.gif)
한 IT 전문가가 획기적인 공격 기법을 개발했다. 구글 클라우드와 캘린더를 공격에 활용하는 방법인데, 이게 현재 다크웹에서 화제가 되고 있다. 조만간 진짜가 되어 나타날 지도 모른다.
[보안뉴스 문가용 기자] 공격자들이 정상적인 클라우드 도구들을 이용해 악성 행위를 감추는 사례가 늘어나고 있다고 구글이 경고했다. 그러면서 ‘구글캘린더랫(Google Calendar RAT)’이라는 새로운 개념 증명용 익스플로잇을 공개하기도 했다. 구글캘린더랫을 이용하는 레드 팀과 해커들은 구글 캘린더라는 앱을 조작하여 C&C 활동에 악용할 수 있게 된다고 한다.
[이미지 = gettyimagesbank]
최근 구글이 발표한 위협지형도(Threat Horizons) 보고서에 의하면 구글캘린더랫은 이미 6월에 깃허브에 올라왔고, 그 후로 지금까지 15번의 신 버전들이 등장했다고 한다. 다만 아직까지 구글캘린더랫이 실제 해킹 공격에 활용된 사례는 찾기 힘들었다고 한다. “해커들의 포럼에서 공유되고 이야기되기는 했지만 실제 사례는 아직 찾지 못했습니다.”
구글은 구글캘린더랫을 기반으로 자사 플랫폼을 강화해 공격이 더 이상 통하지 않도록 만들었다고 한다. 하지만 이미 수많은 버전이 존재할 가능성이 있기 때문에 안심할 수 없는 단계라고 구글의 위협 연구 수석인 맷 셸튼(Matt Shelton)은 강조했다.
클라우드에 숨어서 공격하는 해커들
구글캘린더랫이라는 개념 증명용 익스플로잇은 IT 전문가인 발레리오 알레산드로니(Valerio Alessandroni)라는 인물이 만들었다. 레드 팀들이 C&C 공격을 시뮬레이션 할 때 필요한 인프라의 규모를 혁신적으로 줄였는데, 이 때문에 공격자들이 적잖이 영감을 받은 것으로 보인다. “실제 공격은 아직 없었지만 공격자들 사이에서 많은 화제가 되고 있긴 합니다.” 구글 측의 설명이다.
공격의 절차는 다음과 같다.
1) 구글 서비스 계정을 하나 생성한다.
2) 해당 계정의 credentials.json 파일을 획득한다.
3) 그 파일을 악성 스크립트와 같은 디렉토리에 넣는다.
4) 새로운 구글 캘린더를 만들고 아까 만든 서비스 계정과 공유한다.
5) 악성 스크립트를 편집하여 캘린더 주소와 연결되도록 한다.
6) 이벤트 설명 필드를 활용해 명령을 실행시킨다.
이런 과정을 통해 구글캘린더랫을 피해자 시스템에 설치하면 이 구글캘린더랫이 주기적으로 이벤트 설명 필드를 확인해 명령이 새로 전달되었는지를 파악한다. 새 명령이 발견되면 실행하고, 그 결과물을 같은 필드에 입력한다. 캘린더의 이벤트 설명 필드에 정보 수집 명령을 넣었다면, 구글캘린더랫이 이를 실행시켜 정보를 수집한 후 같은 필드에 그 정보를 입력하는 것이다.
구글캘린더랫의 강력함은 C&C 인프라를 크게 간소화했다는 점에도 있지만 “공격의 처음부터 끝까지 정상적인 클라우드 인프라 내에서 실행된다”는 점도 있다. “이 때문에 위협을 미리 찾아 예방하기도 어렵고, 파악하기도 어려우며, 해결은 더 어렵습니다.”
셸튼은 “클라우드에 악성 행위와 공격의 흔적들을 감추는 건, 클라우드가 워낙 노이즈 많은 환경이기 때문”이라고 말한다. “클라우드는 태생적으로 노이즈가 많을 수밖에 없습니다. 그렇기 때문에 클라우드를 운영하는 조직이라면 반드시 비정상적인 패턴을 탐지하는 방법을 갖춰야 합니다. 기존 온프레미스 환경의 보안 이론은 클라우드에서 한계를 보일 수밖에 없습니다.”
구글은 “우리가 만들지도 않은 개념 증명용 익스플로잇인 구글캘린더랫에 대하여 따로 보고서까지 만들어 발표한 건 그 만큼 구글캘린더랫이 제시한 개념이 새롭고 획기적이기 때문”이라고 설명했다. “어쩌면 너무 새로워서 공격자들이 서로 이야기만 하고 실제 공격은 시작하지 못한 것일 수 있습니다. 그렇기 때문에 내년에는 이런 개념에서 출발한 새로운 클라우드 기반 공격이 목격되리라 봅니다.”
3줄 요약
1. 한 IT 전문가가 레드 팀 훈련을 돕기 위한 개념 증명용 익스플로잇을 개발.
2. 구글 캘린더를 이용하여 공격을 지속시키면서 공격 생애주기를 클라우드에서 유지하는 것이 가능.
3. 너무나 획기적인 공격 개념이라 다크웹에서도 활발히 논의되는 중.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 공격자들이 정상적인 클라우드 도구들을 이용해 악성 행위를 감추는 사례가 늘어나고 있다고 구글이 경고했다. 그러면서 ‘구글캘린더랫(Google Calendar RAT)’이라는 새로운 개념 증명용 익스플로잇을 공개하기도 했다. 구글캘린더랫을 이용하는 레드 팀과 해커들은 구글 캘린더라는 앱을 조작하여 C&C 활동에 악용할 수 있게 된다고 한다.
[이미지 = gettyimagesbank]
최근 구글이 발표한 위협지형도(Threat Horizons) 보고서에 의하면 구글캘린더랫은 이미 6월에 깃허브에 올라왔고, 그 후로 지금까지 15번의 신 버전들이 등장했다고 한다. 다만 아직까지 구글캘린더랫이 실제 해킹 공격에 활용된 사례는 찾기 힘들었다고 한다. “해커들의 포럼에서 공유되고 이야기되기는 했지만 실제 사례는 아직 찾지 못했습니다.”
구글은 구글캘린더랫을 기반으로 자사 플랫폼을 강화해 공격이 더 이상 통하지 않도록 만들었다고 한다. 하지만 이미 수많은 버전이 존재할 가능성이 있기 때문에 안심할 수 없는 단계라고 구글의 위협 연구 수석인 맷 셸튼(Matt Shelton)은 강조했다.
클라우드에 숨어서 공격하는 해커들
구글캘린더랫이라는 개념 증명용 익스플로잇은 IT 전문가인 발레리오 알레산드로니(Valerio Alessandroni)라는 인물이 만들었다. 레드 팀들이 C&C 공격을 시뮬레이션 할 때 필요한 인프라의 규모를 혁신적으로 줄였는데, 이 때문에 공격자들이 적잖이 영감을 받은 것으로 보인다. “실제 공격은 아직 없었지만 공격자들 사이에서 많은 화제가 되고 있긴 합니다.” 구글 측의 설명이다.
공격의 절차는 다음과 같다.
1) 구글 서비스 계정을 하나 생성한다.
2) 해당 계정의 credentials.json 파일을 획득한다.
3) 그 파일을 악성 스크립트와 같은 디렉토리에 넣는다.
4) 새로운 구글 캘린더를 만들고 아까 만든 서비스 계정과 공유한다.
5) 악성 스크립트를 편집하여 캘린더 주소와 연결되도록 한다.
6) 이벤트 설명 필드를 활용해 명령을 실행시킨다.
이런 과정을 통해 구글캘린더랫을 피해자 시스템에 설치하면 이 구글캘린더랫이 주기적으로 이벤트 설명 필드를 확인해 명령이 새로 전달되었는지를 파악한다. 새 명령이 발견되면 실행하고, 그 결과물을 같은 필드에 입력한다. 캘린더의 이벤트 설명 필드에 정보 수집 명령을 넣었다면, 구글캘린더랫이 이를 실행시켜 정보를 수집한 후 같은 필드에 그 정보를 입력하는 것이다.
구글캘린더랫의 강력함은 C&C 인프라를 크게 간소화했다는 점에도 있지만 “공격의 처음부터 끝까지 정상적인 클라우드 인프라 내에서 실행된다”는 점도 있다. “이 때문에 위협을 미리 찾아 예방하기도 어렵고, 파악하기도 어려우며, 해결은 더 어렵습니다.”
셸튼은 “클라우드에 악성 행위와 공격의 흔적들을 감추는 건, 클라우드가 워낙 노이즈 많은 환경이기 때문”이라고 말한다. “클라우드는 태생적으로 노이즈가 많을 수밖에 없습니다. 그렇기 때문에 클라우드를 운영하는 조직이라면 반드시 비정상적인 패턴을 탐지하는 방법을 갖춰야 합니다. 기존 온프레미스 환경의 보안 이론은 클라우드에서 한계를 보일 수밖에 없습니다.”
구글은 “우리가 만들지도 않은 개념 증명용 익스플로잇인 구글캘린더랫에 대하여 따로 보고서까지 만들어 발표한 건 그 만큼 구글캘린더랫이 제시한 개념이 새롭고 획기적이기 때문”이라고 설명했다. “어쩌면 너무 새로워서 공격자들이 서로 이야기만 하고 실제 공격은 시작하지 못한 것일 수 있습니다. 그렇기 때문에 내년에는 이런 개념에서 출발한 새로운 클라우드 기반 공격이 목격되리라 봅니다.”
3줄 요약
1. 한 IT 전문가가 레드 팀 훈련을 돕기 위한 개념 증명용 익스플로잇을 개발.
2. 구글 캘린더를 이용하여 공격을 지속시키면서 공격 생애주기를 클라우드에서 유지하는 것이 가능.
3. 너무나 획기적인 공격 개념이라 다크웹에서도 활발히 논의되는 중.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
