무려 15년 전에 등장한 고스트 멀웨어는 여태까지도 활발한 현역으로서 활동하고 있다. 여러 가지 버전으로 살짝씩 바뀌어 나타나고 있기는 하지만, 그럼에도 코어가 되는 기능은 변함없이 남아 있다. 생명이 질기다.
[보안뉴스=네이트 넬슨 IT 칼럼니스트] 악명 높은 고스트(Gh0st) 멀웨어의 새로운 버전이 발견됐다. 공격자는 한국과 우즈베키스탄을 새 도구로 공략하려 했던 것으로 보인다. 2008년 3월 온라인에 처음 등장한 고스트는 일종의 원격 접근 도구(RAT)이며, 10년도 훨씬 넘는 기간 동안 여러 해커들에게 사랑 받고 있다. 중국의 루퍼스시큐리티팀(C.Rufus Security Team)이 제일 먼저 만든 작품이라 그런지 중국에서 특히 인기가 많다.
[이미지 = gettyimagesbank]
오랜 역사와 전통을 자랑하는만큼 고스트는 수많은 변종들의 형태로 존재하기도 한다. 예를 들어 8월 말부터는 슈가고스트랫(SugarGh0st Rat)이라는 버전이 나타나 기승을 부리고 있는 것을 시스코의 탈로스 팀이 발견하기도 했다. 자바스크립트로 짜여진 윈도 바로가기 파일 형태로 퍼지고 있었다. 오리지널 고스트와 크게 다른 점은 없으나, 최신 백신 소프트웨어에 대한 대비책이 일부 추가된 것으로 분석됐다. 원래의 고스트가 워낙 효율이 좋아서 크게 바뀔 게 없다고 보안 전문가들은 설명한다.
슈가고스트의 핵심
현재까지 발견된 슈가고스트의 샘플은 총 4개다. 주로 피싱 공격을 통해, LNK(윈도 바로가기) 파일 형태로 피해자들에게 퍼져가는 것으로 보인다. 이 안에는 악성 자바스크립트가 숨겨져 있어 피해자가 클릭해 열면 미끼용 문서가 열린다. 문서는 한국과 우즈베키스탄 사람들이 관심을 가질 만한 제목과 내용을 가지고 있다. 피해자가 문서에 정신이 팔려 있을 때 배경에서는 슈가고스트의 페이로드가 실행된다.
슈가고스트는 매우 깔끔하게 작성된, 다기능 정찰 도구로 C++로 작성됐다. 피해자가 LNK 파일을 실행시키면 시스템에 설치된 후 제일 먼저 시스템 데이터를 수집한다. 그런 후 공격자가 피해자 시스템에 마음대로 드나들수 있도록 원격 접근 기능을 전부 발동시킨다.
슈가고스트를 잠입시키는 데 성공한 공격자는 피해자의 시스템에서 어떤 정보라도 가져올 수 있게 된다. 뿐만 아니라 실행되고 있는 프로세스들을 종료시키고 삭제시킬 수도 있으며 원하는 프로세스를 시작할 수도 있다. 특정 파일을 검색하고 빼돌리거나 삭제시킬 수 있으며, 이벤트 로그도 편집해 포렌식에서 슈가고스트를 찾지 못하게 할 수도 있다. 그 외에 키로거, 스크린샷 캡처 기능도 가지고 있으며, 마우스의 움직임도 추적 및 조작할 수 있다.
시스코 탈로스 팀의 닉 비아시니(Nick Biasini)는 “우리가 알고 있는 많은 탐지 기술들을 회피하도록 특별히 설계됐다는 게 슈가고스트의 가장 위험한 점”이라고 짚는다. “그렇다고 슈가고스트에 획기적으로 새로운 회피 기능이 따로 마련된 것은 아닙니다. 이전 버전들에 사소한 변경들을 적용했을 뿐입니다. C&C 통신 프로토콜이라든지, 네트워크 패킷 헤더와 같은 것들을 말이죠. 그러니까 매우 효율적으로 작업을 해 대단히 새로운 멀웨어처럼 보이도록 했다는 게 이번 버전의 핵심입니다. 공격자들이 현대의 보안 체계를 잘 이해하고 있다는 뜻입니다.”
고스트랫
2008년 9월 달라이라마의 사무국에서 한 보안 전문가에 연락을 취해왔다. 직원들에게 피싱 이메일이 너무 많이 온다는 것이었다. 또 MS 애플리케이션들이 갑자기 중단되거나 시스템이 멈추는 일이 사무실 전체에 빈번하게 일어나기 시작했다고도 설명했다. 심지어 한 사람은 아무 것도 만지지 않았음에도 컴퓨터가 저절로 아웃룩을 실행시키고 메일에 첨부파일까지 넣어서 한 번도 보지 못한 주소로 보내는 것을 목격했다고 증언했다.
조사 결과 티베트를 노리던 중국 군사의 공격이 진행되고 있었음을 알게 됐고, 이들이 매우 정교한 트로이목마를 사용하고 있었음 또한 밝혀지게 됐다. 그 트로이목마는 아직까지 현역이다. 닉 비아시니는 “일단 고스트랫이 오픈소스로 풀렸다는 게 이 멀웨어의 생명 연장의 가장 큰 비결”이라고 짚는다. “오픈소스로 풀렸다는 건 모든 기능을 완전히 갖춘 소프트웨어를 무료로 가질 수 있게 될 뿐만 아니라 그걸 자신의 목적대로 고쳐서 쓸 수 있다는 뜻도 됩니다. 공격자들에게는 더 없이 좋은 공격 도구이자 재료가 되는 것이죠. 게다가 고스트랫은 처음부터 아주 잘 만들어져 있었기 때문에 인기가 계속 유지되고 있습니다.”
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=네이트 넬슨 IT 칼럼니스트] 악명 높은 고스트(Gh0st) 멀웨어의 새로운 버전이 발견됐다. 공격자는 한국과 우즈베키스탄을 새 도구로 공략하려 했던 것으로 보인다. 2008년 3월 온라인에 처음 등장한 고스트는 일종의 원격 접근 도구(RAT)이며, 10년도 훨씬 넘는 기간 동안 여러 해커들에게 사랑 받고 있다. 중국의 루퍼스시큐리티팀(C.Rufus Security Team)이 제일 먼저 만든 작품이라 그런지 중국에서 특히 인기가 많다.
[이미지 = gettyimagesbank]
오랜 역사와 전통을 자랑하는만큼 고스트는 수많은 변종들의 형태로 존재하기도 한다. 예를 들어 8월 말부터는 슈가고스트랫(SugarGh0st Rat)이라는 버전이 나타나 기승을 부리고 있는 것을 시스코의 탈로스 팀이 발견하기도 했다. 자바스크립트로 짜여진 윈도 바로가기 파일 형태로 퍼지고 있었다. 오리지널 고스트와 크게 다른 점은 없으나, 최신 백신 소프트웨어에 대한 대비책이 일부 추가된 것으로 분석됐다. 원래의 고스트가 워낙 효율이 좋아서 크게 바뀔 게 없다고 보안 전문가들은 설명한다.
슈가고스트의 핵심
현재까지 발견된 슈가고스트의 샘플은 총 4개다. 주로 피싱 공격을 통해, LNK(윈도 바로가기) 파일 형태로 피해자들에게 퍼져가는 것으로 보인다. 이 안에는 악성 자바스크립트가 숨겨져 있어 피해자가 클릭해 열면 미끼용 문서가 열린다. 문서는 한국과 우즈베키스탄 사람들이 관심을 가질 만한 제목과 내용을 가지고 있다. 피해자가 문서에 정신이 팔려 있을 때 배경에서는 슈가고스트의 페이로드가 실행된다.
슈가고스트는 매우 깔끔하게 작성된, 다기능 정찰 도구로 C++로 작성됐다. 피해자가 LNK 파일을 실행시키면 시스템에 설치된 후 제일 먼저 시스템 데이터를 수집한다. 그런 후 공격자가 피해자 시스템에 마음대로 드나들수 있도록 원격 접근 기능을 전부 발동시킨다.
슈가고스트를 잠입시키는 데 성공한 공격자는 피해자의 시스템에서 어떤 정보라도 가져올 수 있게 된다. 뿐만 아니라 실행되고 있는 프로세스들을 종료시키고 삭제시킬 수도 있으며 원하는 프로세스를 시작할 수도 있다. 특정 파일을 검색하고 빼돌리거나 삭제시킬 수 있으며, 이벤트 로그도 편집해 포렌식에서 슈가고스트를 찾지 못하게 할 수도 있다. 그 외에 키로거, 스크린샷 캡처 기능도 가지고 있으며, 마우스의 움직임도 추적 및 조작할 수 있다.
시스코 탈로스 팀의 닉 비아시니(Nick Biasini)는 “우리가 알고 있는 많은 탐지 기술들을 회피하도록 특별히 설계됐다는 게 슈가고스트의 가장 위험한 점”이라고 짚는다. “그렇다고 슈가고스트에 획기적으로 새로운 회피 기능이 따로 마련된 것은 아닙니다. 이전 버전들에 사소한 변경들을 적용했을 뿐입니다. C&C 통신 프로토콜이라든지, 네트워크 패킷 헤더와 같은 것들을 말이죠. 그러니까 매우 효율적으로 작업을 해 대단히 새로운 멀웨어처럼 보이도록 했다는 게 이번 버전의 핵심입니다. 공격자들이 현대의 보안 체계를 잘 이해하고 있다는 뜻입니다.”
고스트랫
2008년 9월 달라이라마의 사무국에서 한 보안 전문가에 연락을 취해왔다. 직원들에게 피싱 이메일이 너무 많이 온다는 것이었다. 또 MS 애플리케이션들이 갑자기 중단되거나 시스템이 멈추는 일이 사무실 전체에 빈번하게 일어나기 시작했다고도 설명했다. 심지어 한 사람은 아무 것도 만지지 않았음에도 컴퓨터가 저절로 아웃룩을 실행시키고 메일에 첨부파일까지 넣어서 한 번도 보지 못한 주소로 보내는 것을 목격했다고 증언했다.
조사 결과 티베트를 노리던 중국 군사의 공격이 진행되고 있었음을 알게 됐고, 이들이 매우 정교한 트로이목마를 사용하고 있었음 또한 밝혀지게 됐다. 그 트로이목마는 아직까지 현역이다. 닉 비아시니는 “일단 고스트랫이 오픈소스로 풀렸다는 게 이 멀웨어의 생명 연장의 가장 큰 비결”이라고 짚는다. “오픈소스로 풀렸다는 건 모든 기능을 완전히 갖춘 소프트웨어를 무료로 가질 수 있게 될 뿐만 아니라 그걸 자신의 목적대로 고쳐서 쓸 수 있다는 뜻도 됩니다. 공격자들에게는 더 없이 좋은 공격 도구이자 재료가 되는 것이죠. 게다가 고스트랫은 처음부터 아주 잘 만들어져 있었기 때문에 인기가 계속 유지되고 있습니다.”
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
