멀웨어 하나가 새롭게 발견됐다. 정보를 빼돌리기도 하지만 트래픽 하이재킹도 병행하는 등의 새로운 모습을 보이고 있다. 주로 라우터가 공격 대상이 되고 있는데, 따라서 라우터 보안을 강화하면 어느 정도 위협에서 자유로울 수 있다.
[보안뉴스=엘리자베스 몬탈바노 IT 칼럼니스트] 여태까지 한 번도 발견된 적이 없는 멀웨어가 등장했다. 라우터들을 침해한 후 인증과 관련된 각종 세부 데이터들을 훔쳐내는 기능을 가지고 있는 것으로 분석됐다. 또한 DNS 하이재킹과 HTTP 하이재킹 공격도 실시할 수 있다고 한다. 이 멀웨어에는 커틀피시(Cuttlefish)라는 이름이 붙었고, 보안 업체 루멘테크놀로지스(Lumen Technologies)가 추적하고 있다. 커틀피시는 ‘제로클릭 공격’을 통해 데이터를 훔쳐낸다고 한다.
[이미지 = gettyimagesbank]
“커틀피시가 침해한 네트워크 장비들을 데이터가 거쳐간다면, 그 데이터는 사실상 노출됐다고 보는 게 맞습니다.” 루멘 측의 설명이다. “하지만 일단 지금 상태의 커틀피시는 인증 관련 데이터만 훔치도록 설정이 되어 있습니다. 공격자들은 먼저 라우터를 침해하고, 이를 통해 프록시나 VPN 터널을 생성합니다. 그리고 이 터널을 통해 훔친 데이터를 빼돌립니다.”
커틀피시는 모듈형으로 구성되어 있는데, 인증 데이터를 훔치는 모듈과 더불어 DNS 하이재킹과 HTTP 하이재킹을 실시하는 모듈도 같이 부착되어 있다. 이 두 가지 하이재킹 기법을 활용해 비밀 IP 공간에 연결하여 망 내에서 통신하는 것으로 추정된다. 이렇게 연결된 장비들로 여러 데이터나 에이전트를 전송하기도 한다.
네트워크 장비를 침해한 후 그 장비들을 통과하는 데이터를 가로채기도 하고, DNS와 HTTP를 하이재킹하기도 하는 멀웨어는 흔히 볼 수 있는 게 아니라고 루멘 측 연구원들은 설명한다. “과거 주오랫(ZuoRat)과 VPN필터(VPNFilter), 아토(Attor), 플레드(Plead) 정도가 비슷한 공격을 실행했습니다. 다만 비밀 IP 영역에까지 접속하여 공격을 실시하는 건 커틀피시 만의 독특한 점입니다. 이렇게 하여 공격 지속성을 확보하려는 것으로 보입니다.”
튀르키예의 통신사들과 하이아터스랫
커틀피시는 최소 작년 7월부터 활동해 온 것으로 조사되고 있다. 가장 최근의 캠페인은 10월부터 4월까지 진행됐다. 피해자들은 거의 대부분 튀르키예에 있는 것으로 조사됐는데, 그 중에서도 두 개의 통신사 고객들이 특히 많은 비중을 차지한다고 한다. 두 통신사 고객을 합치면 전체 피해자의 93%라는 게 루멘 측이 집계한 내용이다. 하지만 튀르키예가 아닌 곳에서도 일부 피해가 발견되고 있다. 미국의 데이터센터나 위성 업체들도 여기에 포함되어 있다고 한다.
루멘은 커틀피시를 분석하다가 하이아터스랫(HiatusRAT)이라는 기존 멀웨어와 유사한 점이 제법 있다는 것을 알아냈다. “또한 하이어터스랫이나 커틀피시나 중국 공격자들이 좋아할 만한 표적들을 주로 공격하고 있기도 합니다. 그렇다고 피해자가 겹치는 건 또 아닙니다. 그렇기 때문에 둘이 같다거나 밀접한 관계에 놓여 있다거나 한 건 아니라고 봅니다. 이 부분은 조금 더 많은 자료를 확보해야 확실히 말할 수 있습니다.”
감염 절차와 실행
아직 커틀피시가 최초에 어떤 방법으로 피해자의 망 안으로 침투하는지는 정확히 밝혀지지 않고 있다. 다만 초기에 배시 스크립트를 활용해 호스트의 정보를 수집하고, 이를 C&C 서버로 보내는 것까지는 알아냈다. 또한 커틀피시가 악성 바이너리 형태로 다운로드 되고 실행된다는 것도 밝혀낼 수 있었다고 한다. 이 바이너리는 주로 라우터에서 사용되는 아키텍처들과 호환이 되게끔 구성되어 있었다. “설치된 커틀피시는 장비를 통과하는 트래픽을 꾸준히 모니터링하며, 원하는 정보가 나타날 때마다 발동하여 악성 행위를 실시합니다.”
여기까지 공격이 진행되면 C&C 서버에서 새로운 규칙을 환경설정 파일 형태로 전송한다. 이 새로운 규칙들은 피해자의 시스템 정보에 따라 달라지는 것으로 보인다. 특정 트래픽을 하이재킹 하라거나, 비밀 IP 영역으로 침투해 들어가라는 등의 규칙이 이 과정에서 설정된다. 특정 상황에서 크리덴셜을 탈취하도록 설정하기도 한다.
어떻게 방어해야 하나
루멘은 “수상한 로그인 시도가 있었는지 살피고 모니터링해서 위험을 원천 차단하는 게 좋다”고 조언한다. 또한 “약하게 설정된 크리덴셜들이 있는지 조사해 강력한 것으로 재설정해야 한다”고도 말한다. 네트워크 트래픽을 TLS/SSL로 암호화 하여 하이재킹 및 스니핑 공격이 되지 않도록 하는 것도 중요하다.
“의외로 많은 라우터들이 디폴트 비밀번호로 설정되어 있는 경우가 많습니다. 일부 몇 개가 그런 게 아니라 대단히 많은 비율을 차지합니다. 라우터를 하나하나 재설정해서 비밀번호를 바꾸고, 이를 체계적으로 관리하면 커틀피시와 같은 위협에 쉽게 당하지 않을 수 있습니다. 또한 라우터들 내 수상한 폴더가 만들어져 있거나, 비정상적으로 보이는 파일이 저장되어 있지 않은지 점검하는 것도 좋은 생각입니다. 특히 메모리 안에 멀웨어 샘플이 있을지도 모르니 이 영역 역시 잘 살피는 걸 추천합니다.”
보안의 기술적 조치에 대해 잘 모르는 일반 소비자라면 라우터를 주기적으로 리부트 하고, 매뉴얼에 따라 보안 업데이트를 진행하는 게 좋다고 루멘은 요약한다. “금전적으로 쉽지 않은 결정일 수 있는데, 생애주기가 다 된, 즉 회사의 지원이 더 이상 예정되어 있지 않은 장비라면 새 것으로 교체하는 게 안전합니다.”
글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=엘리자베스 몬탈바노 IT 칼럼니스트] 여태까지 한 번도 발견된 적이 없는 멀웨어가 등장했다. 라우터들을 침해한 후 인증과 관련된 각종 세부 데이터들을 훔쳐내는 기능을 가지고 있는 것으로 분석됐다. 또한 DNS 하이재킹과 HTTP 하이재킹 공격도 실시할 수 있다고 한다. 이 멀웨어에는 커틀피시(Cuttlefish)라는 이름이 붙었고, 보안 업체 루멘테크놀로지스(Lumen Technologies)가 추적하고 있다. 커틀피시는 ‘제로클릭 공격’을 통해 데이터를 훔쳐낸다고 한다.
[이미지 = gettyimagesbank]
“커틀피시가 침해한 네트워크 장비들을 데이터가 거쳐간다면, 그 데이터는 사실상 노출됐다고 보는 게 맞습니다.” 루멘 측의 설명이다. “하지만 일단 지금 상태의 커틀피시는 인증 관련 데이터만 훔치도록 설정이 되어 있습니다. 공격자들은 먼저 라우터를 침해하고, 이를 통해 프록시나 VPN 터널을 생성합니다. 그리고 이 터널을 통해 훔친 데이터를 빼돌립니다.”
커틀피시는 모듈형으로 구성되어 있는데, 인증 데이터를 훔치는 모듈과 더불어 DNS 하이재킹과 HTTP 하이재킹을 실시하는 모듈도 같이 부착되어 있다. 이 두 가지 하이재킹 기법을 활용해 비밀 IP 공간에 연결하여 망 내에서 통신하는 것으로 추정된다. 이렇게 연결된 장비들로 여러 데이터나 에이전트를 전송하기도 한다.
네트워크 장비를 침해한 후 그 장비들을 통과하는 데이터를 가로채기도 하고, DNS와 HTTP를 하이재킹하기도 하는 멀웨어는 흔히 볼 수 있는 게 아니라고 루멘 측 연구원들은 설명한다. “과거 주오랫(ZuoRat)과 VPN필터(VPNFilter), 아토(Attor), 플레드(Plead) 정도가 비슷한 공격을 실행했습니다. 다만 비밀 IP 영역에까지 접속하여 공격을 실시하는 건 커틀피시 만의 독특한 점입니다. 이렇게 하여 공격 지속성을 확보하려는 것으로 보입니다.”
튀르키예의 통신사들과 하이아터스랫
커틀피시는 최소 작년 7월부터 활동해 온 것으로 조사되고 있다. 가장 최근의 캠페인은 10월부터 4월까지 진행됐다. 피해자들은 거의 대부분 튀르키예에 있는 것으로 조사됐는데, 그 중에서도 두 개의 통신사 고객들이 특히 많은 비중을 차지한다고 한다. 두 통신사 고객을 합치면 전체 피해자의 93%라는 게 루멘 측이 집계한 내용이다. 하지만 튀르키예가 아닌 곳에서도 일부 피해가 발견되고 있다. 미국의 데이터센터나 위성 업체들도 여기에 포함되어 있다고 한다.
루멘은 커틀피시를 분석하다가 하이아터스랫(HiatusRAT)이라는 기존 멀웨어와 유사한 점이 제법 있다는 것을 알아냈다. “또한 하이어터스랫이나 커틀피시나 중국 공격자들이 좋아할 만한 표적들을 주로 공격하고 있기도 합니다. 그렇다고 피해자가 겹치는 건 또 아닙니다. 그렇기 때문에 둘이 같다거나 밀접한 관계에 놓여 있다거나 한 건 아니라고 봅니다. 이 부분은 조금 더 많은 자료를 확보해야 확실히 말할 수 있습니다.”
감염 절차와 실행
아직 커틀피시가 최초에 어떤 방법으로 피해자의 망 안으로 침투하는지는 정확히 밝혀지지 않고 있다. 다만 초기에 배시 스크립트를 활용해 호스트의 정보를 수집하고, 이를 C&C 서버로 보내는 것까지는 알아냈다. 또한 커틀피시가 악성 바이너리 형태로 다운로드 되고 실행된다는 것도 밝혀낼 수 있었다고 한다. 이 바이너리는 주로 라우터에서 사용되는 아키텍처들과 호환이 되게끔 구성되어 있었다. “설치된 커틀피시는 장비를 통과하는 트래픽을 꾸준히 모니터링하며, 원하는 정보가 나타날 때마다 발동하여 악성 행위를 실시합니다.”
여기까지 공격이 진행되면 C&C 서버에서 새로운 규칙을 환경설정 파일 형태로 전송한다. 이 새로운 규칙들은 피해자의 시스템 정보에 따라 달라지는 것으로 보인다. 특정 트래픽을 하이재킹 하라거나, 비밀 IP 영역으로 침투해 들어가라는 등의 규칙이 이 과정에서 설정된다. 특정 상황에서 크리덴셜을 탈취하도록 설정하기도 한다.
어떻게 방어해야 하나
루멘은 “수상한 로그인 시도가 있었는지 살피고 모니터링해서 위험을 원천 차단하는 게 좋다”고 조언한다. 또한 “약하게 설정된 크리덴셜들이 있는지 조사해 강력한 것으로 재설정해야 한다”고도 말한다. 네트워크 트래픽을 TLS/SSL로 암호화 하여 하이재킹 및 스니핑 공격이 되지 않도록 하는 것도 중요하다.
“의외로 많은 라우터들이 디폴트 비밀번호로 설정되어 있는 경우가 많습니다. 일부 몇 개가 그런 게 아니라 대단히 많은 비율을 차지합니다. 라우터를 하나하나 재설정해서 비밀번호를 바꾸고, 이를 체계적으로 관리하면 커틀피시와 같은 위협에 쉽게 당하지 않을 수 있습니다. 또한 라우터들 내 수상한 폴더가 만들어져 있거나, 비정상적으로 보이는 파일이 저장되어 있지 않은지 점검하는 것도 좋은 생각입니다. 특히 메모리 안에 멀웨어 샘플이 있을지도 모르니 이 영역 역시 잘 살피는 걸 추천합니다.”
보안의 기술적 조치에 대해 잘 모르는 일반 소비자라면 라우터를 주기적으로 리부트 하고, 매뉴얼에 따라 보안 업데이트를 진행하는 게 좋다고 루멘은 요약한다. “금전적으로 쉽지 않은 결정일 수 있는데, 생애주기가 다 된, 즉 회사의 지원이 더 이상 예정되어 있지 않은 장비라면 새 것으로 교체하는 게 안전합니다.”
글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
