240905.jpg)
공격을 위한 인프라 중 유명한 것들이 있다. 그 중 하나가 쿼드세븐인데, 이번에 대대적인 업그레이드를 통해 더 만만치 않은 것이 되어버렸다.
[보안뉴스 문정후 기자] 악명 높은 봇넷인 쿼드세븐(Quad7)이 최근 업그레이드 되었다는 사실을 보안 업체 세코이아(Sekoia)가 발견했다. 쿼드세븐은 이번 업그레이드를 통해 더 많은 가정용 및 소규모 사무실용 라우터들을 감염시킬 수 있게 됐다고 한다.
[이미지 = gettyimagesbank]
쿼드세븐 봇넷은 ‘7777봇넷(7777 Botnet)’이나 ‘엑스로긴(xlogin)’이라는 이름으로도 불린다. 주로 텔넷/7777과 11288 TCP 포트를 통해 통신을 주고 받는다. 현재 수천 개의 사물인터넷 장비들로 구성되어 있는 것으로 조사되고 있다. 아직까지 이 거대한 봇넷이 실질적인 공격에 활용되는 사례가 눈에 띄게 조사되지 않고 있지만, 실제 공격이 없어서 그런 것인지 발견을 하지 못해서 그런 것일 뿐인 건지는 확실치 않다.
“초기 버전의 경우, 오픈 SOCKS 프록시와 하드코딩된 암호를 사용하는 결함 때문에 보안 연구자들이 쿼드세븐을 추적하기 쉬웠으나, 새로운 HTTP 리버스셸과 KCP와 같은 보안 통신 프로토콜을 도입하며 추적 난이도가 부쩍 올라갔습니다.” 세코이아의 설명이다.
쿼드세븐이 이번 업그레이드를 통해 감염시킬 수 있게 된 것은 티피링크(TP-Link), 자이젤(Zyxel), 에이수스(Asus), 악센트라(Axentra), 디링크(D-Link), 넷기어(Netgear), 루커스(Ruckus) 등 다양한 제조사들에서 나온 일부 제품들이라고 세코이아는 정리한다.
거기에 더해 이번 업데이트에서 제일 눈에 띄는 건 “쿼드세븐으로 감염된 라우터에 로그인 흔적을 남기지 않으려는 시도”가 추가됐다는 것이다. “추적과 분석을 피하려는 시도로 해석됩니다. 보안 전문가들이 인터넷 스캔 엔진을 통해 봇넷의 진화를 추적하는 걸 어렵게 만들고, 다른 해커들이 쿼드세븐 봇넷의 접근 권한을 침해해 사용하는 것도 견제하려는 효과가 더해졌거든요.” 따라서 “앞으로 쿼드세븐을 탐지하는 게 더 힘들어질 수도 있다”고까지 세코이아는 경고했다.
업그레이드를 통해 새롭게 추가된 바이너리들 : 사이넷(FsyNet)
세코이아의 연구원들은 쿼드세븐을 추적하다가 몇 가지 새로운 바이너리를 발견할 수 있었다고 한다. 첫 번째는 사이넷이라는 건데, 일종의 배시 파일 형태로 존재하고 있었다. “정확한 파일명은 fsy.bin이었습니다. 방화벽 규칙을 설정한 후 세 가지 바이너리를 실행하는 기능을 가지고 있었죠. 이 세 가지 바이너리는 여러 가지 모듈로 구성돼 암호화와 복호화, 메시지 전달, 암호화 키 최신화 등 다양한 기능을 수행하는 것으로 분석됐습니다. 또한 네트워킹과 관련된 모듈도 있었습니다.”
이 사이넷 바이너리는 루커스 사에서 나온 네트워크 장비들과 관련된 폴더에서 처음 발견됐다고 한다. 이에 세코이아는 1만 4천 개 이상의 루커스 장비들을 스캔했고, 그 중 30개에서 수상한 점들을 발견할 수 있었다고 한다. “그 수상한 장비들에는 여러 경찰 기관에서 발행한 것으로 보이는 SSL 인증서를 포함한 것도 섞여 있었습니다. 기존 악성 행위들과 연관된 IP 주소 353개와 연결되어 있기도 했고요. 다만 쿼드세븐 운영자들과 이 경찰 기관 혹은 IP 주소들과 어떤 관계가 있는지는 아직 구체적으로 밝혀내지 못했습니다.”
업그레이드를 통해 새롭게 추가된 바이너리들 : 넷드(Netd)
한편 에이수스라고 이름이 되어 있는 폴더에서는 exec.sh라는 쉘 스크립트가 나왔다고 한다. 이 스크립트를 추적했더니 에이수스는 물론 디링크, 넷기어 등 여러 기업들에서 제조한 네트워크 장비들에서 사용되고 있었다. “스크립트가 실행되면 ‘넷드’라는 파일이 다운로드 됐습니다. 이 파일은 방화벽 규칙을 설정하는 데 사용됐습니다. 이것과 함께 tun.ko라는 파일도 같이 다운로드 되는 것을 확인했으나, 저희 편에서 샘플을 확보하지 못해 분석을 할 수 없었습니다.”
넷드의 경우, 감염된 네트워크 장비를 중계용 노드로 활용하는 기능을 가진 것으로 분석됐다. “피해자의 시스템에 설치될 경우 netd.dat이라는 설정파일과 sys.dat이라는 파일이 생성됩니다. 이 두 파일은 살사20(Salsa20)이라는 암호화 알고리즘으로 암호화 되며, 그 상태로 공격자의 서버로 전송됩니다. 공격자는 이 두 가지 파일을 통해 안전한 UDP 연결을 성립시킬 수 있고, 이를 통해 피해자 시스템과 스스로를 연결할 수 있게 됩니다.”
그래서...
정리하자면 쿼드세븐 봇넷은 이번 업그레이드로 다음과 같은 강점을 갖게 됐다.
1) 더 많은 제조사의 장비들을 감염시킬 수 있게 됐다.
2) 더 은밀히 움직이게 돼 추적과 분석이 한층 난해해졌다.
3) 추가 기능을 수행하는 추가 바이너리 두 개가 발견되기도 했다.
“쿼드세븐은 대단히 위협적인 공격 인프라입니다. 원래부터 그랬는데, 이번 업그레이드로 더 그렇게 되었습니다. 쿼드세븐을 이용해 공격을 실시할 경우 공격자는 보다 은밀하게, 눈에 띄지 않는 상태에서, 다양한 공격을 감행할 수 있게 됩니다. 이미 이 봇넷을 통하여 브루트포스 공격을 시도하는 것이 발견되기도 했습니다. 아직 그로 인한 피해가 아직 집계되고 있지는 않지만, 그건 이 봇넷이 꽤나 은밀히 움직이기 때문이기도 합니다.”
3줄 요약
1. 원래부터 위협적이었던 공격 봇넷 쿼드세븐, 업그레이드 됨.
2. 업그레이드를 통해 더 많은 장비를 감염시킬 수 있게 됨.
3. 그러면서도 더 은밀해짐.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 악명 높은 봇넷인 쿼드세븐(Quad7)이 최근 업그레이드 되었다는 사실을 보안 업체 세코이아(Sekoia)가 발견했다. 쿼드세븐은 이번 업그레이드를 통해 더 많은 가정용 및 소규모 사무실용 라우터들을 감염시킬 수 있게 됐다고 한다.
[이미지 = gettyimagesbank]
쿼드세븐 봇넷은 ‘7777봇넷(7777 Botnet)’이나 ‘엑스로긴(xlogin)’이라는 이름으로도 불린다. 주로 텔넷/7777과 11288 TCP 포트를 통해 통신을 주고 받는다. 현재 수천 개의 사물인터넷 장비들로 구성되어 있는 것으로 조사되고 있다. 아직까지 이 거대한 봇넷이 실질적인 공격에 활용되는 사례가 눈에 띄게 조사되지 않고 있지만, 실제 공격이 없어서 그런 것인지 발견을 하지 못해서 그런 것일 뿐인 건지는 확실치 않다.
“초기 버전의 경우, 오픈 SOCKS 프록시와 하드코딩된 암호를 사용하는 결함 때문에 보안 연구자들이 쿼드세븐을 추적하기 쉬웠으나, 새로운 HTTP 리버스셸과 KCP와 같은 보안 통신 프로토콜을 도입하며 추적 난이도가 부쩍 올라갔습니다.” 세코이아의 설명이다.
쿼드세븐이 이번 업그레이드를 통해 감염시킬 수 있게 된 것은 티피링크(TP-Link), 자이젤(Zyxel), 에이수스(Asus), 악센트라(Axentra), 디링크(D-Link), 넷기어(Netgear), 루커스(Ruckus) 등 다양한 제조사들에서 나온 일부 제품들이라고 세코이아는 정리한다.
거기에 더해 이번 업데이트에서 제일 눈에 띄는 건 “쿼드세븐으로 감염된 라우터에 로그인 흔적을 남기지 않으려는 시도”가 추가됐다는 것이다. “추적과 분석을 피하려는 시도로 해석됩니다. 보안 전문가들이 인터넷 스캔 엔진을 통해 봇넷의 진화를 추적하는 걸 어렵게 만들고, 다른 해커들이 쿼드세븐 봇넷의 접근 권한을 침해해 사용하는 것도 견제하려는 효과가 더해졌거든요.” 따라서 “앞으로 쿼드세븐을 탐지하는 게 더 힘들어질 수도 있다”고까지 세코이아는 경고했다.
업그레이드를 통해 새롭게 추가된 바이너리들 : 사이넷(FsyNet)
세코이아의 연구원들은 쿼드세븐을 추적하다가 몇 가지 새로운 바이너리를 발견할 수 있었다고 한다. 첫 번째는 사이넷이라는 건데, 일종의 배시 파일 형태로 존재하고 있었다. “정확한 파일명은 fsy.bin이었습니다. 방화벽 규칙을 설정한 후 세 가지 바이너리를 실행하는 기능을 가지고 있었죠. 이 세 가지 바이너리는 여러 가지 모듈로 구성돼 암호화와 복호화, 메시지 전달, 암호화 키 최신화 등 다양한 기능을 수행하는 것으로 분석됐습니다. 또한 네트워킹과 관련된 모듈도 있었습니다.”
이 사이넷 바이너리는 루커스 사에서 나온 네트워크 장비들과 관련된 폴더에서 처음 발견됐다고 한다. 이에 세코이아는 1만 4천 개 이상의 루커스 장비들을 스캔했고, 그 중 30개에서 수상한 점들을 발견할 수 있었다고 한다. “그 수상한 장비들에는 여러 경찰 기관에서 발행한 것으로 보이는 SSL 인증서를 포함한 것도 섞여 있었습니다. 기존 악성 행위들과 연관된 IP 주소 353개와 연결되어 있기도 했고요. 다만 쿼드세븐 운영자들과 이 경찰 기관 혹은 IP 주소들과 어떤 관계가 있는지는 아직 구체적으로 밝혀내지 못했습니다.”
업그레이드를 통해 새롭게 추가된 바이너리들 : 넷드(Netd)
한편 에이수스라고 이름이 되어 있는 폴더에서는 exec.sh라는 쉘 스크립트가 나왔다고 한다. 이 스크립트를 추적했더니 에이수스는 물론 디링크, 넷기어 등 여러 기업들에서 제조한 네트워크 장비들에서 사용되고 있었다. “스크립트가 실행되면 ‘넷드’라는 파일이 다운로드 됐습니다. 이 파일은 방화벽 규칙을 설정하는 데 사용됐습니다. 이것과 함께 tun.ko라는 파일도 같이 다운로드 되는 것을 확인했으나, 저희 편에서 샘플을 확보하지 못해 분석을 할 수 없었습니다.”
넷드의 경우, 감염된 네트워크 장비를 중계용 노드로 활용하는 기능을 가진 것으로 분석됐다. “피해자의 시스템에 설치될 경우 netd.dat이라는 설정파일과 sys.dat이라는 파일이 생성됩니다. 이 두 파일은 살사20(Salsa20)이라는 암호화 알고리즘으로 암호화 되며, 그 상태로 공격자의 서버로 전송됩니다. 공격자는 이 두 가지 파일을 통해 안전한 UDP 연결을 성립시킬 수 있고, 이를 통해 피해자 시스템과 스스로를 연결할 수 있게 됩니다.”
그래서...
정리하자면 쿼드세븐 봇넷은 이번 업그레이드로 다음과 같은 강점을 갖게 됐다.
1) 더 많은 제조사의 장비들을 감염시킬 수 있게 됐다.
2) 더 은밀히 움직이게 돼 추적과 분석이 한층 난해해졌다.
3) 추가 기능을 수행하는 추가 바이너리 두 개가 발견되기도 했다.
“쿼드세븐은 대단히 위협적인 공격 인프라입니다. 원래부터 그랬는데, 이번 업그레이드로 더 그렇게 되었습니다. 쿼드세븐을 이용해 공격을 실시할 경우 공격자는 보다 은밀하게, 눈에 띄지 않는 상태에서, 다양한 공격을 감행할 수 있게 됩니다. 이미 이 봇넷을 통하여 브루트포스 공격을 시도하는 것이 발견되기도 했습니다. 아직 그로 인한 피해가 아직 집계되고 있지는 않지만, 그건 이 봇넷이 꽤나 은밀히 움직이기 때문이기도 합니다.”
3줄 요약
1. 원래부터 위협적이었던 공격 봇넷 쿼드세븐, 업그레이드 됨.
2. 업그레이드를 통해 더 많은 장비를 감염시킬 수 있게 됨.
3. 그러면서도 더 은밀해짐.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
