블비라는 최초 침투 로더다. 피해자의 시스템에 제일 먼저 파고들어가 길을 확보한 후 추가 멀웨어를 불러들이는 녀석이다. 공격자들 사이에서 인기가 점점 높아지고 있다.
[보안뉴스 문가용 기자] 악명 높은 멀웨어 로더인 범블비(Bumblebee)에 대한 새로운 분석 보고서가 발표됐다. 범블비는 코발트 스트라이크(Cobalt Strike)와 같은 고급 익스플로잇 도구들을 피해자의 시스템에 심는 데 사용되는 멀웨어로, 주로 온라인 뱅킹과 관련된 정보들을 훔치는 페이로드들이 범블비를 타고 유포된다.
[이미지 = utoimage]
차별화 된 멀웨어
“범블비는 피해자의 지역적 위치에 따라 행동에 특별한 변화를 보여주지는 않습니다. 하지만 피해자들에 따라 차별적으로 악성 행위를 이어가는 건 사실입니다.” 보안 업체 체크포인트(Check Point)의 설명이다. “피해자가 워크그룹(WORKGROUP)에 연결되어 있다면, 범블비는 거의 대부분 ‘다운로드 및 실행’ 기능을 실시합니다. 즉 어디선가 파일을 받아 피해자의 디스크에 심은 뒤 실행하는 겁니다.”
반면 피해자의 시스템이 액티브 디렉토리 도메인에 연결되어 있을 때 범블비는 ‘다운로드 및 주입’ 혹은 ‘셸코드 다운로드 및 주입’을 실시한다. 이 경우 코발트 스트라이크, 미터프리터(Meterpreter), 슬리버(Sliver)와 같은 고급 페이로드들이 주입될 때가 많다.
지난 6개월 동안 보안 업계는 범블비를 적극적으로 분석해 왔다. 범블비가 보안 전문가들의 관심을 끄는 이유는 여러 가지인데 그 중 가장 중요한 건 다양한 해킹 그룹들 사이에서 널리 사용되는 중이라는 것이다. 콘티(Conti)나 디아볼(Diavol)과 같은 랜섬웨어도 범블비를 통해 퍼진 바 있다. 보안 업체 프루프포인트(Proofpoint)의 경우 범블비를 통해 바자로더(BazaLoader)를 퍼트리는 해킹 그룹과 연계된 흔적이 발견됐다고 발표하기도 했었다.
고차원적이면서 항상 진화하는 위협
범블비가 많은 관심을 받는 또 다른 이유는 ‘고차원적인 멀웨어’이기 때문이다. 범블비는 가상화 환경과 샌드박스가 아니라는 것을 확인한 후에 발동되기도 하고, 네트워크 통신 트래픽을 암호화 하기도 하며, 실행되고 있는 멀웨어 분석 프로세스들이 있는지 확인하고 무력화시키기도 한다. 게다가 범블비를 감추기 위해 개발자가 직접 만든 패커를 사용한다는 점도 독특하다고 체크포인트는 짚는다.
현재까지 범블비 유포 전략은 다양한 것으로 나타나고 있다. 가장 흔한 건 DLL과 비슷한 종류의 바이너리를 ISO나 VHD 파일 내부에 임베드 하는 것이다. 그리고 이렇게 포장된 파일을 피싱이나 스피어피싱 메일로 전송하는 게 일반적이었다. 마이크로소프트가 오피스의 매크로 기능을 비활성화시킨 후 공격자들은 이런 식의 수법을 자주 사용하기 시작했다.
그 다음으로 보안 전문가들의 눈길을 끄는 범블비의 특성은 끊임없는 진화다. 체크포인트는 “지난 여러 달 동안 범블비는 계속해서 향상되고 또 향상됐다”고 밝혔다. “예를 들어 7월 초까지 범블비의 C&C 서버들은 하나의 IP 주소만 접수했었습니다. 즉 여러 대의 컴퓨터가 동일한 공공 IP 주소를 통해 인터넷에 연결되어 있다면, 공격자는 최초로 감염된 컴퓨터 한 대에서만 공격을 진행할 수 있었던 것입니다.” 체크포인트의 설명이다.
최근 범블비의 운영자는 IP주소에 제한을 거는 기능을 해제했다고 한다. 즉 이제부터 범블비 C&C 서버들은 같은 네트워크 내 여러 시스템을 동시에 감염시키고, 그러한 시스템들과 동시에 통신망을 구축할 수 있게 된다는 뜻이다. 체크포인트는 이전에 IP 주소 제한이 있었던 것이 범블비가 아직 실험 단계에 있었기 때문인 것으로 보고 있다. 이제는 어느 정도 실험이 완료된 것으로 보인다고 체크포인트는 설명한다.
체크포인트와 프루프포인트 등 여러 보안 전문 업체들은 범블비의 침해지표를 만들어 공개하기도 했다. 또한 범블비라는 위협이 한동안 이어질 것이라고 경고하기도 했다. “범블비는 이미 매우 현실적인 위협입니다. 일부 지역에서만 벌어지는 남의 이야기가 아닌 것입니다. 확산되는 속도가 심상치 않습니다. 어느 조직들이나 범블비에 대한 방어 대책을 수립해야 할 것입니다.”
3줄 요약
1. 범블비는 악성 멀웨어 로더로, 공격자들 사이에서 인기가 높음.
2. 기능이 꽤나 고급스럽고, 계속해서 진화하기 때문에 위협적.
3. 여러 멀웨어들이 범블비를 타고 퍼지고 있어 범블비 잘 막으면 방어에 효과적.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 악명 높은 멀웨어 로더인 범블비(Bumblebee)에 대한 새로운 분석 보고서가 발표됐다. 범블비는 코발트 스트라이크(Cobalt Strike)와 같은 고급 익스플로잇 도구들을 피해자의 시스템에 심는 데 사용되는 멀웨어로, 주로 온라인 뱅킹과 관련된 정보들을 훔치는 페이로드들이 범블비를 타고 유포된다.
[이미지 = utoimage]
차별화 된 멀웨어
“범블비는 피해자의 지역적 위치에 따라 행동에 특별한 변화를 보여주지는 않습니다. 하지만 피해자들에 따라 차별적으로 악성 행위를 이어가는 건 사실입니다.” 보안 업체 체크포인트(Check Point)의 설명이다. “피해자가 워크그룹(WORKGROUP)에 연결되어 있다면, 범블비는 거의 대부분 ‘다운로드 및 실행’ 기능을 실시합니다. 즉 어디선가 파일을 받아 피해자의 디스크에 심은 뒤 실행하는 겁니다.”
반면 피해자의 시스템이 액티브 디렉토리 도메인에 연결되어 있을 때 범블비는 ‘다운로드 및 주입’ 혹은 ‘셸코드 다운로드 및 주입’을 실시한다. 이 경우 코발트 스트라이크, 미터프리터(Meterpreter), 슬리버(Sliver)와 같은 고급 페이로드들이 주입될 때가 많다.
지난 6개월 동안 보안 업계는 범블비를 적극적으로 분석해 왔다. 범블비가 보안 전문가들의 관심을 끄는 이유는 여러 가지인데 그 중 가장 중요한 건 다양한 해킹 그룹들 사이에서 널리 사용되는 중이라는 것이다. 콘티(Conti)나 디아볼(Diavol)과 같은 랜섬웨어도 범블비를 통해 퍼진 바 있다. 보안 업체 프루프포인트(Proofpoint)의 경우 범블비를 통해 바자로더(BazaLoader)를 퍼트리는 해킹 그룹과 연계된 흔적이 발견됐다고 발표하기도 했었다.
고차원적이면서 항상 진화하는 위협
범블비가 많은 관심을 받는 또 다른 이유는 ‘고차원적인 멀웨어’이기 때문이다. 범블비는 가상화 환경과 샌드박스가 아니라는 것을 확인한 후에 발동되기도 하고, 네트워크 통신 트래픽을 암호화 하기도 하며, 실행되고 있는 멀웨어 분석 프로세스들이 있는지 확인하고 무력화시키기도 한다. 게다가 범블비를 감추기 위해 개발자가 직접 만든 패커를 사용한다는 점도 독특하다고 체크포인트는 짚는다.
현재까지 범블비 유포 전략은 다양한 것으로 나타나고 있다. 가장 흔한 건 DLL과 비슷한 종류의 바이너리를 ISO나 VHD 파일 내부에 임베드 하는 것이다. 그리고 이렇게 포장된 파일을 피싱이나 스피어피싱 메일로 전송하는 게 일반적이었다. 마이크로소프트가 오피스의 매크로 기능을 비활성화시킨 후 공격자들은 이런 식의 수법을 자주 사용하기 시작했다.
그 다음으로 보안 전문가들의 눈길을 끄는 범블비의 특성은 끊임없는 진화다. 체크포인트는 “지난 여러 달 동안 범블비는 계속해서 향상되고 또 향상됐다”고 밝혔다. “예를 들어 7월 초까지 범블비의 C&C 서버들은 하나의 IP 주소만 접수했었습니다. 즉 여러 대의 컴퓨터가 동일한 공공 IP 주소를 통해 인터넷에 연결되어 있다면, 공격자는 최초로 감염된 컴퓨터 한 대에서만 공격을 진행할 수 있었던 것입니다.” 체크포인트의 설명이다.
최근 범블비의 운영자는 IP주소에 제한을 거는 기능을 해제했다고 한다. 즉 이제부터 범블비 C&C 서버들은 같은 네트워크 내 여러 시스템을 동시에 감염시키고, 그러한 시스템들과 동시에 통신망을 구축할 수 있게 된다는 뜻이다. 체크포인트는 이전에 IP 주소 제한이 있었던 것이 범블비가 아직 실험 단계에 있었기 때문인 것으로 보고 있다. 이제는 어느 정도 실험이 완료된 것으로 보인다고 체크포인트는 설명한다.
체크포인트와 프루프포인트 등 여러 보안 전문 업체들은 범블비의 침해지표를 만들어 공개하기도 했다. 또한 범블비라는 위협이 한동안 이어질 것이라고 경고하기도 했다. “범블비는 이미 매우 현실적인 위협입니다. 일부 지역에서만 벌어지는 남의 이야기가 아닌 것입니다. 확산되는 속도가 심상치 않습니다. 어느 조직들이나 범블비에 대한 방어 대책을 수립해야 할 것입니다.”
3줄 요약
1. 범블비는 악성 멀웨어 로더로, 공격자들 사이에서 인기가 높음.
2. 기능이 꽤나 고급스럽고, 계속해서 진화하기 때문에 위협적.
3. 여러 멀웨어들이 범블비를 타고 퍼지고 있어 범블비 잘 막으면 방어에 효과적.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
