2016년 익스플로잇 킷 활동 크게 줄어들어...일시적 현상일까?
러크 갱단 50여명 체포 일어난 후 앵글러 자취 감춰
[보안뉴스 문가용] 사이버 보안 업계에 항상 존재해왔던 골칫거리가 있으니, 바로 익스플로잇 킷(exploit kit)이다. 멀웨어 공격 및 감염 메커니즘을 장착하고 배포 채널 및 C&C 기반구조도 갖추고 있는 범죄자용 툴은 데이터 탈취를 비롯한 각종 사이버 범죄 행위를 편리하게 만들어주는 ‘패키지’ 상품과 같은 존재다. 해킹 할 기술이나 능력은 없지만 돈 주머니는 좀 두둑한 범죄자들의 지평을 크게 넓혀주는 존재로, 방어자에겐 암세포가 따로 없었다.
.jpg)
좋은 소식이 있다면 2016년은 익스플로잇 킷에게 있어 악몽과 같은 해였다. 경찰력 및 사법기관의 노력으로 유명한 익스플로잇 운영자들이 일부 검거되면서 활동이 크게 줄어든 것이다. 하지만 많은 보안 전문가들은 이에 대해 ‘일시적인 현상일뿐’이라고 일축한다. 아직 김칫국부터 마시지 말라는 거다. 무슨 일이 일어난 걸까, 보다 상세히 알아보자.
1. 2016년 여름, 익스플로잇 킷의 악몽
2015년만 해도 익스플로잇 킷은 잘 나갔다. 보안 전문업체인 트렌드 마이크로(Trend Micro)는 지난 4사분기에, 2014년에 비해 익스플로잇 킷이 2015년 한 해 동안 두 배나 증가했다고 발표했다. 그 무서운 성장 속도가 2016년 봄부터 주춤하기 시작했다. 앵글러(Angler)와 뉴클리어(Nuclear)라는 가장 중요한 익스플로잇 킷이 돌연 사라졌기 때문이다.
4월 즈음부터 익스플로잇 킷에 대한 타격이 본격적으로 시작되었다고 또 다른 보안 전문업체인 체크포인트(Check Point)는 설명한다. 그러고 나서 얼마 지나지 않아 뉴클리어의 기반구조는 모조리 오프라인 되었다. “제어판, 랜딩 페이지, 마스터 서버, 감염 과정(infection flow) 및 기타 내부 논리 등 모든 것이 사라졌어요.”
2. 앵글러도 무사하지 못해
하지만 뉴클리어 정도로는 큰 충격을 주지 못했다. 앵글러라는 익스플로잇 킷 계통의 거대한 산이자 최고의 원탑 역시 홀연히 자취를 감추었기 때문이다. 팔로알토에 따르면 이 앵글러 킷은 올해 1월까지만 하더라도 9만 여개의 웹 사이트를 감염시킨 장본인이었다. 랜섬웨어까지 탑재하며 앵글러 킷은 승승장구하고 있었다. 그러나 6월 중순 즈음, 앵글러 트래픽이 갑자기 사라졌다. 덕분에 4월~6월 기간 만에 익스플로잇 킷 전체 활동량이 96% 감소하기에 이르렀다. 그리고 그 이유는 아직도 수수께끼로 남아있다.
3. 러크(Lurk), 체포되다
앵글러가 사라진 이유에 대해 많은 추측들이 오갔지만 가장 유력하게 꼽히는 건 러크(Lurk)라는 갱단과의 관계성이다. 지난 6월, 러시아 연방보안국이 러크라는 거대 갱단의 조직원 50명을 검거하는 데에 성공했다고 발표했다. 앵글러가 이 발표 즈음하여 사라진 것에 비추어 1) 러크가 애초에 앵글러를 운영하는 자들이었다는 설과 2) 러크의 대규모 검거 때문에 앵글러 운영자들이 잠시 몸을 숨기고 있다는 설이 가장 유력하게 떠올랐다.
보안 전문가인 카페인(Kafein)은 “2012년~2016년초까지만 해도 러크의 감염 경로 중 앵글러의 변종인 인덱스엠(Indexm)이라는 게 있었다는 걸로 미루어 보아, 러크와 앵글러 사이에는 밀접한 연관성이 있다고보는 게 타당하다”는 의견이다.
4. 후발주자들 등장하기 시작
그러나 익스플로잇 킷이 위기를 맞이했다고 해서 아예 사라진 건 아니다. 앵글러부터도 블랙홀(Blackhole)이라는 익스플로잇 킷의 운영자들이 2013년 대규모 검거 활동으로 인해 시장에서 사라져서 생긴 공백을 메우면서 등장한 것이었다. 그런 전례로 보아 앵글러와 뉴클리어를 잇는 무언가가 조만간 등장해도 이상할 것이 없다는 게 전문가들 사이의 거의 공통된 의견이다. 현재까지 활동 중인 익스플로잇 킷 다섯 개는 헌터(Hunter), 매그니튜드(Magnitude), 뉴트리노(Neutrino), RIG, 선다운(Sundown)이다. 이들이 가장 유력한 차세대 후보라고 볼 수 있다.
5. 취약점, 취약점, 취약점
현재 이 차세대 익스플로잇 킷 5인방(?)은 업그레이드 중에 있다고 보안업체인 디지털 셰도우즈(Digital Shadows)는 설명한다. 2015년 이후에 발견된 새로운 취약점들을 익스플로잇하는 메커니즘을 장착하고 있다는 것. 애플리케이션 중에서는 플래시, 자바, 인터넷 익스플로러가 특히 인기가 높다고 한다. 또, 최근의 익스플로잇 킷은 랜섬웨어와 관련이 깊다. 익스플로잇 킷의 가장 주요한 무기가 점점 랜섬웨어로 굳어지는 분위기이다. 지난 8월 멀웨어바이츠(Malwarebytes)가 조사한 바에 따르면 랜섬웨어를 내포한 익스플로잇 킷이 2016년 봄과 여름에만 259% 늘어났다고 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
러크 갱단 50여명 체포 일어난 후 앵글러 자취 감춰
[보안뉴스 문가용] 사이버 보안 업계에 항상 존재해왔던 골칫거리가 있으니, 바로 익스플로잇 킷(exploit kit)이다. 멀웨어 공격 및 감염 메커니즘을 장착하고 배포 채널 및 C&C 기반구조도 갖추고 있는 범죄자용 툴은 데이터 탈취를 비롯한 각종 사이버 범죄 행위를 편리하게 만들어주는 ‘패키지’ 상품과 같은 존재다. 해킹 할 기술이나 능력은 없지만 돈 주머니는 좀 두둑한 범죄자들의 지평을 크게 넓혀주는 존재로, 방어자에겐 암세포가 따로 없었다.
좋은 소식이 있다면 2016년은 익스플로잇 킷에게 있어 악몽과 같은 해였다. 경찰력 및 사법기관의 노력으로 유명한 익스플로잇 운영자들이 일부 검거되면서 활동이 크게 줄어든 것이다. 하지만 많은 보안 전문가들은 이에 대해 ‘일시적인 현상일뿐’이라고 일축한다. 아직 김칫국부터 마시지 말라는 거다. 무슨 일이 일어난 걸까, 보다 상세히 알아보자.
1. 2016년 여름, 익스플로잇 킷의 악몽
2015년만 해도 익스플로잇 킷은 잘 나갔다. 보안 전문업체인 트렌드 마이크로(Trend Micro)는 지난 4사분기에, 2014년에 비해 익스플로잇 킷이 2015년 한 해 동안 두 배나 증가했다고 발표했다. 그 무서운 성장 속도가 2016년 봄부터 주춤하기 시작했다. 앵글러(Angler)와 뉴클리어(Nuclear)라는 가장 중요한 익스플로잇 킷이 돌연 사라졌기 때문이다.
4월 즈음부터 익스플로잇 킷에 대한 타격이 본격적으로 시작되었다고 또 다른 보안 전문업체인 체크포인트(Check Point)는 설명한다. 그러고 나서 얼마 지나지 않아 뉴클리어의 기반구조는 모조리 오프라인 되었다. “제어판, 랜딩 페이지, 마스터 서버, 감염 과정(infection flow) 및 기타 내부 논리 등 모든 것이 사라졌어요.”
2. 앵글러도 무사하지 못해
하지만 뉴클리어 정도로는 큰 충격을 주지 못했다. 앵글러라는 익스플로잇 킷 계통의 거대한 산이자 최고의 원탑 역시 홀연히 자취를 감추었기 때문이다. 팔로알토에 따르면 이 앵글러 킷은 올해 1월까지만 하더라도 9만 여개의 웹 사이트를 감염시킨 장본인이었다. 랜섬웨어까지 탑재하며 앵글러 킷은 승승장구하고 있었다. 그러나 6월 중순 즈음, 앵글러 트래픽이 갑자기 사라졌다. 덕분에 4월~6월 기간 만에 익스플로잇 킷 전체 활동량이 96% 감소하기에 이르렀다. 그리고 그 이유는 아직도 수수께끼로 남아있다.
3. 러크(Lurk), 체포되다
앵글러가 사라진 이유에 대해 많은 추측들이 오갔지만 가장 유력하게 꼽히는 건 러크(Lurk)라는 갱단과의 관계성이다. 지난 6월, 러시아 연방보안국이 러크라는 거대 갱단의 조직원 50명을 검거하는 데에 성공했다고 발표했다. 앵글러가 이 발표 즈음하여 사라진 것에 비추어 1) 러크가 애초에 앵글러를 운영하는 자들이었다는 설과 2) 러크의 대규모 검거 때문에 앵글러 운영자들이 잠시 몸을 숨기고 있다는 설이 가장 유력하게 떠올랐다.
보안 전문가인 카페인(Kafein)은 “2012년~2016년초까지만 해도 러크의 감염 경로 중 앵글러의 변종인 인덱스엠(Indexm)이라는 게 있었다는 걸로 미루어 보아, 러크와 앵글러 사이에는 밀접한 연관성이 있다고보는 게 타당하다”는 의견이다.
4. 후발주자들 등장하기 시작
그러나 익스플로잇 킷이 위기를 맞이했다고 해서 아예 사라진 건 아니다. 앵글러부터도 블랙홀(Blackhole)이라는 익스플로잇 킷의 운영자들이 2013년 대규모 검거 활동으로 인해 시장에서 사라져서 생긴 공백을 메우면서 등장한 것이었다. 그런 전례로 보아 앵글러와 뉴클리어를 잇는 무언가가 조만간 등장해도 이상할 것이 없다는 게 전문가들 사이의 거의 공통된 의견이다. 현재까지 활동 중인 익스플로잇 킷 다섯 개는 헌터(Hunter), 매그니튜드(Magnitude), 뉴트리노(Neutrino), RIG, 선다운(Sundown)이다. 이들이 가장 유력한 차세대 후보라고 볼 수 있다.
5. 취약점, 취약점, 취약점
현재 이 차세대 익스플로잇 킷 5인방(?)은 업그레이드 중에 있다고 보안업체인 디지털 셰도우즈(Digital Shadows)는 설명한다. 2015년 이후에 발견된 새로운 취약점들을 익스플로잇하는 메커니즘을 장착하고 있다는 것. 애플리케이션 중에서는 플래시, 자바, 인터넷 익스플로러가 특히 인기가 높다고 한다. 또, 최근의 익스플로잇 킷은 랜섬웨어와 관련이 깊다. 익스플로잇 킷의 가장 주요한 무기가 점점 랜섬웨어로 굳어지는 분위기이다. 지난 8월 멀웨어바이츠(Malwarebytes)가 조사한 바에 따르면 랜섬웨어를 내포한 익스플로잇 킷이 2016년 봄과 여름에만 259% 늘어났다고 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
