240905.jpg)
보안 업체 렐리아퀘스트에서 지난 약 1년의 시간 동안 공격자들이 실제 사건에서 어떤 도구를 가장 많이 사용하는지 조사했다. 의외로 공격자들 사이에도 유행이라는 게 있어 선호되는 것들이 몇 가지 겹쳤다.
[보안뉴스 문정후 기자] 보안 업체 렐리아퀘스트(ReliaQuest)가 최근 공격자들이 즐겨 사용하는 도구 세 가지가 무엇인지 조사해 발표했다. 여기서 말하는 도구는 특별히 데이터를 유출시키는 데 활용되는 것으로, 공격자들에게 있어 피해자의 시스템에 저장된 데이터를 밖으로 빼돌린다는 건 대단히 중요한 절차다. 이 절차가 성립되기 때문에 현재 랜섬웨어 공격자들의 이중 협박 전략이 통하는 것이라고도 볼 수 있다.
[이미지 = gettyimagesbank]
랜섬웨어 공격자들의 ‘이중 협박 전략’이란 이름 그대로 두 가지 무기를 손에 쥐고 피해자들을 협박하는 것으로 하나는 데이터를 암호화 해 사용할 수 없도록 하는 것이고, 다른 하나는 피해자의 데이터를 확보한 뒤 공개하겠다고 하는 것이다. 공격자들이 데이터를 암호화 하더라도 백업만 잘 되어 있으면 그들의 협박에 응하지 않을 수 있지만 공격자들이 데이터를 공개한다고 하면 협상 외에 방법이 딱히 없다. 이 때문에 많은 피해자들이 공격자들에게 돈을 내게 되고, 이로써 랜섬웨어 산업은 현재 전성기를 맞이하고 있다.
렐리아퀘스트는 자사 블로그를 통해 "현재 다크웹에서 유행하고 있는 도구들이 있다”며 “특히 록빗(LockBit), 블랙바스타(Black Basta), 블랙수트(BlackSuit)와 같은 악명 높은 랜섬웨어 단체들까지도 즐겨 사용하는 것들”이라고 설명했다. 그 중 가장 널리 사용되는 도구 세 가지는 다음과 같다.
1) 알클론(Rclone)
2) 윈SCP(WinSCP)
3) 클라이언트URL(Client URL, cURL)
그 외에도 합법적인 정보 저장 및 공유에 활용되는 정상 도구들도 악용되는 사례가 많았다고 하는데, 렐리아퀘스트는 다음과 같은 도구들이 주로 사용되고 있다고 짚었다.
1) 메가싱크(MegaSync)
2) 레스틱(Restic)
3) 파일질라(FileZilla)
4) 원격 모니터링 및 관리 소프트웨어(RMMs)
알클론
알클론은 데이터 유출용으로서는 가장 높은 인기를 구가하고 있는 도구라고 할 수 있다. 2023년 9월부터 2024년 7월까지 발생한 공격들을 렐리아퀘스트가 분석했을 때 57%에서 활용되기도 했다. 알클론은 오픈소스 명령행 유틸리티의 일종이다. 사용자들은 다양한 클라우드 스토리지에 저장되어 있는 파일들을 알클론으로 동기화 할 수 있다. 합법적인 목적으로 개발된 정상 도구이지만 공격자들이 더 선호하는 게 현실이다.
공격자들은 왜 알클론을 선호할까? 데이터 전송 기능이 빠르다는 게 가장 큰 이유라고 렐리아퀘스트는 설명한다. “게다가 알클론은 다양한 클라우드 서비스와도 높은 호환성을 보여줍니다. 구글 드라이브, 아마존 S3, 메가 등 유명한 것들과 말이죠. 또한 FTP 프로토콜과도 궁합이 좋고요. 즉 많은 기업들이 활용하고 있는 파일 저장 및 전송 서비스와 잘 어울린다는 뜻이 되고, 그렇다는 건 보안 팀이 정상과 비정상을 가려내는 게 힘들다는 뜻이 됩니다. 윈도, 리눅스, 맥OS 등에서 전부 잘 돌아가기도 합니다.”
윈SCP
윈SCP 역시 오픈소스 파일 전송 유틸리티로, 윈도에서 사용된다. 알클론과 여러 가지 면에서 비슷한 기능을 제공하는데, 인터페이스가 매우 사용자 친화적이라는 특장점을 가지고 있다. 알클론이 로컬 데이터와 클라우드 스토리지 간 이동을 자유롭게 해 주는 것과 달리, 윈SCP는 로컬 데이터를 원격 장소로 손쉽게 이동시켜 준다.
윈SCP는 여러 기업들 사이에서 널리 사용되고 있는 합법적인 도구다. 그러므로 신뢰도가 높다. 엔드포인트에 윈SCP가 설치되어 있다 한들 큰 의심을 불러일으키지 않는 게 보통이다. 스크립팅 하기에도 용이하기 때문에 자동화로 응용하는 것도 간편하고, 필요할 경우 수동으로 전환도 가능하다. 오류 처리와 로깅 기능 역시 사용자들 사이에서 호평을 받고 있고, 공격자들 역시 이 기능을 꽤나 유용하게 활용한다.
cURL
cURL은 알클론과 마찬가지로 명령행 도구 중 하나다. URL 형태로 파일 도착지를 특정지을 수 있고, 그 특정된 곳으로 파일을 보내는 것을 용이하게 만들어준다. HTTPS, FTP, SFTP 등 다양한 프로토콜을 지원하기도 한다. 때문에 데이터를 다운로드 하거나 업로드 하는 것 모두 간편하게 처리된다. 플랫폼도 가리지 않는 편으로, 윈도, 맥OS, 리눅스 모두에서 잘 작동한다.
알클론과 윈SCP와 달리 cURL은 대규모 데이터 추출 작전에 대단히 안정적으로 기능을 발휘한다. 2024년 블랙바스타라는 악명 높은 랜섬웨어 그룹이 cURL을 활용해 한 조직으로부터 대량의 데이터를 빼돌린 사건이 있기도 했다. 하지만 대량 데이터 유출 작전에만 활용되는 건 아니다. 원하는 정보를 콕 집어서 유출시키는 것도 가능하다.
위 세 가지는 일반 기업과 기관들에서도 널리 사용하고 있다는 특징을 가지고 있다. 그렇기 때문에 공격자들이 이 도구를 사용한다고 해도 특별히 이상할 것이 없어 보이며, 실제로 경보가 울리는 사례도 드물다. 하지만 널리 사용된다는 건 잘 알려져 있다는 뜻이고, 어떤 면에서는 이러한 유명 도구를 사용할 때 방어가 오히려 쉬울 수도 있다. 그래서 공격자들은 덜 흔한 도구를 사용하기도 하는데, 렐리아퀘스트가 발견한 것들은 다음과 같다.
메가클라우드스토리지(MEGA Cloud Storage)
메가는 클라우드 스토리지와 동기화 서비스의 일종이다. 클라우드 스토리지와 연결된 모든 장비들에 같은 파일이 저장되도록 동기화를 해 준다. 무료로 20GB를 사용할 수 있으며, 윈도, 맥OS, 리눅스, 안드로이드, iOS 등 여러 플랫폼과도 호환된다. 사용자들은 메가싱크(MegaSync)라는 애플리케이션을 통해 클라우드 스토리지에 접근할 수 있게 된다. 그 외에도 웹 클라이언트, 메가 CMD, 메가 API 등도 존재한다. 신뢰도가 높고, 데이터 이동을 자동으로 할 수 있어 공격자들에게 큰 장점이 된다.
레스틱
레스틱은 오픈소스 백업 프로그램으로 속도가 빠르다는 장점을 가지고 있다. 또한 사용자 친화적이다. 알클론처럼 다양한 클라우드 서비스와 호환되는데, 이 때문에 알클론을 사용하던 공격자들이 레스틱을 번갈아 사용하기도 한다. 레스틱 역시 사용자가 적지 않은 편이라 추적이 어렵고, 정상과 비정상을 가려내기 힘들다.
파일질라
파일질라는 꽤나 이름값이 높은 파일 전송 서비스로, 이 목록에 포함되기에는 다소 의아한 감이 있다. 오픈소스 FTP 클라이언트/서버 소프트웨어로 다양한 곳에서 사용되기도 한다. 로컬의 장비로부터 원격의 장소로까지 파일을 손쉽게 전송할 수 있게 해 준다. 윈SCP처럼 사용자 친화적인 인터페이스도 중요한 특징이다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 보안 업체 렐리아퀘스트(ReliaQuest)가 최근 공격자들이 즐겨 사용하는 도구 세 가지가 무엇인지 조사해 발표했다. 여기서 말하는 도구는 특별히 데이터를 유출시키는 데 활용되는 것으로, 공격자들에게 있어 피해자의 시스템에 저장된 데이터를 밖으로 빼돌린다는 건 대단히 중요한 절차다. 이 절차가 성립되기 때문에 현재 랜섬웨어 공격자들의 이중 협박 전략이 통하는 것이라고도 볼 수 있다.
[이미지 = gettyimagesbank]
랜섬웨어 공격자들의 ‘이중 협박 전략’이란 이름 그대로 두 가지 무기를 손에 쥐고 피해자들을 협박하는 것으로 하나는 데이터를 암호화 해 사용할 수 없도록 하는 것이고, 다른 하나는 피해자의 데이터를 확보한 뒤 공개하겠다고 하는 것이다. 공격자들이 데이터를 암호화 하더라도 백업만 잘 되어 있으면 그들의 협박에 응하지 않을 수 있지만 공격자들이 데이터를 공개한다고 하면 협상 외에 방법이 딱히 없다. 이 때문에 많은 피해자들이 공격자들에게 돈을 내게 되고, 이로써 랜섬웨어 산업은 현재 전성기를 맞이하고 있다.
렐리아퀘스트는 자사 블로그를 통해 "현재 다크웹에서 유행하고 있는 도구들이 있다”며 “특히 록빗(LockBit), 블랙바스타(Black Basta), 블랙수트(BlackSuit)와 같은 악명 높은 랜섬웨어 단체들까지도 즐겨 사용하는 것들”이라고 설명했다. 그 중 가장 널리 사용되는 도구 세 가지는 다음과 같다.
1) 알클론(Rclone)
2) 윈SCP(WinSCP)
3) 클라이언트URL(Client URL, cURL)
그 외에도 합법적인 정보 저장 및 공유에 활용되는 정상 도구들도 악용되는 사례가 많았다고 하는데, 렐리아퀘스트는 다음과 같은 도구들이 주로 사용되고 있다고 짚었다.
1) 메가싱크(MegaSync)
2) 레스틱(Restic)
3) 파일질라(FileZilla)
4) 원격 모니터링 및 관리 소프트웨어(RMMs)
알클론
알클론은 데이터 유출용으로서는 가장 높은 인기를 구가하고 있는 도구라고 할 수 있다. 2023년 9월부터 2024년 7월까지 발생한 공격들을 렐리아퀘스트가 분석했을 때 57%에서 활용되기도 했다. 알클론은 오픈소스 명령행 유틸리티의 일종이다. 사용자들은 다양한 클라우드 스토리지에 저장되어 있는 파일들을 알클론으로 동기화 할 수 있다. 합법적인 목적으로 개발된 정상 도구이지만 공격자들이 더 선호하는 게 현실이다.
공격자들은 왜 알클론을 선호할까? 데이터 전송 기능이 빠르다는 게 가장 큰 이유라고 렐리아퀘스트는 설명한다. “게다가 알클론은 다양한 클라우드 서비스와도 높은 호환성을 보여줍니다. 구글 드라이브, 아마존 S3, 메가 등 유명한 것들과 말이죠. 또한 FTP 프로토콜과도 궁합이 좋고요. 즉 많은 기업들이 활용하고 있는 파일 저장 및 전송 서비스와 잘 어울린다는 뜻이 되고, 그렇다는 건 보안 팀이 정상과 비정상을 가려내는 게 힘들다는 뜻이 됩니다. 윈도, 리눅스, 맥OS 등에서 전부 잘 돌아가기도 합니다.”
윈SCP
윈SCP 역시 오픈소스 파일 전송 유틸리티로, 윈도에서 사용된다. 알클론과 여러 가지 면에서 비슷한 기능을 제공하는데, 인터페이스가 매우 사용자 친화적이라는 특장점을 가지고 있다. 알클론이 로컬 데이터와 클라우드 스토리지 간 이동을 자유롭게 해 주는 것과 달리, 윈SCP는 로컬 데이터를 원격 장소로 손쉽게 이동시켜 준다.
윈SCP는 여러 기업들 사이에서 널리 사용되고 있는 합법적인 도구다. 그러므로 신뢰도가 높다. 엔드포인트에 윈SCP가 설치되어 있다 한들 큰 의심을 불러일으키지 않는 게 보통이다. 스크립팅 하기에도 용이하기 때문에 자동화로 응용하는 것도 간편하고, 필요할 경우 수동으로 전환도 가능하다. 오류 처리와 로깅 기능 역시 사용자들 사이에서 호평을 받고 있고, 공격자들 역시 이 기능을 꽤나 유용하게 활용한다.
cURL
cURL은 알클론과 마찬가지로 명령행 도구 중 하나다. URL 형태로 파일 도착지를 특정지을 수 있고, 그 특정된 곳으로 파일을 보내는 것을 용이하게 만들어준다. HTTPS, FTP, SFTP 등 다양한 프로토콜을 지원하기도 한다. 때문에 데이터를 다운로드 하거나 업로드 하는 것 모두 간편하게 처리된다. 플랫폼도 가리지 않는 편으로, 윈도, 맥OS, 리눅스 모두에서 잘 작동한다.
알클론과 윈SCP와 달리 cURL은 대규모 데이터 추출 작전에 대단히 안정적으로 기능을 발휘한다. 2024년 블랙바스타라는 악명 높은 랜섬웨어 그룹이 cURL을 활용해 한 조직으로부터 대량의 데이터를 빼돌린 사건이 있기도 했다. 하지만 대량 데이터 유출 작전에만 활용되는 건 아니다. 원하는 정보를 콕 집어서 유출시키는 것도 가능하다.
위 세 가지는 일반 기업과 기관들에서도 널리 사용하고 있다는 특징을 가지고 있다. 그렇기 때문에 공격자들이 이 도구를 사용한다고 해도 특별히 이상할 것이 없어 보이며, 실제로 경보가 울리는 사례도 드물다. 하지만 널리 사용된다는 건 잘 알려져 있다는 뜻이고, 어떤 면에서는 이러한 유명 도구를 사용할 때 방어가 오히려 쉬울 수도 있다. 그래서 공격자들은 덜 흔한 도구를 사용하기도 하는데, 렐리아퀘스트가 발견한 것들은 다음과 같다.
메가클라우드스토리지(MEGA Cloud Storage)
메가는 클라우드 스토리지와 동기화 서비스의 일종이다. 클라우드 스토리지와 연결된 모든 장비들에 같은 파일이 저장되도록 동기화를 해 준다. 무료로 20GB를 사용할 수 있으며, 윈도, 맥OS, 리눅스, 안드로이드, iOS 등 여러 플랫폼과도 호환된다. 사용자들은 메가싱크(MegaSync)라는 애플리케이션을 통해 클라우드 스토리지에 접근할 수 있게 된다. 그 외에도 웹 클라이언트, 메가 CMD, 메가 API 등도 존재한다. 신뢰도가 높고, 데이터 이동을 자동으로 할 수 있어 공격자들에게 큰 장점이 된다.
레스틱
레스틱은 오픈소스 백업 프로그램으로 속도가 빠르다는 장점을 가지고 있다. 또한 사용자 친화적이다. 알클론처럼 다양한 클라우드 서비스와 호환되는데, 이 때문에 알클론을 사용하던 공격자들이 레스틱을 번갈아 사용하기도 한다. 레스틱 역시 사용자가 적지 않은 편이라 추적이 어렵고, 정상과 비정상을 가려내기 힘들다.
파일질라
파일질라는 꽤나 이름값이 높은 파일 전송 서비스로, 이 목록에 포함되기에는 다소 의아한 감이 있다. 오픈소스 FTP 클라이언트/서버 소프트웨어로 다양한 곳에서 사용되기도 한다. 로컬의 장비로부터 원격의 장소로까지 파일을 손쉽게 전송할 수 있게 해 준다. 윈SCP처럼 사용자 친화적인 인터페이스도 중요한 특징이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
