한 사설 서버 운영자의 대담한 기획...스스로 트로이목마 만들어 퍼트려
클라이언트에 있던 제로데이 취약점 두 개 사용돼...아직 패치 되지 않아
[보안뉴스 문가용 기자] 유명한 온라인 멀티플레이어 게임인 카운터스트라이크의 서버를 통해 대규모 봇넷이 만들어졌다. 가짜 카운터스트라이크 게임 서버를 신설해 접속하는 사람들의 기계(클라이언트)를 감염시킨 것인데, 현재 카운터스트라이크 1.6 게임 서버들 중 무려 39%가 ‘악성’이거나 ‘가짜’라고 한다. 이에 대해 보안 업체 닥터웹(Dr. Web) 조사했다.
[이미지 = Steam 공식 웹사이트]
카운터스트라이크의 원 제작사인 밸브(Valve)에 의하면 카운터스트라이커를 이용하는 게이머는 전 세계 3억 명이라고 한다. 이번 조사의 대상이 된 1.6 버전의 경우 굉장히 오래된 버전이며, 따라서 수년 동안 개발이 활발히 진행되지 않았지만, 서버 동접자 수는 2만 명 수준을 유지해왔다. 그러므로 사이버 범죄자들에게 있어 ‘풍요의 땅’이다.
간략한 게임 구조를 설명하자면, 게이머들은 카운터스트라이크 전용 서버를 구매하고, 그 서버에서만 게임을 진행한다. 그래서 클라우드의 프로세서 자원을 사용해 카운터스트라이크를 즐기는 것인데, 이렇게 함으로써 가정용 인터넷보다 안정적인 연결 상태를 유지할 수 있게 된다. 사설 게임 서버도 카운터스트라이크 게임 생태계에서는 흔하게 발견되고, 사설 서버 주인들 간의 경쟁도 치열하다. 게임 서버에 대한 홍보와 마케팅 행위가 자연스럽게 발생한다.
닥터웹은 “한 서버 운영자의 경우 - 이름은 벨로나드(Belonard)인데 - 다른 사설 서버 운영자들에게 돈을 받고 광고를 해주기도 했다”고 설명한다. “그런데 이 벨로나드란 인물은 뒤에서 카운터스트라이크 클라이언트에 있는 제로데이 취약점들을 익스플로잇 해서 사용자들의 장비에 악성 트로이목마를 심기도 했습니다. 그렇게 해서 대규모로 봇넷을 구성할 수 있었던 것입니다.”
벨로나드가 익스플로잇 한 건 두 개의 원격 코드 실행 취약점으로, 이전에 한 번도 보고된 적이 없는 것이었다. 그는 이를 통해 자신이 만든 트로이목마를 살포했다. “카운터스트라이크 사용자가 평소처럼 스팀 클라이언트를 열고, 카운터스트라이크 서버를 하나 선택합니다. 악성 서버를 실행하는 순간 원격 코드 실행 취약점이 익스플로잇 되고 악성 라이브러리가 사용자의 컴퓨터로 전송됩니다. client.dll(Trojan.Belonard.1)이나 Mssv24.asi(Trojan.Belonard.5) 중에 하나입니다.”
닥터웹은 이 취약점에 대한 세부적인 내용을 공개하지 않았다. 익스플로잇이 어떤 식으로 발생하는지도 정확히 설명하지 않았다. 모방 범죄 사례가 늘어날 수 있기 때문이다. 그러나 감염이 일어나는 연쇄 과정에 대한 정보는 공개했다. “위의 두 가지 트로이목마는 가짜 밸브의 공식 서버를 가짜로 만듭니다. 이 밸브 게임 서버는 위에서 말한 카운터스트라이크 사설 서버들과는 다른 겁니다. 그리고 핑이 굉장히 낮게 설정되어 있습니다.”
핑이 낮다는 건 게이머들이 실시간으로 반응해야 하는 게임에서 매우 중요한 요소이다. 게이머가 조작한 내용이 서버로 곧바로 입력된다는 뜻이기 때문이다. 게이머들 입장에서는 핑이 낮으면 낮을수록 쾌적하다는 느낌을 받는다. 카운터스트라이크 게임에는 사용자들을 자동으로 핑이 낮은 공개 서버로 연결시켜주는 기능도 있고, 사용자가 직접 서버를 선택하게 하는 옵션도 있다. 후자의 경우 서버 목록과 핑의 수준을 보여주는데, 위의 트로이목마가 만드는 낮은 핑의 가짜 서버는 이러한 상황을 노린 것이라고 볼 수 있다.
“트로이목마는 클라이언트에 나타나는 진짜 게임 서버 목록을 편집합니다. 그리고 감염시킨 컴퓨터에 프록시를 만들어 다시 트로이목마를 퍼트리죠. 프록시 서버들 역시 핑이 매우 낮게 설정되어 있어 게임 서버 목록에서 제일 위에 뜨고, 이를 바탕으로 더 많은 사용자들을 유혹합니다.”
닥터웹이 조사한 바에 따르면 스팀에서 제공하는 공식 게임 서버는 5000개인데, 이 중 1951개가 가짜이거나 벨로나드의 트로이목마가 만든 프록시 서버라고 한다. 왜 그는 이런 짓을 한 걸까? “돈 때문입니다. 봇넷을 이런 수준으로 구성했다고 광고하면, 이 인프라를 통해 여러 공격을 감행하고 싶어 하는 사이버 범죄자들이 돈을 주고 대여할 것입니다. 수많은 카운터스트라이크 게이머들이 잠재적인 피해자나 중간다리가 되는 것이고요.”
다행히 이런 연구 결과가 나온 이후 벨로나드의 봇넷은 와해된 상태다. 하지만 클라이언트의 제로데이가 패치되지 않는 이상 누군가 벨로나드와 비슷한 수법으로 카운터스트라이크 생태계 내에서 또 다른 봇넷을 구성하는 것 자체는 불가능한 게 아니다. 아직 밸브 측은 이 제로데이 취약점에 대해 별 다른 입장을 발표하지 않고 있는 상황이다.
3줄 요약
1. 유명 게임 카운터스트라이크의 한 사설 서버 운영자, 클라이언트의 제로데이 취약점 통해 멀웨어 퍼트림.
2. 5000개 서버 중 39%가 악성이거나 가짜. 대형 봇넷이 구성됨.
3. 해당 봇넷은 와해된 상태이나, 제로데이 취약점 해결되지 않아 똑같은 일 또 발생할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
클라이언트에 있던 제로데이 취약점 두 개 사용돼...아직 패치 되지 않아
[보안뉴스 문가용 기자] 유명한 온라인 멀티플레이어 게임인 카운터스트라이크의 서버를 통해 대규모 봇넷이 만들어졌다. 가짜 카운터스트라이크 게임 서버를 신설해 접속하는 사람들의 기계(클라이언트)를 감염시킨 것인데, 현재 카운터스트라이크 1.6 게임 서버들 중 무려 39%가 ‘악성’이거나 ‘가짜’라고 한다. 이에 대해 보안 업체 닥터웹(Dr. Web) 조사했다.
[이미지 = Steam 공식 웹사이트]
카운터스트라이크의 원 제작사인 밸브(Valve)에 의하면 카운터스트라이커를 이용하는 게이머는 전 세계 3억 명이라고 한다. 이번 조사의 대상이 된 1.6 버전의 경우 굉장히 오래된 버전이며, 따라서 수년 동안 개발이 활발히 진행되지 않았지만, 서버 동접자 수는 2만 명 수준을 유지해왔다. 그러므로 사이버 범죄자들에게 있어 ‘풍요의 땅’이다.
간략한 게임 구조를 설명하자면, 게이머들은 카운터스트라이크 전용 서버를 구매하고, 그 서버에서만 게임을 진행한다. 그래서 클라우드의 프로세서 자원을 사용해 카운터스트라이크를 즐기는 것인데, 이렇게 함으로써 가정용 인터넷보다 안정적인 연결 상태를 유지할 수 있게 된다. 사설 게임 서버도 카운터스트라이크 게임 생태계에서는 흔하게 발견되고, 사설 서버 주인들 간의 경쟁도 치열하다. 게임 서버에 대한 홍보와 마케팅 행위가 자연스럽게 발생한다.
닥터웹은 “한 서버 운영자의 경우 - 이름은 벨로나드(Belonard)인데 - 다른 사설 서버 운영자들에게 돈을 받고 광고를 해주기도 했다”고 설명한다. “그런데 이 벨로나드란 인물은 뒤에서 카운터스트라이크 클라이언트에 있는 제로데이 취약점들을 익스플로잇 해서 사용자들의 장비에 악성 트로이목마를 심기도 했습니다. 그렇게 해서 대규모로 봇넷을 구성할 수 있었던 것입니다.”
벨로나드가 익스플로잇 한 건 두 개의 원격 코드 실행 취약점으로, 이전에 한 번도 보고된 적이 없는 것이었다. 그는 이를 통해 자신이 만든 트로이목마를 살포했다. “카운터스트라이크 사용자가 평소처럼 스팀 클라이언트를 열고, 카운터스트라이크 서버를 하나 선택합니다. 악성 서버를 실행하는 순간 원격 코드 실행 취약점이 익스플로잇 되고 악성 라이브러리가 사용자의 컴퓨터로 전송됩니다. client.dll(Trojan.Belonard.1)이나 Mssv24.asi(Trojan.Belonard.5) 중에 하나입니다.”
닥터웹은 이 취약점에 대한 세부적인 내용을 공개하지 않았다. 익스플로잇이 어떤 식으로 발생하는지도 정확히 설명하지 않았다. 모방 범죄 사례가 늘어날 수 있기 때문이다. 그러나 감염이 일어나는 연쇄 과정에 대한 정보는 공개했다. “위의 두 가지 트로이목마는 가짜 밸브의 공식 서버를 가짜로 만듭니다. 이 밸브 게임 서버는 위에서 말한 카운터스트라이크 사설 서버들과는 다른 겁니다. 그리고 핑이 굉장히 낮게 설정되어 있습니다.”
핑이 낮다는 건 게이머들이 실시간으로 반응해야 하는 게임에서 매우 중요한 요소이다. 게이머가 조작한 내용이 서버로 곧바로 입력된다는 뜻이기 때문이다. 게이머들 입장에서는 핑이 낮으면 낮을수록 쾌적하다는 느낌을 받는다. 카운터스트라이크 게임에는 사용자들을 자동으로 핑이 낮은 공개 서버로 연결시켜주는 기능도 있고, 사용자가 직접 서버를 선택하게 하는 옵션도 있다. 후자의 경우 서버 목록과 핑의 수준을 보여주는데, 위의 트로이목마가 만드는 낮은 핑의 가짜 서버는 이러한 상황을 노린 것이라고 볼 수 있다.
“트로이목마는 클라이언트에 나타나는 진짜 게임 서버 목록을 편집합니다. 그리고 감염시킨 컴퓨터에 프록시를 만들어 다시 트로이목마를 퍼트리죠. 프록시 서버들 역시 핑이 매우 낮게 설정되어 있어 게임 서버 목록에서 제일 위에 뜨고, 이를 바탕으로 더 많은 사용자들을 유혹합니다.”
닥터웹이 조사한 바에 따르면 스팀에서 제공하는 공식 게임 서버는 5000개인데, 이 중 1951개가 가짜이거나 벨로나드의 트로이목마가 만든 프록시 서버라고 한다. 왜 그는 이런 짓을 한 걸까? “돈 때문입니다. 봇넷을 이런 수준으로 구성했다고 광고하면, 이 인프라를 통해 여러 공격을 감행하고 싶어 하는 사이버 범죄자들이 돈을 주고 대여할 것입니다. 수많은 카운터스트라이크 게이머들이 잠재적인 피해자나 중간다리가 되는 것이고요.”
다행히 이런 연구 결과가 나온 이후 벨로나드의 봇넷은 와해된 상태다. 하지만 클라이언트의 제로데이가 패치되지 않는 이상 누군가 벨로나드와 비슷한 수법으로 카운터스트라이크 생태계 내에서 또 다른 봇넷을 구성하는 것 자체는 불가능한 게 아니다. 아직 밸브 측은 이 제로데이 취약점에 대해 별 다른 입장을 발표하지 않고 있는 상황이다.
3줄 요약
1. 유명 게임 카운터스트라이크의 한 사설 서버 운영자, 클라이언트의 제로데이 취약점 통해 멀웨어 퍼트림.
2. 5000개 서버 중 39%가 악성이거나 가짜. 대형 봇넷이 구성됨.
3. 해당 봇넷은 와해된 상태이나, 제로데이 취약점 해결되지 않아 똑같은 일 또 발생할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
