DNS 검사엔 인색한 기업들의 최근 분위기 노린 공격
매크로 기능 금지하고 DNS 검사 철저히 하면 막을 수 있어
[보안뉴스 문가용 기자] 시스코 탈로스(Cisco Talos) 팀의 보안 전문가들이 사이버 공격자들의 새로운 공격 방법을 발견했다. 이를 처음 발견한 전문가들에 따르면, 원격 접근 트로이목마(RAT)로 감염시킨 시스템과 통신하여 악성 명령을 전달하는 방법의 일종이긴 하지만, 매우 탐지가 어려우며 독특한 방식이라고 한다.
이 방식에서 활용되는 건 도메인 이름 시스템(DNS)이다. 공격자들은 DNS를 활용하여 감염된 호스트와 악성 서버 사이의 양방향 C&C 통신을 개설하되, 발각이 거의 불가능하도록 만드는 것이다. 이는 바깥으로 향하는 DNS를 철저히 통제하는 조직의 경우도 마찬가지다.
탈로스의 보안 전문가들은 새로운 멀웨어 샘플을 분석하는 와중에 우연찮게 이 공격 방식을 발견했다고 한다. 해당 멀웨는 멀웨어 분석을 위해 마련된 공공 샌드박스에 업로드 된 것으로, 악성 워드 문서가 포함된 피싱 이메일을 통해 살포되고 있던 것이었다.
이 악성 워드 문서는 겉보기에 맥아피가 보안을 강화한 이메일 서비스와 관련된 것처럼 보이도록 설계가 되어 있다. 즉, 맥아피의 보안 기능을 최대한 활용하려면 매크로 기능을 먼저 활성화시켜야 한다고 사용자들을 설득하고 있는 것이다. 안내대로 매크로를 활성화시킬 경우 파워쉘을 활용한 다단계 감염이 본격적으로 발동된다.
또한 현재 유행하는 멀웨어들처럼 메모리 내에서 실행되며, 하드드라이브에 파일을 따로 만들지 않는다. 하지만 보통의 멀웨어들과 달리 DNS TXT 기록 쿼리 및 응답을 활용해 통신 채널을 만들고, 멀웨어를 원격에서 통제한다.
“DNS TXT 기록들이란, DNS가 텍스트로 된 정보를 전송할 때 보통 사용하는 기록들을 말합니다.” 탈로스의 전문가 에드문드 브루마긴(Edmund Brumaghin)의 설명이다. “DNS TXT는 DKIM(이메일 인증 기술), SPF(메일 서버 등록제), DMARC(이메일 인증 방식의 일종)와 같은 이메일 인증 기능 등에 적극 활용되고 있습니다.”
이런 DNS TXT를 C&C 통신에 활용하면 일반적으로 기업의 네트워크를 보호하기 위해 설치한 보안 장치들을 대부분 우회할 수 있게 된다고 에드문드는 설명한다. 또한 이 멀웨어에 감염되면 바깥으로 나가는 DNS를 막아놓은 상태에서도 C&C와의 통신이 가능하게 된다. 외부로 나가는 DNS를 막아놓는다 해도 대부분 ‘허가가 된’ DNS 서버들은 허용하고 있기 때문이다.
“대부분 조직들은 웹 웹 트래픽, 이메일 등의 콘텐츠를 검사합니다. 하지만 그런 콘텐츠의 DNS 요청은 잘 검사하지 않죠. 이 부분을 노린 공격 방법입니다.” 에드문드의 설명이다. 하지만 워드 문서의 악성 매크로 기능을 활용해 감염 프로세스가 시작되는 것이기 때문에 조직 차원에서 매크로 사용을 금지시키면 이 공격을 상당히 무력화시킬 수 있다고 그는 덧붙였다.
“또, C&C 트래픽과 관련이 있는 DNS 요청과 DNS 응답은 보통의 DNS 통신과 다릅니다. 그러므로 DNS 검사를 좀 더 엄격하게 하면 이런 공격을 쉽게 탐지할 수도 있게 됩니다.”
에드문드는 “공격자들이 빈틈을 정말 기가 막히게 찾아낸다는 사실에 소름이 끼쳤다”며 “보안의 모든 측면이 완벽하지 않은 이상 이런 빈틈 찌르기 유형의 공격은 또 다시 등장해 우리를 놀라게 할 것”이라고 말했다.
이번에 발견된 것은 한 마디로 “TXT 기록을 통해 DNS를 농락하는 법을 사이버 범죄자들이 완벽히 악용하고 있는 영리한 공격법”이다. 이는 즉 “웹, 이메일 등의 트래픽에 대해서는 철저한 보안 검사를 실행하지만 DNS는 건성건성 모니터링하는 보통 기업 내 분위기를 파악했다는 뜻”이 된다.
시스코 탈로스는 이번 공격의 기술 세부 사항과 위협, 징후들을 정리해 발표하기도 했으며, 이는 여기에서 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]
- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
매크로 기능 금지하고 DNS 검사 철저히 하면 막을 수 있어
[보안뉴스 문가용 기자] 시스코 탈로스(Cisco Talos) 팀의 보안 전문가들이 사이버 공격자들의 새로운 공격 방법을 발견했다. 이를 처음 발견한 전문가들에 따르면, 원격 접근 트로이목마(RAT)로 감염시킨 시스템과 통신하여 악성 명령을 전달하는 방법의 일종이긴 하지만, 매우 탐지가 어려우며 독특한 방식이라고 한다.
이 방식에서 활용되는 건 도메인 이름 시스템(DNS)이다. 공격자들은 DNS를 활용하여 감염된 호스트와 악성 서버 사이의 양방향 C&C 통신을 개설하되, 발각이 거의 불가능하도록 만드는 것이다. 이는 바깥으로 향하는 DNS를 철저히 통제하는 조직의 경우도 마찬가지다.
탈로스의 보안 전문가들은 새로운 멀웨어 샘플을 분석하는 와중에 우연찮게 이 공격 방식을 발견했다고 한다. 해당 멀웨는 멀웨어 분석을 위해 마련된 공공 샌드박스에 업로드 된 것으로, 악성 워드 문서가 포함된 피싱 이메일을 통해 살포되고 있던 것이었다.
이 악성 워드 문서는 겉보기에 맥아피가 보안을 강화한 이메일 서비스와 관련된 것처럼 보이도록 설계가 되어 있다. 즉, 맥아피의 보안 기능을 최대한 활용하려면 매크로 기능을 먼저 활성화시켜야 한다고 사용자들을 설득하고 있는 것이다. 안내대로 매크로를 활성화시킬 경우 파워쉘을 활용한 다단계 감염이 본격적으로 발동된다.
또한 현재 유행하는 멀웨어들처럼 메모리 내에서 실행되며, 하드드라이브에 파일을 따로 만들지 않는다. 하지만 보통의 멀웨어들과 달리 DNS TXT 기록 쿼리 및 응답을 활용해 통신 채널을 만들고, 멀웨어를 원격에서 통제한다.
“DNS TXT 기록들이란, DNS가 텍스트로 된 정보를 전송할 때 보통 사용하는 기록들을 말합니다.” 탈로스의 전문가 에드문드 브루마긴(Edmund Brumaghin)의 설명이다. “DNS TXT는 DKIM(이메일 인증 기술), SPF(메일 서버 등록제), DMARC(이메일 인증 방식의 일종)와 같은 이메일 인증 기능 등에 적극 활용되고 있습니다.”
이런 DNS TXT를 C&C 통신에 활용하면 일반적으로 기업의 네트워크를 보호하기 위해 설치한 보안 장치들을 대부분 우회할 수 있게 된다고 에드문드는 설명한다. 또한 이 멀웨어에 감염되면 바깥으로 나가는 DNS를 막아놓은 상태에서도 C&C와의 통신이 가능하게 된다. 외부로 나가는 DNS를 막아놓는다 해도 대부분 ‘허가가 된’ DNS 서버들은 허용하고 있기 때문이다.
“대부분 조직들은 웹 웹 트래픽, 이메일 등의 콘텐츠를 검사합니다. 하지만 그런 콘텐츠의 DNS 요청은 잘 검사하지 않죠. 이 부분을 노린 공격 방법입니다.” 에드문드의 설명이다. 하지만 워드 문서의 악성 매크로 기능을 활용해 감염 프로세스가 시작되는 것이기 때문에 조직 차원에서 매크로 사용을 금지시키면 이 공격을 상당히 무력화시킬 수 있다고 그는 덧붙였다.
“또, C&C 트래픽과 관련이 있는 DNS 요청과 DNS 응답은 보통의 DNS 통신과 다릅니다. 그러므로 DNS 검사를 좀 더 엄격하게 하면 이런 공격을 쉽게 탐지할 수도 있게 됩니다.”
에드문드는 “공격자들이 빈틈을 정말 기가 막히게 찾아낸다는 사실에 소름이 끼쳤다”며 “보안의 모든 측면이 완벽하지 않은 이상 이런 빈틈 찌르기 유형의 공격은 또 다시 등장해 우리를 놀라게 할 것”이라고 말했다.
이번에 발견된 것은 한 마디로 “TXT 기록을 통해 DNS를 농락하는 법을 사이버 범죄자들이 완벽히 악용하고 있는 영리한 공격법”이다. 이는 즉 “웹, 이메일 등의 트래픽에 대해서는 철저한 보안 검사를 실행하지만 DNS는 건성건성 모니터링하는 보통 기업 내 분위기를 파악했다는 뜻”이 된다.
시스코 탈로스는 이번 공격의 기술 세부 사항과 위협, 징후들을 정리해 발표하기도 했으며, 이는 여기에서 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
