원격 접근 가능케 해주는 오픈소스 프로토콜, 공격자들의 연구 활발
무료 배포 과정에 멀웨어 섞이는 듯...21종의 멀웨어 패밀리 집계돼
[보안뉴스 문가용 기자] 보안 업체 이셋(ESET)의 보안 전문가들이 오픈SSH(OpenSSH)에서 12개의 새로운 백도어 패밀리를 발견했다. 여태까지 어디에서도 발표된 적이 없는 것들이라고 한다.
[이미지 = iclickart]
시큐어 셸(Secure Shell, SSH)은 네트워크 프로토콜의 일종으로, 컴퓨터나 장비에 대한 원격 연결을 지원한다. 이러한 SSH의 오픈소스 버전 중 하나인 오픈SSH는 거의 모든 리눅스 버전들에 구현되어 있는데, 공격자들은 이 오픈SSH를 활용해 공격을 지속시키는 법을 개발하기 시작했다. 그러면서 오픈SSH는 공격자들에게 효과적인 백도어로서 각광받았다.
공격자들이 오픈SSH를 연구하는 이유는 여러 가지다.
1) 오픈SSH 코드는 무료다. 그러므로 공격자들이 백도어가 심겨진 버전을 개발하고 배포하는 데 용이하다.
2) 오픈SSH를 사용하는 공격자는 탐지가 어렵다.
3) 오픈SSH 데몬과 클라이언트는 비밀번호를 평문으로 보이게 하기 때문에 크리덴셜 탈취가 쉽다.
이셋은 공격자들의 이러한 선호도를 파악하고 현재 활발히 사용되고 있는 오픈SSH 백도어들을 4년 전부터 찾아 나섰다고 한다. 그 결과 현재까지 21개 버전의 오픈SSH 멀웨어 패밀리들을 발견했고, 샘플까지 확보하는 데 성공했다. 이 중 12개는 여태까지 한 번도 발견되거나 분석된 적이 없는 것이다.
이셋이 분석한 백도어들은 그 복잡성과 구조, 데이터 유출 기법 등에서 다양한 모습을 보였다. 일부 버전들에서는 굉장히 창의적인 면모가 발견되기도 했다고 한다. 동시에 사이버 범죄와 공격의 목적이 대동소이한 것인지, 겹치는 기능들도 꽤나 발견됐다.
“일단 원래의 오픈SSH 소스코드를 기반으로 하고 있기 때문에 오픈SSH 멀웨어들마다 기본적인 유사성을 가지고는 있습니다. 또한 공격자들이 멀웨어들로 하고자 하는 것과, 노리고자 하는 것이 비슷하기 때문에 기능들도 비슷한 점이 많습니다.” 이셋의 설명이다.
그러한 공통점 중 하나가 “복잡한 난독화 기법을 차용하지 않고 있다”는 것이다. 대부분의 멀웨어들은 사용자가 제공하는 비밀번호를 로깅하고, 이를 로컬 파일에 복사하고 있었다. 하지만 전체 멀웨어의 절반 정도는 크리덴셜을 저장하는 것 외에, 이를 이메일 등으로 유출시키는 기능도 가지고 있었다.
크리덴셜 유출 외에 멀웨어 운영자들은 침해된 시스템으로 반복적인 접근을 할 수 있도록 하는 데에 오픈SSH 멀웨어들을 사용하기도 했다. “이 때는 주로 하드코드 된 비밀번호들을 사용하는 공통점이 발견되더군요. 또한 오픈SSH 데몬 기능을 트로이목마로 변형시켜 자신들의 흔적을 지우고 동시에 로깅 기능을 피해가기도 했습니다.”
21개의 샘플들 중 4개에서는 눈에 띄는 기능들이 있었다.
1) Chandrila : SSH 비밀번호를 통해 명령을 받을 수 있다
2) Bonadan : 암호화폐를 채굴한다.
3) Kessel : 봇 기능을 가지고 있다.
백도어 중 눈에 띄는 샘플은 카미노(Kamino)라는 것이었다. 2013년에 발견된 다크리치(DarkLeech)라는 공격 단체와 관련이 있는 것으로 알려져 있으며, 수년 후 카르바낙(Carbanak)이라는 사이버 갱단이 사용하기도 했었다. 이는 오픈SSH를 활용한 공격이 대규모 살포식에서 표적형으로 바뀌어간다는 뜻으로 해석될 수도 있다.
“다크리치나 카르바낙 모두 돈을 노리고 공격하는 집단입니다. 금전적인 목적을 가진 공격자들 사이에서 ‘표적형 공격’이 대세가 되어가고 있다는 건 이미 알려진 사실이죠. 그러므로 오픈SSH 멀웨어의 사용 목적이 그런 노선을 밟아 변하고 있다는 것은 자연스러운 일입니다. 게다가 카르바낙이 나타나면서 다크리치는 갑자기 사라졌죠. 애초에 둘 사이에 어떤 연관성이 있다고 볼 수도 있습니다.” 이셋 측의 설명이다.
오픈SSH 조사를 통해 발견된 백도어 중 눈에 띄는 건 밈반(Mimban)이라는 것으로, 현재도 공격자들에 의해 활발히 사용되고 있으며, 공격자들은 주기적으로 밈반을 통해 피해자 시스템으로 접근하고 있었다. 또 다른 백도어인 볼레이아스(Borleias)의 경우 공격자들이 접근할 때마다 토르를 사용하고 있었으며 밈반 크리덴셜을 보유하고 있기도 했다. 그래서 이셋은 밈반 공격자들과 볼레이아스 공격자들 사이에도 커넥션이 있을 것으로 보고 있다.
“현재까지 저희가 접수하고 발표한 정보는 멀웨어 샘플에 관한 것입니다. 아직 보다 큰 맥락에서의 정보는 없습니다. 그러므로 정확한 감염 경로를 파악하기는 어렵습니다. 확실한 건 현재까지 저희가 분석한 모든 백도어들에는 크리덴셜을 훔치는 기능이 있었다는 겁니다. 이 말은 최초 감염 경로가 어땠을지 몰라도, 지금은 이 크리덴셜을 통해 퍼질 수 있다는 뜻이 됩니다.”
이셋은 보고서를 통해 21가지 오픈SSH 백도어 패밀리들에 대한 상세한 내용을 공개하기도 했다.
3줄 요약
1. 무료로 배포되는 오픈SSH, 널리 사용되는 만큼 공격자들의 관심도 깊다.
2. 최근 발견된 오픈SSH 멀웨어만 21가지. 이중 12개는 전혀 처음 발견된 것.
3. 크리덴셜 훔치고, 공격 지속위한 백도어 기능은 공통된 특징.
[국제부 문가용 기자(globoan@boannews.com)]
무료 배포 과정에 멀웨어 섞이는 듯...21종의 멀웨어 패밀리 집계돼
[보안뉴스 문가용 기자] 보안 업체 이셋(ESET)의 보안 전문가들이 오픈SSH(OpenSSH)에서 12개의 새로운 백도어 패밀리를 발견했다. 여태까지 어디에서도 발표된 적이 없는 것들이라고 한다.
[이미지 = iclickart]
시큐어 셸(Secure Shell, SSH)은 네트워크 프로토콜의 일종으로, 컴퓨터나 장비에 대한 원격 연결을 지원한다. 이러한 SSH의 오픈소스 버전 중 하나인 오픈SSH는 거의 모든 리눅스 버전들에 구현되어 있는데, 공격자들은 이 오픈SSH를 활용해 공격을 지속시키는 법을 개발하기 시작했다. 그러면서 오픈SSH는 공격자들에게 효과적인 백도어로서 각광받았다.
공격자들이 오픈SSH를 연구하는 이유는 여러 가지다.
1) 오픈SSH 코드는 무료다. 그러므로 공격자들이 백도어가 심겨진 버전을 개발하고 배포하는 데 용이하다.
2) 오픈SSH를 사용하는 공격자는 탐지가 어렵다.
3) 오픈SSH 데몬과 클라이언트는 비밀번호를 평문으로 보이게 하기 때문에 크리덴셜 탈취가 쉽다.
이셋은 공격자들의 이러한 선호도를 파악하고 현재 활발히 사용되고 있는 오픈SSH 백도어들을 4년 전부터 찾아 나섰다고 한다. 그 결과 현재까지 21개 버전의 오픈SSH 멀웨어 패밀리들을 발견했고, 샘플까지 확보하는 데 성공했다. 이 중 12개는 여태까지 한 번도 발견되거나 분석된 적이 없는 것이다.
이셋이 분석한 백도어들은 그 복잡성과 구조, 데이터 유출 기법 등에서 다양한 모습을 보였다. 일부 버전들에서는 굉장히 창의적인 면모가 발견되기도 했다고 한다. 동시에 사이버 범죄와 공격의 목적이 대동소이한 것인지, 겹치는 기능들도 꽤나 발견됐다.
“일단 원래의 오픈SSH 소스코드를 기반으로 하고 있기 때문에 오픈SSH 멀웨어들마다 기본적인 유사성을 가지고는 있습니다. 또한 공격자들이 멀웨어들로 하고자 하는 것과, 노리고자 하는 것이 비슷하기 때문에 기능들도 비슷한 점이 많습니다.” 이셋의 설명이다.
그러한 공통점 중 하나가 “복잡한 난독화 기법을 차용하지 않고 있다”는 것이다. 대부분의 멀웨어들은 사용자가 제공하는 비밀번호를 로깅하고, 이를 로컬 파일에 복사하고 있었다. 하지만 전체 멀웨어의 절반 정도는 크리덴셜을 저장하는 것 외에, 이를 이메일 등으로 유출시키는 기능도 가지고 있었다.
크리덴셜 유출 외에 멀웨어 운영자들은 침해된 시스템으로 반복적인 접근을 할 수 있도록 하는 데에 오픈SSH 멀웨어들을 사용하기도 했다. “이 때는 주로 하드코드 된 비밀번호들을 사용하는 공통점이 발견되더군요. 또한 오픈SSH 데몬 기능을 트로이목마로 변형시켜 자신들의 흔적을 지우고 동시에 로깅 기능을 피해가기도 했습니다.”
21개의 샘플들 중 4개에서는 눈에 띄는 기능들이 있었다.
1) Chandrila : SSH 비밀번호를 통해 명령을 받을 수 있다
2) Bonadan : 암호화폐를 채굴한다.
3) Kessel : 봇 기능을 가지고 있다.
백도어 중 눈에 띄는 샘플은 카미노(Kamino)라는 것이었다. 2013년에 발견된 다크리치(DarkLeech)라는 공격 단체와 관련이 있는 것으로 알려져 있으며, 수년 후 카르바낙(Carbanak)이라는 사이버 갱단이 사용하기도 했었다. 이는 오픈SSH를 활용한 공격이 대규모 살포식에서 표적형으로 바뀌어간다는 뜻으로 해석될 수도 있다.
“다크리치나 카르바낙 모두 돈을 노리고 공격하는 집단입니다. 금전적인 목적을 가진 공격자들 사이에서 ‘표적형 공격’이 대세가 되어가고 있다는 건 이미 알려진 사실이죠. 그러므로 오픈SSH 멀웨어의 사용 목적이 그런 노선을 밟아 변하고 있다는 것은 자연스러운 일입니다. 게다가 카르바낙이 나타나면서 다크리치는 갑자기 사라졌죠. 애초에 둘 사이에 어떤 연관성이 있다고 볼 수도 있습니다.” 이셋 측의 설명이다.
오픈SSH 조사를 통해 발견된 백도어 중 눈에 띄는 건 밈반(Mimban)이라는 것으로, 현재도 공격자들에 의해 활발히 사용되고 있으며, 공격자들은 주기적으로 밈반을 통해 피해자 시스템으로 접근하고 있었다. 또 다른 백도어인 볼레이아스(Borleias)의 경우 공격자들이 접근할 때마다 토르를 사용하고 있었으며 밈반 크리덴셜을 보유하고 있기도 했다. 그래서 이셋은 밈반 공격자들과 볼레이아스 공격자들 사이에도 커넥션이 있을 것으로 보고 있다.
“현재까지 저희가 접수하고 발표한 정보는 멀웨어 샘플에 관한 것입니다. 아직 보다 큰 맥락에서의 정보는 없습니다. 그러므로 정확한 감염 경로를 파악하기는 어렵습니다. 확실한 건 현재까지 저희가 분석한 모든 백도어들에는 크리덴셜을 훔치는 기능이 있었다는 겁니다. 이 말은 최초 감염 경로가 어땠을지 몰라도, 지금은 이 크리덴셜을 통해 퍼질 수 있다는 뜻이 됩니다.”
이셋은 보고서를 통해 21가지 오픈SSH 백도어 패밀리들에 대한 상세한 내용을 공개하기도 했다.
3줄 요약
1. 무료로 배포되는 오픈SSH, 널리 사용되는 만큼 공격자들의 관심도 깊다.
2. 최근 발견된 오픈SSH 멀웨어만 21가지. 이중 12개는 전혀 처음 발견된 것.
3. 크리덴셜 훔치고, 공격 지속위한 백도어 기능은 공통된 특징.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
