지금까지 ‘봇넷(botnet)’이란 무엇인지 대략적인 내용을 살펴봤다. 이번호에서는 Pushdo를 예로 들어 실제 활동 내용과 공격 기법에 대해 자세히 살펴보도록 한다. Pushdo는 현존하는 가장 큰 스팸 봇넷 중 하나로 전세계 스팸 상당량에 관련돼 있다고 보고되고 있다
Pushdo에서 발송되는 스팸은 하루에 77억 통에 이른다는 보고가 있는데 이는 전세계 가장 큰 스팸 봇넷 탑 2에 드는 수치다. 2010년 8월 말에는 여러 보안 연구자들의 노력으로 Pushdo/Cutwail의 C&C 서버를 찾아내 대부분을 차단, 활동이 잠잠해지는 듯 보였으나 얼마 지나지 않아 9월 초, 다시 5,000통 가까이의 스팸을 발송하고 있는 것이 확인되는 등 범죄자들은 봇넷 분해에도 아랑곳하지 않고 활동을 계속하고 있다.
 
Pushdo는 사용자의 악성 웹사이트 방문 등으로 PC에 감염되면 본부와 연락해 멀웨어 실행파일(대부분 서드파티 멀웨어)을 일괄 입수한다. Pushdo와 C&C 서버가 연락을 하는 것은 이 때뿐이다. P2P 컴포넌트는 전혀 없으나 중앙 서버에서의 빈번한 업데이트는 있다. 중앙 서버는 보통 미국에 있는 것으로 추정된다.
 
Pushdo는 봇넷 Storm이나 Downad와 달리 스스로 감염 활동을 할 수 없고 간단한 C&C 구조밖에 갖고 있지 않지만 활동에는 전혀 지장이 없는 것 같다.
Pushdo의 업데이트에는 서프라이즈가 몇 개 포함돼 있다. 한 대규모 업데이트 때에는 사용자 PC에 팝업 광고를 나타내는 실행파일이 포함돼 있었다. 아마 대규모 광고 활동을 하고 싶은 광고주가 거금을 지불한 것으로 파악된다. 반드시 포함되는 컴포넌트는 스팸 엔진으로 어떤 안티 바이러스 벤더들은 이를 ‘Cutwail’이라고 부른다.
 
다운로더/업데이터 바이너리는 보통 ‘Pushdo’로 탐지되는데 ‘Pandex’나 다른 탐지명이 사용되는 경우도 있다. Pushdo는 범죄조직이 남의 PC를 이용해 어떻게 거금을 버는 것인지 보여주는 흥미로운 예다.
이들 범죄조직은 이 봇넷을 이용하는 고객에게는 단순한 광고 회사처럼 보이겠지만 실제로는 스팸 발송이라는 목적만으로 남의 PC 정보를 탈취하고 있는 것이다.

스팸 봇넷 Pushdo

2008년 이후 널리 확산된 봇넷 Storm은 상트 페테르부르크를 거점으로 활동하는 ‘Russian Business network’라는 조직과 깊은 관련이 있었다. 트렌드 마이크로의 조사에 따르면 Pushdo는 모스크바와 관련이 있는 것으로 나타났다.
 
다른 스팸 봇넷처럼 Pushdo의 스팸 컴포넌트 Cutwail은 스팸을 대량으로 발송한다. 각 메일은 특정 서비스를 광고하고 있으며 광고 내용은 주로 포르노겳쨋瓚?약국 등이다. 살사 교실이나 건설업 광고가 확인된 경우도 있었다.
 
Pushdo의 배후에 있는 범죄조직은 ‘지역 광고 서비스’도 제공한다. 불과 100유로로 모스크바, 상트 페테르부르크 등 특정 지역 또는 고객이 희망하는 나라에 수백통의 스팸을 보낼 수 있다.
 
트렌드 마이크로는 위협 분석의 일환으로 범죄조직이 제공하는 연락처 번호를 사용해 연락을 시도했다. 그들의 스팸 서비스를 문의하는 고객으로 가장한 것인데 이들은 매우 친절하게 고객 서비스를 제공하고 있었다.
 
지불 은행계좌를 가르쳐 줄뿐만 아니라 모스크바 시내라면 직접 수금도 해준다. 또한 안티 스팸 시그니처를 회피할 수 있는 ‘광고 메일 서비스’(스팸메일)를 제공해 주며 고객 비즈니스 광고를 위한 웹사이트 디자인도 무료로 해 준다.

Pushdo의 교묘한 안티 바이러스 회피
지금까지 Pushdo에는 많은 서브 컴포넌트가 포함된다고 설명해 왔다. 그렇다면 감염 PC 내에는 악성 실행파일이나 DLL 파일, 시스템 파일로 넘쳐나고 있지 않을까? 그러나 실제로 Pushdo는 하드디스크에 2개의 파일을 작성할 뿐, 그밖에는 가능한 디스크에 접근하지 못하게 한다. 이해를 돕기 위해 Pushdo의 공격 방법을 단계마다 설명하면 다음과 같다(Pushdo가 실제로 하드디스크에 몇 번 액세스하는지 주의해서 보길 바란다).
사용자가 악성 웹사이트에 방문, 공격이 개시되면 Pushdo 인스톨러가 PC 메모리에 즉시 설치된다. Pushdo는 시스템 디렉터리에 1개의 파일을 작성하는데 이것이 자신의 카피가 된다. 그 후 시스템이 기동할 때마다 Pushdo는 다른 멀웨어 컴포넌트를 다운로드한다. 이 때도 반드시 메모리에 상주하며 하드디스크에는 작성되지 않는다. 이들 악성 컴포넌트 중 1개는 커널 모드 루트킷을 다운로드한다. 이 루트킷은 디바이스 드라이버로서 시스템에 인스톨된다.
눈치챈 대로 2와 4단계에서만 악성 파일이 하드디스크에 작성된다. 이는 이 2개 파일 외에는 안티 바이러스 소프트의 스캔이 ‘접근할 수 없다’는 것을 의미한다. 안티 바이러스 테크놀로지에서는 실행파일의 스캔이 중심이 되기 때문이다.
 
또한 각 Windows 프로세스에는 2GB의 가상 메모리 스페이스가 있기 때문에 안티 바이러스 스캐너가 메모리를 스캔하는 데는 시간이 많이 걸린다. 따라서 대부분의 벤더에서는 스캔을 시도하지도 않는 것이 현실이다.

Pushdo의 치밀한 정보수집
봇넷 Pushdo의 배후에 있는 범죄조직은 매우 교활하며 사악하다. 그러나 그들의 입장에서 보면 이는 단지 순수한 비즈니스에 불과하다. 법률 회사든 댄스 학원이든 러시아 회사의 광고를 도급맡고 있는 것일 뿐이다.
 
그러나 그들에게도 문제는 있다. 스팸이 제대로 전송됐는지 어떻게 확인할 수 있는 것일까? Pushdo 범죄조직은 이를 실현하는 방법을 찾아냈다. 그 방법이란 감염 PC에서 발신되는 모든 메일을 감시하고 추적하는 것이다. Pushdo가 갖고 있는 많은 컴포넌트에 빌트인 네트워크 감시기능을 추가함으로써 이를 실현했다.
 
PC가 감염되면 우선 모듈 중 1개가 디바이스 드라이버(‘tcpsr.sys’)를 작성한다. 이 드라이버는 발신되는 모든 메일을 훔쳐보고 각 메일의 수신자를 기록한다. 드라이버는 때때로 이 정보를 서버에 전송한다. 이 서버를 이용해 범죄조직은 모든 데이터를 수집, 각 광고 활동으로 얼마나 메일이 전송됐는지 정확하게 파악하는 것이다. 
 
한편 감염 PC가 보낸 스팸의 수신자 외에도 사용자가 보낸 일반 메일의 수신자 정보도 입수되므로 Pushdo의 데이터베이스는 점점 커지게 된다. 감시 드라이버는 활성화되면 바로 하드디스크에서 삭제된다.
 
이는 Pushdo 범죄조직이 어떻게 비즈니스로 스팸 활동을 하고 있는 것인지 보여주는 일례다. 그들은 돈벌이를 목적으로 스팸 활동을 하고 있으며 이 감시 기능 등은 그 목적을 분명히 말해주는 것이라고 할 수 있다.

트렌드 마이크로 ‘좀비PC 탐지 및 치료 솔루션’
지금까지 Pushdo 위협의 주요 요인에 대해 살펴봤다. Pushdo가 위험한 것은 알겠지만 안티 바이러스 제품을 사용하고 있으니까 괜찮다고 생각하는 사람도 있을지 모르겠다. 그러나 안타깝게도 이러한 위협은 기존의 안티 바이러스만으로는 대응할 수 없다. 그러면 Pushdo와 같은 위협으로부터 PC를 보호하려면 어떻게 해야할까? 그 해답은 바로 다층 방어 접근에 있다.
 
Pushdo를 타파하기 위해서는 기존의 엔드유저 레벨 대책에서 웹 대책 및 메일 대책이 추가로 필요하다. ‘Trend Micro Smart Protection Network(SPN)’은 스팸메일 내 악성 URL을 자동으로 차단한 후 악성 웹사이트를 추적한다.
 
그리고 그곳에서 다운로드되는 모든 멀웨어를 해석하고 탐지한다. 물론 멀웨어에 관련된 모든 스팸 및 악성 URL도 차단된다. 이러한 일련의 프로세스는 사용자의 액션없이 이뤄져 항상 보다 뛰어난 보안 대책을 사용자에게 제공할 수 있게 된다.
 
기업의 경우, 봇넷 전용 솔루션을 사용하는 것이 좋다. 트렌드 마이크로의 ‘좀비PC 탐지 및 치료 솔루션(Threat Management Solution)’은 SPN과 연계해 Pushdo같은 봇을 탐지하고 자동으로 치료하는 데 특화된 장비다. 감염PC(좀비PC)에 침입한 봇은 기존의 바이러스와는 달리 네트워크 통신을 통해 활동하거나 다른 프로그램이 구동할 때 편승해 활동하기 때문에 일반적인 바이러스 스캔 방식으로는 탐지가 어렵다. 또한 탐지를 하더라도 많은 사용자의 PC를 일일이 대응하기가 어려워 봇의 치료 또한 어려운 과제였다.
 
트렌드 마이크로 솔루션은 사용자 PC에 설치된 에이전트 프로그램을 통해 중앙에서 자동으로 봇을 제거하는 특징을 갖고 있다. 특히 사용자 PC에 설치되는 치료 솔루션은 시스템 리소스를 거의 차지하지 않으며 타 백신 프로그램들과 충돌 사례가 없음은 물론 오진의 경우에도 일선 관리자들이 조치를 취할 수 있도록 설계돼 있다.
<글 : 한국트렌드마이크로 마케팅팀>

[월간 정보보호21c 통권 제122호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>