탐지 어렵고 지속적인 감시 가능해 인기리에 사용되고 있는 도구

[보안뉴스 문가용] 이번 달 초, 미국의 인사관리처에서 2천 1백 5십만 건의 정보유출 사고가 벌어졌다. 피해자들은 사회보장번호 등과 같은 민감한 정보가 알 수 없는 누군가에게 넘어가는 사태를 겪어야 했다. 그것 때문에 인사관리처장이었던 캐서린 아출레타(Katherine Archuleta)는 사퇴했고, 아직 정확한 결과가 나온 건 아니지만 이 인사관리처 공격에는 사쿨라(Sakula)라는 RAT가 사용된 것으로 보인다.

RAT란 원격 접근 툴로 보통 해커가 피해자의 시스템을 멀리서 완전히 장악하는 데에 주로 사용되고 있다. 민감한 정보를 빼돌리거나 장시간 피해자를 감시하는 등 여러 가지 해킹 이후의 범죄 행위를 할 수 있게 해준다. RAT는 보통 스피어 피싱 공격이나 소셜 엔지니어링 공격으로 감염되며, 이 공격들은 패킷 형태로 어딘가에 숨어 있다가 멀웨어 페이로드 실행의 단계에서 활동을 시작한다.

RAT는 이미 보안업계에 등장한 지가 꽤나 시간이 지난, 어찌 보면 ‘구식’이라고도 부를 수 있는 사이버 공격 툴인데, 아직도 이들을 탐지하거나 사전에 방지하는 게 굉장히 어렵다. 그 이유는 다음과 같다.

1) 감염된 시스템에서 합법적인 네트워크 포트를 연다. 굉장히 흔한 일이라 아무도 이에 대해 의심을 갖지 않는다.
2) 합법적인 기존 RAT를 흉내 낸다.
3) 보통의 흔한 멀웨어들이 사용하는 기술과 다른 방식을 주로 사용한다.

그렇다면 현대에 가장 널리 사용되고 있는 RAT에는 어떤 종류가 있을까? 대표적인 것 7개를 뽑아보았다.

1) 사쿨라 : 위에 밝혔다시피 인사관리처 해킹과 관련이 있는 것으로 보이는 RAT으로 정상 소프트웨어처럼 위장하고 있으며 공격자들이 원격에서 피해자의 시스템을 마음대로 주무를 수 있도록 해준다. 처음엔 간단한 HTTP 요청의 형식으로 C&C 서버와 통신을 주고 받고, mimkatz라는 도구를 사용해 인증과정을 통과한다.

2) KjW0rm : 최근 프랑스 TV 방송국 정보 유출사건과 관련이 있는 것으로 보이는 RAT으로 VBS 언어로 작성되었다. 그래서 탐지가 매우 어렵다. 공격자가 피해자 시스템을 완벽히 장악할 수 있도록 해주는 트로이목마 백도어를 만들고, 정보를 빼내며, 빼낸 정보를 C&C 서버로 전송한다.

3) 하벡스(Havex) : 산업 제어 시스템(ICS)을 표적으로 삼는 RAT으로 굉장히 고도화된 기능을 가지고 있으며, 공격자가 표적으로 삼은 ICS를 완벽히 장악하게 해준다. 게다가 변종도 많고 탐지도 매우 어렵다. C&C 서버와의 통신은 HTTP와 HTTPS에서 모두 이루어지며 피해 시스템에 흔적을 거의 남기지 않는다.

4) Agent.BTZ / ComRat : 가장 명 높으며 잘 알려진 RAT 중 하나. 러시아 정부 혹은 그 사주를 받는 단체에서 만든 것으로 보이며 산업 제어 시스템으로 구성된 네트워크, 특히 유럽 지역에 있는 네트워크를 겨냥하고 있다. 또 다른 이름은 유로뷰로스(Uroburos)로 피싱 공격을 통해 침투한다. 고도화된 암호화 기술을 탑재하고 있어 분석으로부터 탄탄히 방어되어 있으며, 한번 시스템에 침입하면 공격자에게 관리자 권한을 주다시피 한다. 민감한 정보를 훔쳐내 C&C 서버로 전송하며, 암호화 기술 외에 다양한 분석 방지 및 포렌식 방지 기술을 내재하고 있다.

5) 다크 코멧(Dark Comet) : 피해 시스템의 관리자 권한을 공격자에게 넘겨주는 기능을 가지고 있으며 2011년에 처음 발견되었다. 그런데도 아직까지 세계 곳곳에서 탐지를 피한 채 활동하고 있다. 다크 코멧이 백신 프로그램을 우회하게 해주는 건 바로 크립터(Crypter)라는 도구이며, 이것을 가지고 태스크 매니저(Task Manager)나 윈도우의 방화벽, 윈도우 UAC 등을 무력화시키기도 한다.

6) 에얼리언스파이(AlienSpy) : 애플의 OS X 플랫폼을 겨냥한 것으로 비교적 예전 멀웨어 기능들만을 가지고 있다. 시스템 정보를 모으거나 웹 캠을 몰래 실행시키며, C&C 서버와의 통신망을 구축하고 피해자 시스템을 원격에서 조정할 수 있도록 해준다. 분석 방지 기능도 가지고 있으며 가상 기기 환경을 잘 발견해낸다.

7) 헤세베르 봇(Heseber BOT) : 가상 네트워크 컴퓨팅(Virtual Networking Computing) 방식으로 작동하며, 합법적인 원격 관리 툴이기 때문에 그 어떤 백신 소프트웨어에서 차단되지 않는다. 또한 VNC를 활용해 파일을 이동하고 제어권을 공격자가 가질 수 있도록 한다.

RAT가 자주 사용되는 이유는 명확하다. 탐지가 어렵고 그렇기 때문에 예전 멀웨어에 대한 데이터베이스를 기반으로 한 기존 안티멀웨어 및 백신 툴들은 점점 더 RAT 앞에 아무 것도 아닌 툴이 되어가고 있다. 현재까지는 RAT에 대항하려면 시스템 프로세스를 주기적으로 관찰해서 이상 활동이 나타날 때마다 잡아내는 게 가장 좋은 방법이라고 알려져 있다. 
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>