.gif)
한 트위트 계정에서 인기 높은 짤들 발견돼...분석해보니 악성 명령어 있어
스테가노그래피 자체는 흔한 공격 수법...SNS 상에서는 더 강력
[보안뉴스 문가용 기자] 조금은 색다른 멀웨어 툴이 등장해 보안 전문가들의 관심을 받고 있다. 이 멀웨어는 트위터 내에 돌아다니는 ‘짤’에 숨겨진 악성 명령을 회수하는 기능을 가지고 있다고 한다. 트위터 짤은 재미있게 꾸며져서 여러 사람들이 퍼가고 사용하는 이미지들을 일반적으로 지칭한다.
[이미지 = iclickart]
이 멀웨어는 TROJAN.MSIL.BERBOMTHUM.AA으로, 윈도우 시스템을 공격하며, 다른 보통의 멀웨어들과 마찬가지로 피싱 공격을 통해 배포된다. 시스템에 일단 설치가 되면, 화면 캡처, 시스템 내 애플리케이션 파악해 목록 만들기, 취약점 찾아내기, 클립보드 콘텐츠 확보하기, 파일을 공격자들에게 전송하기 등의 기능들을 수행한다. 여기까지는 일반 멀웨어들과 크게 다를 게 없다.
그런데 새로운 특성이 하나 더 발견됐다. 트위터의 ‘짤’을 사용해 악성 명령을 회수한다는 것이다. 이를 발견, 분석한 보안 업체 트렌드 마이크로(Trend Micro)는 “멀웨어를 제작한 사람이 10월 말 경에 한 트위터 계정을 사용해 두 개의 트윗을 올렸다”고 설명을 시작했다. “이 트윗들에는 악성 짤들이 포함되어 있었습니다. 계정 자체는 작년에 만든 것으로 보이고요.”
평범한 이미지처럼 보이는 짤 속에는 /print 명령어가 엠베드 되어 있었다. 이 명령어는 스크린샷을 캡쳐하는 기능을 가지고 있었다. 피해자가 이런 짤을 다운로드 받는 순간 엠베드 된 명령어가 추출되어 피해자 시스템에 심겨진다. 멀웨어는 /print 외에도 /processos, /clip, /username과 같은 명령어도 호환한다. /processos는 현재 운영되는 프로세스의 정보를 취득하고, /clip은 클립보드에 저장된 내용물을 추출하며, /username은 시스템의 사용자 이름을 확보한다.
그런 후 멀웨어는 페이스트빈에 하드코딩 된 URL로 수집하고 저장한 데이터를 전송한다. 당연히 공격자의 서버가 있는 주소다.
이렇게 평범해 보이는 이미지 속에 악성 요소를 심는 행위를 스테가노그래피(steganography)라고 한다. 오래 전부터 사용되어 온 기법으로, 탐지 툴을 우회하는 데에 주로 사용되어 왔다. 트위터를 주요 배포 플랫폼으로 삼은 멀웨어 역시 처음 등장하는 게 아니다.
하지만 ‘트위터’라는 플랫폼에서 스테가노그래피 기법을 사용하는 사례는 없었다. 이 두 가지를 조합하고 보니 악성 요소를 미리 탐지해 차단하는 것이 훨씬 더 어려워졌다고 트렌드 마이크로의 부회장인 마크 누니코벤(Mark Nunnikhoven)은 설명한다.
그러한 점만 없다면 TROJAN.MSIL.BERBOMTHUM.AA은 꽤나 표준적인 멀웨어라고 볼 수 있다. 누니코벤은 “스테가노그래피를 트위터 플랫폼을 통해 사용한다는 것 말고는 하나도 다를 게 없는 멀웨어”라며, “조직 내 트래픽을 모니터링 했을 때, Twitter.com으로부터 발생하거나 그리로 가는 트래픽을 분석하고 점검할 확률이 낮다는 걸 간파했다는 점만으로도 꽤나 독특한 멀웨어로 기록에 남을 것으로 보인다”고 설명한다.
“방어를 해야 하는 기업 입장에서 이러한 기술의 출현은 무엇을 뜻할까요? 공격자들이 사이버 보안 툴들을 우회하기 위해 기술적이면서도 창의적으로 접근한다는 겁니다. 기존 보안 솔루션들을 설치했다고 해서 언제까지 안심할 수는 없습니다. 보안은 ‘설치 후 망각’하는 게 아니라 항상 생각하고 고민하고 살펴야 하는 것이 되었습니다.”
아직까지 트렌드 마이크로는 공격자의 신원이나 동기를 밝혀내지 못했다.
또 다른 보안 업체 트립와이어(Tripwire)의 수석 보안 전문가인 트라비스 스미스(Travis Smith)는 “소셜 미디어를 C&C 채널로 활용하는 수법은 이미 널리 알려져 있어서 수준 높은 공격자들은 기피하는 것”이라고 설명한다. “소셜 미디어 자체 스캐닝 툴로도 쉽게 발각될 수 있습니다. 하지만 여기에 스테가노그래피를 더하면, 갑자기 탐지 어려운 공격이 탄생하게 됩니다.”
현재까지 소셜 미디어의 이미지를 계속 스캔할 수 있는 솔루션은 존재하지 않는다. “하루에 소셜 미디어에 포스팅 되는 이미지 수를 생각해보면, 이러한 툴이 금방 등장하지 않을 것으로 보이고, 실질적인 도움이 될 것 같지도 않습니다. 다른 차원에서의 해결책을 마련해야 할 것으로 보입니다.”
3줄 요약
1. 트위터 사용자들 사이에서 인기 끌고 있는 각종 ‘짤’들. 이 속에 악성 코드 심는 공격 발견됨.
2. 트위터를 C&C로 활용하는 공격과 스테가노그래피 공격 모두 흔한 수법.
3. 그러나 트위터에서 스테가노그래피를 구현한 공격은 처음. 대처 가능한 툴도 아직 존재하지 않음.
[국제부 문가용 기자(globoan@boannews.com)]
스테가노그래피 자체는 흔한 공격 수법...SNS 상에서는 더 강력
[보안뉴스 문가용 기자] 조금은 색다른 멀웨어 툴이 등장해 보안 전문가들의 관심을 받고 있다. 이 멀웨어는 트위터 내에 돌아다니는 ‘짤’에 숨겨진 악성 명령을 회수하는 기능을 가지고 있다고 한다. 트위터 짤은 재미있게 꾸며져서 여러 사람들이 퍼가고 사용하는 이미지들을 일반적으로 지칭한다.
[이미지 = iclickart]
이 멀웨어는 TROJAN.MSIL.BERBOMTHUM.AA으로, 윈도우 시스템을 공격하며, 다른 보통의 멀웨어들과 마찬가지로 피싱 공격을 통해 배포된다. 시스템에 일단 설치가 되면, 화면 캡처, 시스템 내 애플리케이션 파악해 목록 만들기, 취약점 찾아내기, 클립보드 콘텐츠 확보하기, 파일을 공격자들에게 전송하기 등의 기능들을 수행한다. 여기까지는 일반 멀웨어들과 크게 다를 게 없다.
그런데 새로운 특성이 하나 더 발견됐다. 트위터의 ‘짤’을 사용해 악성 명령을 회수한다는 것이다. 이를 발견, 분석한 보안 업체 트렌드 마이크로(Trend Micro)는 “멀웨어를 제작한 사람이 10월 말 경에 한 트위터 계정을 사용해 두 개의 트윗을 올렸다”고 설명을 시작했다. “이 트윗들에는 악성 짤들이 포함되어 있었습니다. 계정 자체는 작년에 만든 것으로 보이고요.”
평범한 이미지처럼 보이는 짤 속에는 /print 명령어가 엠베드 되어 있었다. 이 명령어는 스크린샷을 캡쳐하는 기능을 가지고 있었다. 피해자가 이런 짤을 다운로드 받는 순간 엠베드 된 명령어가 추출되어 피해자 시스템에 심겨진다. 멀웨어는 /print 외에도 /processos, /clip, /username과 같은 명령어도 호환한다. /processos는 현재 운영되는 프로세스의 정보를 취득하고, /clip은 클립보드에 저장된 내용물을 추출하며, /username은 시스템의 사용자 이름을 확보한다.
그런 후 멀웨어는 페이스트빈에 하드코딩 된 URL로 수집하고 저장한 데이터를 전송한다. 당연히 공격자의 서버가 있는 주소다.
이렇게 평범해 보이는 이미지 속에 악성 요소를 심는 행위를 스테가노그래피(steganography)라고 한다. 오래 전부터 사용되어 온 기법으로, 탐지 툴을 우회하는 데에 주로 사용되어 왔다. 트위터를 주요 배포 플랫폼으로 삼은 멀웨어 역시 처음 등장하는 게 아니다.
하지만 ‘트위터’라는 플랫폼에서 스테가노그래피 기법을 사용하는 사례는 없었다. 이 두 가지를 조합하고 보니 악성 요소를 미리 탐지해 차단하는 것이 훨씬 더 어려워졌다고 트렌드 마이크로의 부회장인 마크 누니코벤(Mark Nunnikhoven)은 설명한다.
그러한 점만 없다면 TROJAN.MSIL.BERBOMTHUM.AA은 꽤나 표준적인 멀웨어라고 볼 수 있다. 누니코벤은 “스테가노그래피를 트위터 플랫폼을 통해 사용한다는 것 말고는 하나도 다를 게 없는 멀웨어”라며, “조직 내 트래픽을 모니터링 했을 때, Twitter.com으로부터 발생하거나 그리로 가는 트래픽을 분석하고 점검할 확률이 낮다는 걸 간파했다는 점만으로도 꽤나 독특한 멀웨어로 기록에 남을 것으로 보인다”고 설명한다.
“방어를 해야 하는 기업 입장에서 이러한 기술의 출현은 무엇을 뜻할까요? 공격자들이 사이버 보안 툴들을 우회하기 위해 기술적이면서도 창의적으로 접근한다는 겁니다. 기존 보안 솔루션들을 설치했다고 해서 언제까지 안심할 수는 없습니다. 보안은 ‘설치 후 망각’하는 게 아니라 항상 생각하고 고민하고 살펴야 하는 것이 되었습니다.”
아직까지 트렌드 마이크로는 공격자의 신원이나 동기를 밝혀내지 못했다.
또 다른 보안 업체 트립와이어(Tripwire)의 수석 보안 전문가인 트라비스 스미스(Travis Smith)는 “소셜 미디어를 C&C 채널로 활용하는 수법은 이미 널리 알려져 있어서 수준 높은 공격자들은 기피하는 것”이라고 설명한다. “소셜 미디어 자체 스캐닝 툴로도 쉽게 발각될 수 있습니다. 하지만 여기에 스테가노그래피를 더하면, 갑자기 탐지 어려운 공격이 탄생하게 됩니다.”
현재까지 소셜 미디어의 이미지를 계속 스캔할 수 있는 솔루션은 존재하지 않는다. “하루에 소셜 미디어에 포스팅 되는 이미지 수를 생각해보면, 이러한 툴이 금방 등장하지 않을 것으로 보이고, 실질적인 도움이 될 것 같지도 않습니다. 다른 차원에서의 해결책을 마련해야 할 것으로 보입니다.”
3줄 요약
1. 트위터 사용자들 사이에서 인기 끌고 있는 각종 ‘짤’들. 이 속에 악성 코드 심는 공격 발견됨.
2. 트위터를 C&C로 활용하는 공격과 스테가노그래피 공격 모두 흔한 수법.
3. 그러나 트위터에서 스테가노그래피를 구현한 공격은 처음. 대처 가능한 툴도 아직 존재하지 않음.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
