발견이 어려움은 물론 발견해도 가짜일 확률 높아 누구든 마음만 먹으면 얼마든지 구매하여 사용 가능

[보안뉴스 주소형] 접속 도메인 명을 생성하는 DGA(Domain Generation Algorithm)라는 기술이 공격으로 악용되고 있다. 지속적으로 도메인 명을 변경해줌으로서 보안전문가들을 따돌리는 것이다. 이 같은 공격은 ‘DGA.Changer’라고 불리고 있으며 이스라엘 사이버보안 회사인 시큘러트(Seculert)에 의해 드러났다.
 


DGA.Changer는 봇넷(botnet) 개념의 공격으로 대규모 시스템이 동시에 명령을 전달받아 클릭 수를 조작하는 클릭사기, 정보 탈취, 트로이 목마 접속, 원격 명령 전송 등과 같은 다양한 기능을 실행할 수 있다. 게다가 DGA.Changer는 이미 상품화되어 있다는 데서 진짜 위력이 발휘된다. 누구든지 마음만 먹으면 얼마든지 구매하여 사용할 수 있기 때문이다.

DGA.Changer의 장점은 도메인 이름이 계속해서 바뀐다는 것이다. 그러니 탐지가 어려울 수밖에 없다. “해당 샘플을 발견한다고 쳐도 도메인을 바로 변경해버리거나 이미 가짜일 확률이 높다. 따라서 공격의 숙주인 C2 서버까지 접근이 상당히 어려운 실정이다.” 2013년 관련 멀웨어에 대한 정보를 최초로 자세히 드러낸 시큘러트 측의 설명이다.

최근 DGA.Changer의 개발자들은 더욱 똑똑해지고 있다. 이렇게 탐지 기능을 우회할 수 있는 기능이 더욱 발전해 가고 있는 추세에 따른 것이다.


최근 업그레이드 된 DGA.Changer는 VMWare, 비쥬얼 박스(Visual Box) 등과 같은 잘 알려진 비쥬얼리제이션 제품과 현재 환경을 비교하여 과연 지금 내가(DGA.Changer가) 활동하고 있는 공간이 샌드박스 내부인지 아닌지를 파악한다고 한다. 그리고 현재 샌드박스 안에 있다고 판단이 되는 경우 가짜 스트림을 다량으로 생성하기 시작한다. 샌드박스 내에서 DGA.Changer를 포착했다고 생각하지만 그저 가짜 스트림을 다수 포착하는 것에 불과하다는 것.

“심지어 가짜 멀웨어를 생성하기도 한다. 실행봤자 빠져나가는 기능(exit)만 하는 텅 빈 멀웨어들을. 모든 게 미끼다. 제대로 잡기도, 분석하기도 어렵다. 이러한 움직임은 몇 달 전부터 본격화되고 있다. 현재 보안업계에서 각광받고 있는 샌드박스라고 하지만 벌써부터 공격자들의 놀잇감 수준으로 전락하고 있다”라고 시큘러트의 아비브 라프(Aviv Raff) CTO가 말했다.
 
“DGA.Changer의 새로운 버전이 발견됨에 따라 샌드박스에 대한 맹목적인 의존도를 낮추고 기존의 샌드박스 기술 자체도 발전시켜야 할 필요가 생겼다. 이미 해커들은 샌드박스를 넘어선 듯 하다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC


[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>