240905.jpg)
고급 기술을 총동원한 중국의 APT 조직이 3년이나 한 기업을 염탐해 왔다는 사실이 드러났다. 이들은 정상적인 도구와 장비들을 한껏 활용했고, 덕분에 들키지 않을 수 있었다. 이러한 공격은 조만간 보편화될 것으로 예상된다.
[보안뉴스 문정후 기자] 중국의 APT 공격 단체 하나가 F5의 네트워크 장비를 활용해 한 피해 기업의 네트워크에서 지속적인 공격을 실시할 수 있었던 것으로 밝혀졌다. 공격자들은 3년 동안이나 들키지 않고 피해 조직에 침투한 상태로 여러 가지 정보를 입수한 것으로 분석되고 있다. 보안 업체 시그니아(Sygnia)가 이와 관련된 내용들을 조사해 발표했다. 피해 기업에 대해서는 정확한 내용이 공개되지 않았다. 다만 규모가 꽤 큰 조직이라고만 시그니아는 밝혔다.
[이미지 = gettyimagesbank]
시그니아 측에서 발표한 바에 의하면 공격자들은 피해자의 시스템과 네트워크에 최대한 오랜 시간 머무르기 위해 여러 가지 방법을 사용했는데, 그 중 특히 눈에 띄는 건 F5에서 만든 오래된 빅아이피(BIG-IP) 네트워크 장비들을 활용했다는 것이다. 오래된 데에다가 네트워크에 연결까지 된 빅아이피 장비들을 공격자들은 일종의 C&C 서버로서 활용했다. 또한 피해자 네트워크 내 여러 곳에 진입 지점들을 마련해 두기도 했다. 피해자에 대한 이해도가 높은 것을 알 수 있다.
플러그엑스
공격은 중국 해킹 조직들의 트레이드마크와 같은 플러그엑스(PlugX)로부터 시작했다. 이 때문에 시그니아는 공격자들이 중국과 관련이 있을 것으로 보고 있다. 참고로 시그니아는 이 공격자들에게 벨벳앤트(Velvet Ant)라는 이름을 붙여 추적하고 있다. “공격자들은 다양한 도구들을 활용했는데, 그 중 눈에 띄는 게 플러그엑스입니다. 플러그엑스는 피해자 시스템에 안착한 후 수개월 동안 아무런 활동도 하지 않고 그대로 남아 있었습니다. 플러그엑스는 2008년부터 중국 APT 조직들이 즐겨 사용해 오던 해킹 도구로, 사실상 중국 해커의 ‘표식’과 같을 정도로 중국에서만 사용된다.
“2008년이면 사이버 보안 업계에서는 상당히 오래 전의 일이죠. 플러그엑스도 대단히 오래된 물건이라는 소리입니다. 심지어 후속작도 있어요. 셰도우패드(ShadowPad)라고 하며, 2015년부터 등장해 여러 공격에 활용되고 있습니다. 하지만 플러그엑스를 완전히 대체하지는 못하고 있습니다.” 시그니아의 설명이다.
셰도우패드가 플러그엑스의 후신으로 등장했음에도 플러그엑스가 여전히 선호되는 데에는 여러 가지 이유가 있겠지만 가장 강력한 건 ‘익숙함’일 것으로 예상된다. “플러그엑스는 모듈 구성으로 되어 있습니다. 공격자가 원하는 바에 따라 알맞은 플러그인을 삽입하면 플러그엑스를 자유자재로 활용할 수 있게 됩니다. 지난 여러 해 동안 플러그엑스용 플러그인들은 꾸준히 개발되어 지금은 방대한 분량을 자랑합니다. 이건 신형 멀웨어가 따라올 수 없는 자산입니다.”
이번 캠페인에서 벨벳앤트는 플러그엑스를 다음 세 개의 파일을 통해 연쇄적으로 실행시키는 데 성공했다.
1) iviewers.exe : OLE/COM 객체 뷰어(OLE/COM Object Viewer)라는 정상적인 애플리케이션
2) iviewers.dll : 플러그엑스용 악성 DLL 다운로더로, iviewers.exe를 통해 로딩된다.
3) iviewers.dll.ui : 실질적인 악성 페이로드로, iviewers.dll을 통해 로딩된다.
“iviewers.exe 파일이 실행되면 위 세 가지 파일이 서브디렉토리 한 군데로 복사됩니다. 이 때 서브디렉토리의 이름은 일정하지가 않습니다. 그리고 iviewers.exe 자체는 윈도 서비스의 하나로서 설치가 됩니다. 그 후 svchost 프로세스가 여러 차례 실행되고, 그 프로세스들 속으로 코드가 주입됩니다. 이런 svchost 프로세스들에 해당하는 메모리 덤프를 발견해 분석한 결과 공격자들이 무슨 짓을 벌였는지를 상세히 알 수 있었습니다.” 시그니아의 설명이다.
횡적 움직임과 C&C
위의 순서대로 악성 페이로드를 로딩하는 데 성공한 공격자들의 다음 할 일은 플러그엑스를 피해자의 시스템에 설치하는 것이었다. 여기서 공격자는 잠시 주춤하는 모습을 보였다. 시그니아의 설명에 따르면 공격자들은 EDR 제품을 계속해서 건드리고 조작하려고 시도했다고 한다. EDR 제품을 자기들 마음대로 조작하는 데 실패하면 플러그엑스를 설치하지 않았다. 즉 공격자들의 행보가 대단히 조심스러웠다는 것을 알 수 있다.
EDR을 무력화시킨 후 플러그엑스를 설치한 공격자들은 다음으로 임패킷(Impacket)이라는 오픈소스 도구를 활용했다. 임패킷은 파이선 클래스들을 모아 둔 것으로, 공격자들은 이를 활용해 피해자의 네트워크 안에서 원격 코드 실행 공격을 실시할 수 있었다. 원격 명령 실행 과정에서 윈도 관리 도구(WMI)가 활용되기도 했었다. WMI는 윈도 OS에 자체적으로 설치되어 있는 정상 도구다. 각종 정상 도구들을 악의적 목적 달성에 활용했다는 것이다.
하지만 조사를 진행하던 시그니아는 곧 한 가지 난관에 부딪혔다고 한다. 아무리 찾아도 C&C 서버라고 할 만한 게 없었던 것이다. “각종 정상 도구를 활용해 시스템을 장악하고 횡적으로 움직였어요. 그리고 플러그엑스까지 설치했죠. 하지만 플러그엑스는 원격에서 활용하는 도구입니다. 원격에 있는 공격자와 플러그엑스를 연결해주는 C&C가 없다면 별 다른 효과를 보일 수가 없는데 그 C&C가 보이지 않았습니다.”
이 궁금증을 안고 포렌식 수사를 추가로 진행한 시그니아는 피해자 네트워크 내부의 파일 서버가 C&C로 활용되고 있음을 파악할 수 있었다. “그래서 정상적인 트래픽과 C&C 트래픽이 혼재될 수 있었습니다. 일반적인 모니터링으로는 공격을 파악하기 힘들다는 것이죠. 하지만 내부 C&C는 최초 침투 공격과 감염 확산에 활용될 수가 없습니다. 어찌됐든 최초에 피해자의 네트워크에 침투하려면 외부 C&C가 개입되어야 하거든요. 내부로 들어가려는 자가 내부 자원을 미리 파악해 공격한다는 건 논리적으로 말이 되지 않지요. 그렇다는 건 외부 C&C와 연결된 플러그엑스와, 내부 C&C와 연결된 플러그엑스가 다 필요하다는 뜻이고, 공격자들이 최소 두 가지 버전의 플러그엑스를 활용했다는 걸 알 수 있습니다.”
그렇다면 공격자들은 애초에 내부 파일 서버를 어떻게 감염시킬 수 있었을까? 이 문제를 추적하다가 발견한 게 F5의 빅아이피였다. 정상적인 소프트웨어나 도구만 사용한 게 아니라 정상적인 네트워크 장비까지도 자신들의 목적에 맞게 활용할 줄 안다는 것이 이렇게 드러났다.
빅아이피
“F5의 빅아이피는 오래 전부터 네트워킹에 사용되어 온 장비입니다. 네트워크 아키텍처에서 신뢰할 수 있는 영역에서 발견되고, 그러한 영역을 구성하는 데 사용됩니다. 하지만 그렇기에 이런 장비가 공격자의 손에 넘어간다면 공격자는 높은 권한(혹은 신뢰도)을 가지고 활동할 수 있게 됩니다. 게다가 로그를 검사한다고 하더라도 보통은 트래픽 기록이나 각종 경보들과 관련된 것들에 집중하지 OS 로그들은 간과되는 게 보통이죠. 침해하면 공격자 운신의 폭이 넓어져, 피해자는 잘 들여다보지도 않아... 공격자들로서 빅아이피는 활용 가치가 대단히 높다고 볼 수 있습니다. 그리고 벨벳앤트는 그글 실제 행했다고 할 수 있지요.”
공격자들이 침해한 빅아이피 제품들에는 특징이 있었다.
1) 오래되고 지원이 끝난 OS가 설치되어 있었다. 따라서 취약점 패치가 이뤄지지 않았다.
2) 그러면서도 애플리케이션 방화벽 및 부하 분산기(load balancer)의 역할을 하고 있었다.
3) 인터넷에 직접 연결되어 있었다.
4) 피해 기업이 설치해 둔 방화벽의 안쪽에 있었다. 그렇기 때문에 빅아이피를 거쳐간 악성 트래픽은 걸러지지 않았다.
공격자들은 빅아이피를 침해한 후 여러 가지 악성 도구들을 심었다. 그 중 눈에 띄는 건 다음과 같다.
1) 벨벳스팅(VelvetSting) : 공격자들의 C&C와 한 시간에 한 번씩 연결해 수행할 명령을 검색한다.
2) 벨벳탭(VelvetTap) : 네트워크 패킷을 캡처하는 도구다.
3) 삼리드(SamRid) : 어스웜(EarthWorm)이라고도 불리며, 오픈소스 프록시 터널 생성 도구다. 깃허브에서 무료로 얻는 게 가능하다.
4) ESRDE : 벨벳스팅과 비슷한데 csh 대신 배시를 사용하는 등의 사소한 차이가 있다.
방어의 방법
시그니아는 벨벳앤트와 같은 고차원적인 공격 단체가 발휘하는 기술이 조만간 일반 해킹 단체들로도 전해질 것이라고 보고 있으며, 따라서 그에 걸맞는 방어 체계를 갖출 필요가 있다고 강조한다. 그러면서 방어의 방법들을 몇 가지 제안했다.
“아웃바운드 인터넷 트래픽을 제한해야 합니다. 즉 바깥으로 나가는 인터넷 트래픽이라면 반드시 서버, 워크스테이션, 에지 장비들을 거치도록 경로를 지정해야 한다는 소리입니다. 그래야 공격자들이 내부 네트워크 장비를 통해 내부 트래픽의 경로를 조작하기가 힘들어집니다. 또한 네트워크 내에서 횡적 움직임도 제한해야 합니다. 요즘 공격자들은 WmiExec 등 여러 오픈소스 도구들을 활용해 피해자 네트워크에서 횡적으로 움직이려고 합니다. 포트 445번이나 135번, 5985~5986번, 3389번, 22번 등에서 여러 시도들이 나타나는 게 요즘의 유행이니 이런 포트들과 관련된 트래픽은 면밀히 모니터링하는 게 좋습니다.”
또한 오래된 서버들과 네트워크 장비들을 새 것으로 교체하든가 특별히 보완해야 할 필요도 있다고 시그니아는 강조했다. “이번 공격의 특징은 오래된 서버들과 오래된 장비들이 공격에 활용됐다는 겁니다. 원래부터 오래된 장비들, 특히 제조사의 지원이 종료된 것들은 취약하다고 알려져 있었지요. 공격자들은 그런 장비들을 잘 찾아내 공략합니다. 또한 임직원의 크리덴셜을 훔쳐 원하는 바를 이뤄내는 것도 요즘 크게 유행하고 있으니 이 점도 유의하는 게 좋습니다.”
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 중국의 APT 공격 단체 하나가 F5의 네트워크 장비를 활용해 한 피해 기업의 네트워크에서 지속적인 공격을 실시할 수 있었던 것으로 밝혀졌다. 공격자들은 3년 동안이나 들키지 않고 피해 조직에 침투한 상태로 여러 가지 정보를 입수한 것으로 분석되고 있다. 보안 업체 시그니아(Sygnia)가 이와 관련된 내용들을 조사해 발표했다. 피해 기업에 대해서는 정확한 내용이 공개되지 않았다. 다만 규모가 꽤 큰 조직이라고만 시그니아는 밝혔다.
[이미지 = gettyimagesbank]
시그니아 측에서 발표한 바에 의하면 공격자들은 피해자의 시스템과 네트워크에 최대한 오랜 시간 머무르기 위해 여러 가지 방법을 사용했는데, 그 중 특히 눈에 띄는 건 F5에서 만든 오래된 빅아이피(BIG-IP) 네트워크 장비들을 활용했다는 것이다. 오래된 데에다가 네트워크에 연결까지 된 빅아이피 장비들을 공격자들은 일종의 C&C 서버로서 활용했다. 또한 피해자 네트워크 내 여러 곳에 진입 지점들을 마련해 두기도 했다. 피해자에 대한 이해도가 높은 것을 알 수 있다.
플러그엑스
공격은 중국 해킹 조직들의 트레이드마크와 같은 플러그엑스(PlugX)로부터 시작했다. 이 때문에 시그니아는 공격자들이 중국과 관련이 있을 것으로 보고 있다. 참고로 시그니아는 이 공격자들에게 벨벳앤트(Velvet Ant)라는 이름을 붙여 추적하고 있다. “공격자들은 다양한 도구들을 활용했는데, 그 중 눈에 띄는 게 플러그엑스입니다. 플러그엑스는 피해자 시스템에 안착한 후 수개월 동안 아무런 활동도 하지 않고 그대로 남아 있었습니다. 플러그엑스는 2008년부터 중국 APT 조직들이 즐겨 사용해 오던 해킹 도구로, 사실상 중국 해커의 ‘표식’과 같을 정도로 중국에서만 사용된다.
“2008년이면 사이버 보안 업계에서는 상당히 오래 전의 일이죠. 플러그엑스도 대단히 오래된 물건이라는 소리입니다. 심지어 후속작도 있어요. 셰도우패드(ShadowPad)라고 하며, 2015년부터 등장해 여러 공격에 활용되고 있습니다. 하지만 플러그엑스를 완전히 대체하지는 못하고 있습니다.” 시그니아의 설명이다.
셰도우패드가 플러그엑스의 후신으로 등장했음에도 플러그엑스가 여전히 선호되는 데에는 여러 가지 이유가 있겠지만 가장 강력한 건 ‘익숙함’일 것으로 예상된다. “플러그엑스는 모듈 구성으로 되어 있습니다. 공격자가 원하는 바에 따라 알맞은 플러그인을 삽입하면 플러그엑스를 자유자재로 활용할 수 있게 됩니다. 지난 여러 해 동안 플러그엑스용 플러그인들은 꾸준히 개발되어 지금은 방대한 분량을 자랑합니다. 이건 신형 멀웨어가 따라올 수 없는 자산입니다.”
이번 캠페인에서 벨벳앤트는 플러그엑스를 다음 세 개의 파일을 통해 연쇄적으로 실행시키는 데 성공했다.
1) iviewers.exe : OLE/COM 객체 뷰어(OLE/COM Object Viewer)라는 정상적인 애플리케이션
2) iviewers.dll : 플러그엑스용 악성 DLL 다운로더로, iviewers.exe를 통해 로딩된다.
3) iviewers.dll.ui : 실질적인 악성 페이로드로, iviewers.dll을 통해 로딩된다.
“iviewers.exe 파일이 실행되면 위 세 가지 파일이 서브디렉토리 한 군데로 복사됩니다. 이 때 서브디렉토리의 이름은 일정하지가 않습니다. 그리고 iviewers.exe 자체는 윈도 서비스의 하나로서 설치가 됩니다. 그 후 svchost 프로세스가 여러 차례 실행되고, 그 프로세스들 속으로 코드가 주입됩니다. 이런 svchost 프로세스들에 해당하는 메모리 덤프를 발견해 분석한 결과 공격자들이 무슨 짓을 벌였는지를 상세히 알 수 있었습니다.” 시그니아의 설명이다.
횡적 움직임과 C&C
위의 순서대로 악성 페이로드를 로딩하는 데 성공한 공격자들의 다음 할 일은 플러그엑스를 피해자의 시스템에 설치하는 것이었다. 여기서 공격자는 잠시 주춤하는 모습을 보였다. 시그니아의 설명에 따르면 공격자들은 EDR 제품을 계속해서 건드리고 조작하려고 시도했다고 한다. EDR 제품을 자기들 마음대로 조작하는 데 실패하면 플러그엑스를 설치하지 않았다. 즉 공격자들의 행보가 대단히 조심스러웠다는 것을 알 수 있다.
EDR을 무력화시킨 후 플러그엑스를 설치한 공격자들은 다음으로 임패킷(Impacket)이라는 오픈소스 도구를 활용했다. 임패킷은 파이선 클래스들을 모아 둔 것으로, 공격자들은 이를 활용해 피해자의 네트워크 안에서 원격 코드 실행 공격을 실시할 수 있었다. 원격 명령 실행 과정에서 윈도 관리 도구(WMI)가 활용되기도 했었다. WMI는 윈도 OS에 자체적으로 설치되어 있는 정상 도구다. 각종 정상 도구들을 악의적 목적 달성에 활용했다는 것이다.
하지만 조사를 진행하던 시그니아는 곧 한 가지 난관에 부딪혔다고 한다. 아무리 찾아도 C&C 서버라고 할 만한 게 없었던 것이다. “각종 정상 도구를 활용해 시스템을 장악하고 횡적으로 움직였어요. 그리고 플러그엑스까지 설치했죠. 하지만 플러그엑스는 원격에서 활용하는 도구입니다. 원격에 있는 공격자와 플러그엑스를 연결해주는 C&C가 없다면 별 다른 효과를 보일 수가 없는데 그 C&C가 보이지 않았습니다.”
이 궁금증을 안고 포렌식 수사를 추가로 진행한 시그니아는 피해자 네트워크 내부의 파일 서버가 C&C로 활용되고 있음을 파악할 수 있었다. “그래서 정상적인 트래픽과 C&C 트래픽이 혼재될 수 있었습니다. 일반적인 모니터링으로는 공격을 파악하기 힘들다는 것이죠. 하지만 내부 C&C는 최초 침투 공격과 감염 확산에 활용될 수가 없습니다. 어찌됐든 최초에 피해자의 네트워크에 침투하려면 외부 C&C가 개입되어야 하거든요. 내부로 들어가려는 자가 내부 자원을 미리 파악해 공격한다는 건 논리적으로 말이 되지 않지요. 그렇다는 건 외부 C&C와 연결된 플러그엑스와, 내부 C&C와 연결된 플러그엑스가 다 필요하다는 뜻이고, 공격자들이 최소 두 가지 버전의 플러그엑스를 활용했다는 걸 알 수 있습니다.”
그렇다면 공격자들은 애초에 내부 파일 서버를 어떻게 감염시킬 수 있었을까? 이 문제를 추적하다가 발견한 게 F5의 빅아이피였다. 정상적인 소프트웨어나 도구만 사용한 게 아니라 정상적인 네트워크 장비까지도 자신들의 목적에 맞게 활용할 줄 안다는 것이 이렇게 드러났다.
빅아이피
“F5의 빅아이피는 오래 전부터 네트워킹에 사용되어 온 장비입니다. 네트워크 아키텍처에서 신뢰할 수 있는 영역에서 발견되고, 그러한 영역을 구성하는 데 사용됩니다. 하지만 그렇기에 이런 장비가 공격자의 손에 넘어간다면 공격자는 높은 권한(혹은 신뢰도)을 가지고 활동할 수 있게 됩니다. 게다가 로그를 검사한다고 하더라도 보통은 트래픽 기록이나 각종 경보들과 관련된 것들에 집중하지 OS 로그들은 간과되는 게 보통이죠. 침해하면 공격자 운신의 폭이 넓어져, 피해자는 잘 들여다보지도 않아... 공격자들로서 빅아이피는 활용 가치가 대단히 높다고 볼 수 있습니다. 그리고 벨벳앤트는 그글 실제 행했다고 할 수 있지요.”
공격자들이 침해한 빅아이피 제품들에는 특징이 있었다.
1) 오래되고 지원이 끝난 OS가 설치되어 있었다. 따라서 취약점 패치가 이뤄지지 않았다.
2) 그러면서도 애플리케이션 방화벽 및 부하 분산기(load balancer)의 역할을 하고 있었다.
3) 인터넷에 직접 연결되어 있었다.
4) 피해 기업이 설치해 둔 방화벽의 안쪽에 있었다. 그렇기 때문에 빅아이피를 거쳐간 악성 트래픽은 걸러지지 않았다.
공격자들은 빅아이피를 침해한 후 여러 가지 악성 도구들을 심었다. 그 중 눈에 띄는 건 다음과 같다.
1) 벨벳스팅(VelvetSting) : 공격자들의 C&C와 한 시간에 한 번씩 연결해 수행할 명령을 검색한다.
2) 벨벳탭(VelvetTap) : 네트워크 패킷을 캡처하는 도구다.
3) 삼리드(SamRid) : 어스웜(EarthWorm)이라고도 불리며, 오픈소스 프록시 터널 생성 도구다. 깃허브에서 무료로 얻는 게 가능하다.
4) ESRDE : 벨벳스팅과 비슷한데 csh 대신 배시를 사용하는 등의 사소한 차이가 있다.
방어의 방법
시그니아는 벨벳앤트와 같은 고차원적인 공격 단체가 발휘하는 기술이 조만간 일반 해킹 단체들로도 전해질 것이라고 보고 있으며, 따라서 그에 걸맞는 방어 체계를 갖출 필요가 있다고 강조한다. 그러면서 방어의 방법들을 몇 가지 제안했다.
“아웃바운드 인터넷 트래픽을 제한해야 합니다. 즉 바깥으로 나가는 인터넷 트래픽이라면 반드시 서버, 워크스테이션, 에지 장비들을 거치도록 경로를 지정해야 한다는 소리입니다. 그래야 공격자들이 내부 네트워크 장비를 통해 내부 트래픽의 경로를 조작하기가 힘들어집니다. 또한 네트워크 내에서 횡적 움직임도 제한해야 합니다. 요즘 공격자들은 WmiExec 등 여러 오픈소스 도구들을 활용해 피해자 네트워크에서 횡적으로 움직이려고 합니다. 포트 445번이나 135번, 5985~5986번, 3389번, 22번 등에서 여러 시도들이 나타나는 게 요즘의 유행이니 이런 포트들과 관련된 트래픽은 면밀히 모니터링하는 게 좋습니다.”
또한 오래된 서버들과 네트워크 장비들을 새 것으로 교체하든가 특별히 보완해야 할 필요도 있다고 시그니아는 강조했다. “이번 공격의 특징은 오래된 서버들과 오래된 장비들이 공격에 활용됐다는 겁니다. 원래부터 오래된 장비들, 특히 제조사의 지원이 종료된 것들은 취약하다고 알려져 있었지요. 공격자들은 그런 장비들을 잘 찾아내 공략합니다. 또한 임직원의 크리덴셜을 훔쳐 원하는 바를 이뤄내는 것도 요즘 크게 유행하고 있으니 이 점도 유의하는 게 좋습니다.”
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
