몽골리안스키머라는 새로운 스키머 활용한 캠페인이 발견됐다. 공격자들이 이 스키머를 감추려고 독특한 기법을 사용해서 분석했더니, 예전부터 사용됐던 기술을 조금 복잡하게 꼬아놓은 것 뿐이었다.
[보안뉴스 문정후 기자] 수주 전 신용카드 정보를 스키밍하는 캠페인이 새롭게 발견됐다. 처음 발견한 건 보안 업체 제이스크램블러(Jscrambler)였다. 이 캠페인에 제이스크램블러가 주목한 건 난독화 기술이 독특했기 때문이었다. 주요 악성 코드를 특수한 유니코드 문자들로 구성한 것인데, 이 때문에 공격자들이 새로운 난독화 기술을 개발한 것으로 보았다고 한다.
[이미지 = gettyimagesbank]
“결론부터 말하자면 이 난독화 기술은 화려한 눈속임에 가깝지, 새로운 기술은 전혀 아닙니다. 이 난독화를 활용한 자는 단지 변수와 함수의 이름에 특이한 유니코드 문자를 사용했을 뿐입니다. 이런 방식은 과거에도 있었습니다. 난독화를 해결하는 데 있어 큰 문제가 될 만한 기술은 아닙니다.” 이 상황을 보고서로 작성해 발표한 페드로 마루초(Pedro Marrucho)와 데이비드 알브즈(David Alves)의 설명이다.
몽골리안스키머(Mongolian Skimmer)
새 악성 스키밍 캠페인을 분석하기 시작한 마루초와 알브즈는 “공격 스크립트가 독특하게 작성됐다는 게 제일 먼저 눈에 띄었다”고 말한다. “악센트 문자가 많이 사용되어 한 눈에 보기에도 어색했습니다. 그런 문자들이 꽤나 많았는데, 그 중에서도 눈에 보이지 않도록 만들어진 문자들이 상당수 사용됐습니다. 그래서 사람이 읽고 이해하는 게 여간 어려운 게 아니었습니다.”
하지만 마루초와 알브즈는 분석을 시작하고서 얼마 되지 않아 이게 새로운 난독화 기술이 아니라는 것을 알 수 있었다고 한다. “ECMA스크립트(ECMAScript) 표준에 따라 자바스크립트라는 언어 자체가 변수명과 같은 식별자에 유니코드 문자를 적용하는 것을 허용하는데, 공격자들이 한 건 단순히 이 기능을 활용한 것 뿐이었습니다.”
이렇게 했을 때 효과가 전혀 없는 건 아니다. 인간 분석가가 혼란을 느끼도록 하고, 분석하는 동안 헷갈리게 만들기도 한다. “하지만 리버스 엔지니어링을 수행하는 데 있어서는 아무런 장애도 되지 않습니다. 그저 모든 고유 문자를 a나 b나 c와 같은 간단한 문자로 자동 전환하는 자바스크립트 변환기를 사용하면 되거든요. 그렇게 한 후 인간 분석가가 코드를 다시 분석하면 한결 알아보기 쉽게 되지요.”
사실 문자를 변환하는 작업도 인간이 직접 분석을 해야할 때에나 필요한 과정이지 복호화를 자동으로 해독하는 기술을 활용하려 한다면(즉 코드 분석을 인간이 아니라 기계가 하게 한다면) 유니코드를 있는 그대로 유지해도 상관이 없다고 제이스크램블의 분석가들은 말한다. “유니코드로 작성되어 있든 평범한 언어로 만들어져 있든 자동으로 스키머를 찾아주는 도구들이 시장에 존재합니다. 저희 제이스크램블러도 그런 도구를 개발해 왔고요.”
그 동안 쌓아왔던 노하우를 활용해 난독화를 뚫고 나니 스키머가 하나 나타났다. “변수명을 바꾸고 정리하니 결국 나중에 가서 민감한 정보를 탈취하는 스키머가 모습을 드러냈습니다. 그것을 다시 리버스 엔지니어링하니 우리가 흔히 발견할 수 있는 전형적인 스키머가 나왔고요. 저희는 이 스키머를 ‘몽골리안스키머’라고 부르기로 했습니다.”
몽골리안스키머라는 이름이 붙은 건 해당 코드 내 첫 번째로 할당된 변수 때문이다. “이 변수의 첫 문자는 16진수 값인 E1A0A5로 표시되어 있었습니다. 이 숫자는 유니코드 문자 중 몽골 문자 하나(OE)에 해당했고요. 식별자에 몽골 글자가 사용되었다는 게 매우 드문 일이라, 저희는 이 특성을 이름에 반영하기로 했고, 그래서 몽골리안스키머라는 네이밍이 완성됐습니다.”
스키머를 분석하니
연구원들은 몽골리안스키머가 전형적인 스키머 기능을 가지고 있었음을 분석을 통해 알 수 있었다. 여기서 말하는 전형적인 스키머 기능들은 다음과 같다.
1) 문서 객체 모델 변화 모니터링 : 특정 문서 객체 모델 요소에서 나타난 변화 내용들을 지속적으로 모니터링한다. 이런 내용들(즉 정보) 중에 탈취할 것들이 제법 있기 때문이다.
2) 데이터 유출 : 스키밍 멀웨어의 존재 이유가 주요 정보를 빼돌리는 것이다. 그러니 특정 정보를 밖으로 내보내는 건 스키머의 기본 중 기본이다.
3) 개발자 도구 탐지 : 개발자 도구가 열려 있는 상황에서는 일부 기능을 비활성화 하여 분석을 피한다.
4) 페이지 데이터 수집 : 피해자가 이용하고 있는 웹 페이지가 닫히거나 새로 고침 되기 직전의 데이터까지도 수집한다.
5) 다양한 브라우저와의 호환성 : 대부분의 스키머가 그렇듯 몽골리안스키머 역시 여러 현대 브라우저들을 지원한다.
6) 안티디버깅 : 몽골리안스키머는 문자열 변환과 정규식 테스트를 통해 자체 포맷을 검사하여 디버깅을 방지하는 방식의 안티디버깅 기법을 사용한다.
7) 로더 분석 : 몽골리안스키머는 인라인 스크립트를 사용해 외부에서부터 스키머 스크립트를 가져오는 특성을 가지고 있었다. 그런데 이 과정에서 또 다른 로더가 사용된 사례도 있어 분석 중에 있다.
또 하나의 독특한 상황, 공격자들 간의 대화
몽골리안스키머 캠페인을 분석하던 마루초와 알브즈는 꽤나 재미있는 장면을 목격하기도 했다. “어떤 한 사이트에 두 개의 스키머 인스턴스가 있다는 걸 발견할 수 있었습니다. 물론 서로 다른 공격자가 같은 표적을 동시에 공격하는 상황은 생각보다 빈번하게 발생합니다. 그러니 두 개의 인스턴스가 한꺼번에 발견된 것 자체가 이상한 건 아닙니다.”
표적이 겹칠 때 사이버 공격자들은 서로 견제하는 걸 택하는 게 보통이다. 특히 암호화폐 채굴 공격자들은 피해자 시스템에서 본격적인 채굴을 시작하기 전에 또 다른 채굴 코드가 있는지 확인하여 삭제하는 것부터 진행한다. 정보 탈취를 목적으로 한 공격자들 중 다수도 피해자 시스템에서 백도어 등을 찾아 없애고 나서 자신이 할 일을 한다. “그런데 이번 캠페인의 경우 두 공격자는 소스코드에 코멘트를 남기며 대화를 했습니다. 그러더니 서로 수익을 나누기로 합의하더군요.”
대화 중 일부를 인용하면 다음과 같다.
50/50으로?
50/50에 동의. 이제부터 그쪽의 (악성) 코드를 추가해도 됨. ^^
좋아^^ 근데 어떻게 연락하지? 익스플로잇에 계정이 있어?
이번 연구 및 분석의 성과에 대해 연구원들은 다음과 같이 말한다. “이번 스키머에서 발견된 난독화 기술은 새로운 것으로 보였지만 실상은 그렇지 않았습니다다. 오히려 과거에더 흔히 사용되던 것이었죠. 오래된 기법을 사용해 더 복잡해 보이도록 했을 뿐, 실제로는 여전히 쉽게 분석할 수 있었습니다. 단순한 코드 변환기만으로도 모든 이상한 문자를 자동으로 제거할 수 있었기 때문이죠. 즉 겉모습에 속았다면 지레 겁을 먹을 수 있었을 것이라는 뜻입니다. 어떤 코드라도 분석 전에 미리 두려워할 필요가 없습니다. 또한 사이버 범죄자들 간에 나름의 대화가 오가기도 한다는 걸 직접 보게 된 것도 신기했습니다.”
3줄 요약
1. 신용카드 정보 빼돌리는 스키머 캠페인 발견됨.
2. 그런데 난독화 기술이 꽤나 복잡해 보여 분석했더니 별 거 아니었음.
3. 게다가 공격자들 간에 나름 합리적으로 대화하려는 모습도 발견됨.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 수주 전 신용카드 정보를 스키밍하는 캠페인이 새롭게 발견됐다. 처음 발견한 건 보안 업체 제이스크램블러(Jscrambler)였다. 이 캠페인에 제이스크램블러가 주목한 건 난독화 기술이 독특했기 때문이었다. 주요 악성 코드를 특수한 유니코드 문자들로 구성한 것인데, 이 때문에 공격자들이 새로운 난독화 기술을 개발한 것으로 보았다고 한다.
[이미지 = gettyimagesbank]
“결론부터 말하자면 이 난독화 기술은 화려한 눈속임에 가깝지, 새로운 기술은 전혀 아닙니다. 이 난독화를 활용한 자는 단지 변수와 함수의 이름에 특이한 유니코드 문자를 사용했을 뿐입니다. 이런 방식은 과거에도 있었습니다. 난독화를 해결하는 데 있어 큰 문제가 될 만한 기술은 아닙니다.” 이 상황을 보고서로 작성해 발표한 페드로 마루초(Pedro Marrucho)와 데이비드 알브즈(David Alves)의 설명이다.
몽골리안스키머(Mongolian Skimmer)
새 악성 스키밍 캠페인을 분석하기 시작한 마루초와 알브즈는 “공격 스크립트가 독특하게 작성됐다는 게 제일 먼저 눈에 띄었다”고 말한다. “악센트 문자가 많이 사용되어 한 눈에 보기에도 어색했습니다. 그런 문자들이 꽤나 많았는데, 그 중에서도 눈에 보이지 않도록 만들어진 문자들이 상당수 사용됐습니다. 그래서 사람이 읽고 이해하는 게 여간 어려운 게 아니었습니다.”
하지만 마루초와 알브즈는 분석을 시작하고서 얼마 되지 않아 이게 새로운 난독화 기술이 아니라는 것을 알 수 있었다고 한다. “ECMA스크립트(ECMAScript) 표준에 따라 자바스크립트라는 언어 자체가 변수명과 같은 식별자에 유니코드 문자를 적용하는 것을 허용하는데, 공격자들이 한 건 단순히 이 기능을 활용한 것 뿐이었습니다.”
이렇게 했을 때 효과가 전혀 없는 건 아니다. 인간 분석가가 혼란을 느끼도록 하고, 분석하는 동안 헷갈리게 만들기도 한다. “하지만 리버스 엔지니어링을 수행하는 데 있어서는 아무런 장애도 되지 않습니다. 그저 모든 고유 문자를 a나 b나 c와 같은 간단한 문자로 자동 전환하는 자바스크립트 변환기를 사용하면 되거든요. 그렇게 한 후 인간 분석가가 코드를 다시 분석하면 한결 알아보기 쉽게 되지요.”
사실 문자를 변환하는 작업도 인간이 직접 분석을 해야할 때에나 필요한 과정이지 복호화를 자동으로 해독하는 기술을 활용하려 한다면(즉 코드 분석을 인간이 아니라 기계가 하게 한다면) 유니코드를 있는 그대로 유지해도 상관이 없다고 제이스크램블의 분석가들은 말한다. “유니코드로 작성되어 있든 평범한 언어로 만들어져 있든 자동으로 스키머를 찾아주는 도구들이 시장에 존재합니다. 저희 제이스크램블러도 그런 도구를 개발해 왔고요.”
그 동안 쌓아왔던 노하우를 활용해 난독화를 뚫고 나니 스키머가 하나 나타났다. “변수명을 바꾸고 정리하니 결국 나중에 가서 민감한 정보를 탈취하는 스키머가 모습을 드러냈습니다. 그것을 다시 리버스 엔지니어링하니 우리가 흔히 발견할 수 있는 전형적인 스키머가 나왔고요. 저희는 이 스키머를 ‘몽골리안스키머’라고 부르기로 했습니다.”
몽골리안스키머라는 이름이 붙은 건 해당 코드 내 첫 번째로 할당된 변수 때문이다. “이 변수의 첫 문자는 16진수 값인 E1A0A5로 표시되어 있었습니다. 이 숫자는 유니코드 문자 중 몽골 문자 하나(OE)에 해당했고요. 식별자에 몽골 글자가 사용되었다는 게 매우 드문 일이라, 저희는 이 특성을 이름에 반영하기로 했고, 그래서 몽골리안스키머라는 네이밍이 완성됐습니다.”
스키머를 분석하니
연구원들은 몽골리안스키머가 전형적인 스키머 기능을 가지고 있었음을 분석을 통해 알 수 있었다. 여기서 말하는 전형적인 스키머 기능들은 다음과 같다.
1) 문서 객체 모델 변화 모니터링 : 특정 문서 객체 모델 요소에서 나타난 변화 내용들을 지속적으로 모니터링한다. 이런 내용들(즉 정보) 중에 탈취할 것들이 제법 있기 때문이다.
2) 데이터 유출 : 스키밍 멀웨어의 존재 이유가 주요 정보를 빼돌리는 것이다. 그러니 특정 정보를 밖으로 내보내는 건 스키머의 기본 중 기본이다.
3) 개발자 도구 탐지 : 개발자 도구가 열려 있는 상황에서는 일부 기능을 비활성화 하여 분석을 피한다.
4) 페이지 데이터 수집 : 피해자가 이용하고 있는 웹 페이지가 닫히거나 새로 고침 되기 직전의 데이터까지도 수집한다.
5) 다양한 브라우저와의 호환성 : 대부분의 스키머가 그렇듯 몽골리안스키머 역시 여러 현대 브라우저들을 지원한다.
6) 안티디버깅 : 몽골리안스키머는 문자열 변환과 정규식 테스트를 통해 자체 포맷을 검사하여 디버깅을 방지하는 방식의 안티디버깅 기법을 사용한다.
7) 로더 분석 : 몽골리안스키머는 인라인 스크립트를 사용해 외부에서부터 스키머 스크립트를 가져오는 특성을 가지고 있었다. 그런데 이 과정에서 또 다른 로더가 사용된 사례도 있어 분석 중에 있다.
또 하나의 독특한 상황, 공격자들 간의 대화
몽골리안스키머 캠페인을 분석하던 마루초와 알브즈는 꽤나 재미있는 장면을 목격하기도 했다. “어떤 한 사이트에 두 개의 스키머 인스턴스가 있다는 걸 발견할 수 있었습니다. 물론 서로 다른 공격자가 같은 표적을 동시에 공격하는 상황은 생각보다 빈번하게 발생합니다. 그러니 두 개의 인스턴스가 한꺼번에 발견된 것 자체가 이상한 건 아닙니다.”
표적이 겹칠 때 사이버 공격자들은 서로 견제하는 걸 택하는 게 보통이다. 특히 암호화폐 채굴 공격자들은 피해자 시스템에서 본격적인 채굴을 시작하기 전에 또 다른 채굴 코드가 있는지 확인하여 삭제하는 것부터 진행한다. 정보 탈취를 목적으로 한 공격자들 중 다수도 피해자 시스템에서 백도어 등을 찾아 없애고 나서 자신이 할 일을 한다. “그런데 이번 캠페인의 경우 두 공격자는 소스코드에 코멘트를 남기며 대화를 했습니다. 그러더니 서로 수익을 나누기로 합의하더군요.”
대화 중 일부를 인용하면 다음과 같다.
50/50으로?
50/50에 동의. 이제부터 그쪽의 (악성) 코드를 추가해도 됨. ^^
좋아^^ 근데 어떻게 연락하지? 익스플로잇에 계정이 있어?
이번 연구 및 분석의 성과에 대해 연구원들은 다음과 같이 말한다. “이번 스키머에서 발견된 난독화 기술은 새로운 것으로 보였지만 실상은 그렇지 않았습니다다. 오히려 과거에더 흔히 사용되던 것이었죠. 오래된 기법을 사용해 더 복잡해 보이도록 했을 뿐, 실제로는 여전히 쉽게 분석할 수 있었습니다. 단순한 코드 변환기만으로도 모든 이상한 문자를 자동으로 제거할 수 있었기 때문이죠. 즉 겉모습에 속았다면 지레 겁을 먹을 수 있었을 것이라는 뜻입니다. 어떤 코드라도 분석 전에 미리 두려워할 필요가 없습니다. 또한 사이버 범죄자들 간에 나름의 대화가 오가기도 한다는 걸 직접 보게 된 것도 신기했습니다.”
3줄 요약
1. 신용카드 정보 빼돌리는 스키머 캠페인 발견됨.
2. 그런데 난독화 기술이 꽤나 복잡해 보여 분석했더니 별 거 아니었음.
3. 게다가 공격자들 간에 나름 합리적으로 대화하려는 모습도 발견됨.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
