사이버 범죄자들, 자신들의 고유한 무기 만드는 대신 정상 툴 사용
모의 해킹 툴, 원격 관리 툴, 협업 툴 등이 주로 인기 높아
LOLBAS라는 프로젝트 시작...해커들이 애용하는 정상 툴 공유하기 위함
[보안뉴스 문가용 기자] 한 때 해커들은 자신들만의 공격 도구를 만들어 사용했다. ‘해킹’이라는 행위가 컴퓨터 전문가들의 실력 발휘나 실험을 뜻했을 때의 얘기다. 그러나 ‘해킹’이 ‘범죄’에 더 초점이 맞춰져 있는 지금, 해커들과 사이버 범죄자들은 일반 전문가나 사용자들이 선한 목적으로 이용할 수 있는 정상적인 도구들을 남용하는 데에 더 집중하고 있다.
[이미지 = iclickart]
이렇게, 피해자가 이미 가지고 있는 도구들만으로 범죄를 저지르는 기법을 ‘자급자족식 공격’ 혹은 ‘living off the land’ 전략이라고 부른다. 보안 업체 포지티브 테크놀로지스(Positive Technologies)가 전 세계에서 활동 중인 29개 APT 그룹들이 가장 많이 사용하는 툴을 분석했는데, 절반 이상이 ‘정상적인 도구들’이었다고 한다.
왜 트렌드가 이렇게 바뀐 걸까? 정상 툴이 발생시키는 정상 트래픽 속에 숨어들기가 용이하기 때문이다. 보안 업체 포티넷(Fortinet)도 최근 비슷한 연구 결과를 발표하며 “공격 대상의 시스템에 미리 설치가 되어 있던 다목적 도구 혹은 이중 목적 도구들을 사용하는 법에 공격자들이 점점 더 익숙해지고 있다”고 말했다. 역시 “악성 행위를 감추기 위해서”다. 본지에서는 현재 공격자들에게 가장 많이 남용되고 있는 정상 툴 8개에 대해 정리해보았다.
1. 코발트 스트라이크(Cobalt Strike)와 메타스플로잇 프로(Metasploit Pro)
코발트 스트라이크와 메타스플로잇 프로는 원래 정상적인 모의 해킹 시험을 위한 플랫폼이다. 보안 팀들이 주로 네트워크를 점검해 패치되지 않은 취약점이나 잘못 설정된 오류들을 찾아내는 데에 사용한다. 물론 레드팀 훈련을 할 때도 자주 사용하는 툴이다. 그런데 공격자들도 이 두 가지 툴들을 좋아한다. 실험인척, 모의 공격인척, 실제 공격을 하기 위해서다.
물론 이런 ‘모의 해킹 툴’을 파는 업체들은 고객들을 철저하게 확인하는 게 일반적이다. 남용 가능성이 높은 툴이라는 걸 스스로도 알고 있기 때문이다. 그러므로 모의 해킹 툴을 공격에 활용하고자 하는 공격자들은 주로 지하 암시장을 통해 해적판을 구한다. 혹은 밤과 낮의 생활상이 다른 사람들이 활용하기도 한다.
포지티브 테크놀로지스의 보안 전문가인 레이앤 갤로웨이(Leigh-Anne Galloway)는 “코발트 스트라이크 개발자들 역시 구매자를 철저히 확인하며, 따라서 암시장에서 코발트 스트라이크에 대한 수요는 꽤나 높은 편에 속한다”고 말한다. “또한 범죄자들은 코발트 스트라이크를 손에 넣은 뒤 범죄의 목적에 맞게 조작을 하는 편입니다. 있는 그대로 사용하지는 않습니다.”
2. 파워셸(PowerShell)
윈도우 시스템 관리자들이 즐겨 사용하는 툴 중에 파워셸이 있다. 해야 할 일과 시스템 설정 항목들을 빠르게 자동화 해야 할 때 파워셸을 명령 행 셸을 사용해 처리한다. XP를 포함해 윈도우 거의 모든 버전에 기본으로 탑재되어 있다. 또한 파워셸을 리눅스 시스템에서도 실행된다. 그렇기 때문에 공격자들에게 인기가 좋다. 최근 일어난 파일레스 공격들은 거의 전부 파워셸을 사용하고 있다고 말해도 무방할 정도다.
“파워셸로 작성된 해킹 도구들 중에 파워스플로잇(PowerSploit)이라는 것이 있습니다. 공격자들이 로컬에서나 원격에서 자신들의 코드를 로딩할 수 있게 해줍니다. 뿐만 아니라 보안 장치들을 우회하고, 권한을 상승시키며, 크리덴셜과 각종 민감한 데이터를 수집하는 것도 도와주죠. 파워셸이 강력한 도구라는 걸 공격자들이 잘 이해하고 있는 겁니다.” 보안 업체 아이오액티브(IOActive)의 레드 팀 실험 전문가인 존 소여(John Sawyer)의 설명이다.
3. 윈도우 시스인터널(Windows Sysinternal)
윈도우 관리자들이 즐겨 사용하는 도구들 중에 윈도우 시스인터널이라는 것도 있다. 윈도우 시스인터널은 약 70개의 무료 유틸리티를 모아놓은 도구 세트다. 관리, 문제 해결, 시스템 진단 등 관리자에게 필요한 거의 모든 기능이 들어있다고 볼 수 있다. 그 외에도 파일 스캔 및 디스크 관리 유틸리티, 네트워크 도구, 프로세스 관리 도구, 보안 유틸리티 등도 포함되어 있다. 관리자들은 원격에서도 시스템을 모니터링하고, 필요할 때 명령도 실행시킬 수 있게 된다.
공격자들이 윈도우 시스인터널을 통해 ‘원격 관리자’로 둔갑할 수 있다면, 은밀한 공격이 성립된다. 포지티브 테크놀로지스에 따르면 시스인터널에 포함된 유틸리티들 중 공격자들이 가장 좋아하는 건 순서대로 다음과 같다.
1) PsExec : 원격에서 명령과 페이로드를 실행시킬 때
2) ProcDump : 메모리에서 크리덴셜을 탈취할 때
3) PsList : 현재 실행되는 모든 프로세스로부터 정보를 수집할 때
4) SDelete : 파일을 삭제할 때
5) NirCmd : 원격에서 명령을 실행할 때
아이오액티브의 존 소여도 “PsExec이 현재 가장 많이 남용되는 툴이라는 건 분명해 보인다”는 의견을 추가했다.
4. VNC
멀리 있는 데스크톱이나 모바일 시스템에 연결하고자 할 때 공격자들이 많이 남용하는 도구는 VNC다. 물론 공격자들이 사용하는 건 정상 VNC를 살짝 조작한 버전으로, 히든 VNC(Hidden VNC) 혹은 hVNC라고 불린다. hVNC를 사용해 해킹 공격을 실시했을 때의 가장 큰 장점은 다음과 같다고 한다.
1) 피해자의 눈에 띄지 않은 채 피해자의 시스템에서 명령을 실행할 수 있게 된다.
2) 피해자, 즉 표적이 된 기계의 소유자와 같은 권한을 가지고 기계에 접근할 수 있게 된다.
5. 윈도우 관리 도구(WMI)
WMI 스크립트 역시 윈도우 관리자들이 자주 사용하는 도구다. 특히 원격에 있는 시스템에서 실시해야 하는 특정 작업들을 자동화 할 때 즐겨 사용된다. 또한 관리 목적으로 다른 컴퓨터에서부터 정보를 수집하거나, 다른 시스템의 환경을 설정해야 할 때도 WMI 스크립트가 활용된다. 그렇기 때문에 공격자들에게 안성맞춤의 기회를 제공할 때가 있다.
“WMI는 공격자들 사이에서 인기가 급상승 중인 도구입니다. 사용이 쉽고 간편하며, 어쩌면 가장 강력한 ‘은밀성’을 제공해주기 때문입니다.” 올해 초 산스 인스티튜트(SANS Institute)가 발표한 권고문의 일부 내용이다. 공격자가 WMI를 사용하면 애플리케이션 화이트리스팅도 피해갈 수 있고, 호스트 기반 안티멀웨어 도구들도 우회할 수 있게 된다. 뿐만 아니라 오류가 기록에 남는 것도 막을 수 있고, 악성 스크립트를 난독화 처리하는 것도 간편해진다고 한다. 다만 공격자가 WMI를 사용하려면, WMI가 설치된 장비를 먼저 침해하고, 관리자 권한을 취득해야 한다.
6. 미미매츠(Mimikatz)
미미캐츠 역시 최근 공격자들 사이에서 사용률이 급상승하고 있는 툴이다. 원래는 마이크로소프트의 인증 프로토콜들에 존재하는 취약점을 나타내기 위한 개념증명용 툴로서 만들어졌고, 모의 침투 전문가들이 기업 네트워크 내 약한 부분을 찾아내기 위해 사용하기 시작했다.
공격자들에게 있어 미미캐츠란, 유용한 ‘포스트 익스플로잇(post-exploit)’ 툴이다. 네트워크 침투에 성공한 이후, 횡적으로 움직이기 위해 크리덴셜을 훔치는 데 주로 사용된다. 보안 업체 바로니스(Varonis)에 의하면 미미캐츠는 “지난 20년 동안 가장 많이 사용되고 다운로드 된 해커들의 도구 중 하나”라고 한다.
7. 팀뷰어(TeamViewer)
공격자들 사이에서 인기가 높은 원격 접근 및 관리 툴로, 시스템을 장악하는 데에 주로 활용된다. 최근에는 유럽의 몇몇 대사관에서 근무하는 개개인을 표적 공격하는 데에 팀뷰어가 사용됐었다. 당시 공격자들은 피해자들에게 미국 정부의 기밀과 관련된 것처럼 보이는 피싱 이메일을 보내 팀뷰어를 설치하도록 했다. 당연히 공격자들이 침해한 버전의 팀뷰어였다. 그런 상태에서 공격자들은 사용자들의 눈을 피해 팀뷰어로 여러 가지 정보를 입수했다.
8. 신뢰 시스템 실행파일(Trusted System Executables)
보안 전문가들은 정상적인 파일을 남용하는 사례가 늘어남에 따라 LOLBAS라는 프로젝트를 시작했다. ‘Living Off the Land Binaries and Scripts’의 준말로, ‘자급자족식 공격에 사용되는 바이너리와 스크립트들’이라는 뜻이다. 이는 하나의 목록으로, 공격자들이 자주 남용하는 정상 도구들에 어떤 것이 있는지 모아둔 것(https://lolbas-project.github.io/#)이라고 볼 수 있다.
이 목록에 실린 아이템들의 특징이라면, 개발자의 의도와 달리 공격자에게 유용한 기능들이 있다는 것이다.
1) 임의 코드 실행을 가능하게 해주는 파일 업로드/다운로드와 복사 기능
2) 크리덴셜을 수집, 관리하게 해주는 기능
3) 코드를 컴파일링 할 수 있게 해주는 기능
4) 시스템 내에 오랫동안 머무를 수 있게 해주는 공격 지속 관련 기능
이 목록에 이름을 올린 바이너리, 라이브러리, 스크립트는 ‘신뢰 시스템 실행파일(TSE)’의 정확한 사례들이다. “윈도우 등에 기본적으로 탑재되어 널리 퍼지는데, 그렇기 때문에 남용되는 것들”이라고 아이오액티브의 소여는 설명한다. “LOLBAS 프로젝트는 공격자들이 어떤 정상 바이너리를 좋아하고, 어떤 스크립트를 써서 보안 장치들을 피해가며 권한을 상승시키는지를 잘 보여주고 있습니다. 이 목록은 지속적으로 늘어날 전망이고, 보안 담당자들이라면 이 목록에 관심을 갖는 편이 업무를 하는 데 있어 도움이 될 것이라고 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]
모의 해킹 툴, 원격 관리 툴, 협업 툴 등이 주로 인기 높아
LOLBAS라는 프로젝트 시작...해커들이 애용하는 정상 툴 공유하기 위함
[보안뉴스 문가용 기자] 한 때 해커들은 자신들만의 공격 도구를 만들어 사용했다. ‘해킹’이라는 행위가 컴퓨터 전문가들의 실력 발휘나 실험을 뜻했을 때의 얘기다. 그러나 ‘해킹’이 ‘범죄’에 더 초점이 맞춰져 있는 지금, 해커들과 사이버 범죄자들은 일반 전문가나 사용자들이 선한 목적으로 이용할 수 있는 정상적인 도구들을 남용하는 데에 더 집중하고 있다.
[이미지 = iclickart]
이렇게, 피해자가 이미 가지고 있는 도구들만으로 범죄를 저지르는 기법을 ‘자급자족식 공격’ 혹은 ‘living off the land’ 전략이라고 부른다. 보안 업체 포지티브 테크놀로지스(Positive Technologies)가 전 세계에서 활동 중인 29개 APT 그룹들이 가장 많이 사용하는 툴을 분석했는데, 절반 이상이 ‘정상적인 도구들’이었다고 한다.
왜 트렌드가 이렇게 바뀐 걸까? 정상 툴이 발생시키는 정상 트래픽 속에 숨어들기가 용이하기 때문이다. 보안 업체 포티넷(Fortinet)도 최근 비슷한 연구 결과를 발표하며 “공격 대상의 시스템에 미리 설치가 되어 있던 다목적 도구 혹은 이중 목적 도구들을 사용하는 법에 공격자들이 점점 더 익숙해지고 있다”고 말했다. 역시 “악성 행위를 감추기 위해서”다. 본지에서는 현재 공격자들에게 가장 많이 남용되고 있는 정상 툴 8개에 대해 정리해보았다.
1. 코발트 스트라이크(Cobalt Strike)와 메타스플로잇 프로(Metasploit Pro)
코발트 스트라이크와 메타스플로잇 프로는 원래 정상적인 모의 해킹 시험을 위한 플랫폼이다. 보안 팀들이 주로 네트워크를 점검해 패치되지 않은 취약점이나 잘못 설정된 오류들을 찾아내는 데에 사용한다. 물론 레드팀 훈련을 할 때도 자주 사용하는 툴이다. 그런데 공격자들도 이 두 가지 툴들을 좋아한다. 실험인척, 모의 공격인척, 실제 공격을 하기 위해서다.
물론 이런 ‘모의 해킹 툴’을 파는 업체들은 고객들을 철저하게 확인하는 게 일반적이다. 남용 가능성이 높은 툴이라는 걸 스스로도 알고 있기 때문이다. 그러므로 모의 해킹 툴을 공격에 활용하고자 하는 공격자들은 주로 지하 암시장을 통해 해적판을 구한다. 혹은 밤과 낮의 생활상이 다른 사람들이 활용하기도 한다.
포지티브 테크놀로지스의 보안 전문가인 레이앤 갤로웨이(Leigh-Anne Galloway)는 “코발트 스트라이크 개발자들 역시 구매자를 철저히 확인하며, 따라서 암시장에서 코발트 스트라이크에 대한 수요는 꽤나 높은 편에 속한다”고 말한다. “또한 범죄자들은 코발트 스트라이크를 손에 넣은 뒤 범죄의 목적에 맞게 조작을 하는 편입니다. 있는 그대로 사용하지는 않습니다.”
2. 파워셸(PowerShell)
윈도우 시스템 관리자들이 즐겨 사용하는 툴 중에 파워셸이 있다. 해야 할 일과 시스템 설정 항목들을 빠르게 자동화 해야 할 때 파워셸을 명령 행 셸을 사용해 처리한다. XP를 포함해 윈도우 거의 모든 버전에 기본으로 탑재되어 있다. 또한 파워셸을 리눅스 시스템에서도 실행된다. 그렇기 때문에 공격자들에게 인기가 좋다. 최근 일어난 파일레스 공격들은 거의 전부 파워셸을 사용하고 있다고 말해도 무방할 정도다.
“파워셸로 작성된 해킹 도구들 중에 파워스플로잇(PowerSploit)이라는 것이 있습니다. 공격자들이 로컬에서나 원격에서 자신들의 코드를 로딩할 수 있게 해줍니다. 뿐만 아니라 보안 장치들을 우회하고, 권한을 상승시키며, 크리덴셜과 각종 민감한 데이터를 수집하는 것도 도와주죠. 파워셸이 강력한 도구라는 걸 공격자들이 잘 이해하고 있는 겁니다.” 보안 업체 아이오액티브(IOActive)의 레드 팀 실험 전문가인 존 소여(John Sawyer)의 설명이다.
3. 윈도우 시스인터널(Windows Sysinternal)
윈도우 관리자들이 즐겨 사용하는 도구들 중에 윈도우 시스인터널이라는 것도 있다. 윈도우 시스인터널은 약 70개의 무료 유틸리티를 모아놓은 도구 세트다. 관리, 문제 해결, 시스템 진단 등 관리자에게 필요한 거의 모든 기능이 들어있다고 볼 수 있다. 그 외에도 파일 스캔 및 디스크 관리 유틸리티, 네트워크 도구, 프로세스 관리 도구, 보안 유틸리티 등도 포함되어 있다. 관리자들은 원격에서도 시스템을 모니터링하고, 필요할 때 명령도 실행시킬 수 있게 된다.
공격자들이 윈도우 시스인터널을 통해 ‘원격 관리자’로 둔갑할 수 있다면, 은밀한 공격이 성립된다. 포지티브 테크놀로지스에 따르면 시스인터널에 포함된 유틸리티들 중 공격자들이 가장 좋아하는 건 순서대로 다음과 같다.
1) PsExec : 원격에서 명령과 페이로드를 실행시킬 때
2) ProcDump : 메모리에서 크리덴셜을 탈취할 때
3) PsList : 현재 실행되는 모든 프로세스로부터 정보를 수집할 때
4) SDelete : 파일을 삭제할 때
5) NirCmd : 원격에서 명령을 실행할 때
아이오액티브의 존 소여도 “PsExec이 현재 가장 많이 남용되는 툴이라는 건 분명해 보인다”는 의견을 추가했다.
4. VNC
멀리 있는 데스크톱이나 모바일 시스템에 연결하고자 할 때 공격자들이 많이 남용하는 도구는 VNC다. 물론 공격자들이 사용하는 건 정상 VNC를 살짝 조작한 버전으로, 히든 VNC(Hidden VNC) 혹은 hVNC라고 불린다. hVNC를 사용해 해킹 공격을 실시했을 때의 가장 큰 장점은 다음과 같다고 한다.
1) 피해자의 눈에 띄지 않은 채 피해자의 시스템에서 명령을 실행할 수 있게 된다.
2) 피해자, 즉 표적이 된 기계의 소유자와 같은 권한을 가지고 기계에 접근할 수 있게 된다.
5. 윈도우 관리 도구(WMI)
WMI 스크립트 역시 윈도우 관리자들이 자주 사용하는 도구다. 특히 원격에 있는 시스템에서 실시해야 하는 특정 작업들을 자동화 할 때 즐겨 사용된다. 또한 관리 목적으로 다른 컴퓨터에서부터 정보를 수집하거나, 다른 시스템의 환경을 설정해야 할 때도 WMI 스크립트가 활용된다. 그렇기 때문에 공격자들에게 안성맞춤의 기회를 제공할 때가 있다.
“WMI는 공격자들 사이에서 인기가 급상승 중인 도구입니다. 사용이 쉽고 간편하며, 어쩌면 가장 강력한 ‘은밀성’을 제공해주기 때문입니다.” 올해 초 산스 인스티튜트(SANS Institute)가 발표한 권고문의 일부 내용이다. 공격자가 WMI를 사용하면 애플리케이션 화이트리스팅도 피해갈 수 있고, 호스트 기반 안티멀웨어 도구들도 우회할 수 있게 된다. 뿐만 아니라 오류가 기록에 남는 것도 막을 수 있고, 악성 스크립트를 난독화 처리하는 것도 간편해진다고 한다. 다만 공격자가 WMI를 사용하려면, WMI가 설치된 장비를 먼저 침해하고, 관리자 권한을 취득해야 한다.
6. 미미매츠(Mimikatz)
미미캐츠 역시 최근 공격자들 사이에서 사용률이 급상승하고 있는 툴이다. 원래는 마이크로소프트의 인증 프로토콜들에 존재하는 취약점을 나타내기 위한 개념증명용 툴로서 만들어졌고, 모의 침투 전문가들이 기업 네트워크 내 약한 부분을 찾아내기 위해 사용하기 시작했다.
공격자들에게 있어 미미캐츠란, 유용한 ‘포스트 익스플로잇(post-exploit)’ 툴이다. 네트워크 침투에 성공한 이후, 횡적으로 움직이기 위해 크리덴셜을 훔치는 데 주로 사용된다. 보안 업체 바로니스(Varonis)에 의하면 미미캐츠는 “지난 20년 동안 가장 많이 사용되고 다운로드 된 해커들의 도구 중 하나”라고 한다.
7. 팀뷰어(TeamViewer)
공격자들 사이에서 인기가 높은 원격 접근 및 관리 툴로, 시스템을 장악하는 데에 주로 활용된다. 최근에는 유럽의 몇몇 대사관에서 근무하는 개개인을 표적 공격하는 데에 팀뷰어가 사용됐었다. 당시 공격자들은 피해자들에게 미국 정부의 기밀과 관련된 것처럼 보이는 피싱 이메일을 보내 팀뷰어를 설치하도록 했다. 당연히 공격자들이 침해한 버전의 팀뷰어였다. 그런 상태에서 공격자들은 사용자들의 눈을 피해 팀뷰어로 여러 가지 정보를 입수했다.
8. 신뢰 시스템 실행파일(Trusted System Executables)
보안 전문가들은 정상적인 파일을 남용하는 사례가 늘어남에 따라 LOLBAS라는 프로젝트를 시작했다. ‘Living Off the Land Binaries and Scripts’의 준말로, ‘자급자족식 공격에 사용되는 바이너리와 스크립트들’이라는 뜻이다. 이는 하나의 목록으로, 공격자들이 자주 남용하는 정상 도구들에 어떤 것이 있는지 모아둔 것(https://lolbas-project.github.io/#)이라고 볼 수 있다.
이 목록에 실린 아이템들의 특징이라면, 개발자의 의도와 달리 공격자에게 유용한 기능들이 있다는 것이다.
1) 임의 코드 실행을 가능하게 해주는 파일 업로드/다운로드와 복사 기능
2) 크리덴셜을 수집, 관리하게 해주는 기능
3) 코드를 컴파일링 할 수 있게 해주는 기능
4) 시스템 내에 오랫동안 머무를 수 있게 해주는 공격 지속 관련 기능
이 목록에 이름을 올린 바이너리, 라이브러리, 스크립트는 ‘신뢰 시스템 실행파일(TSE)’의 정확한 사례들이다. “윈도우 등에 기본적으로 탑재되어 널리 퍼지는데, 그렇기 때문에 남용되는 것들”이라고 아이오액티브의 소여는 설명한다. “LOLBAS 프로젝트는 공격자들이 어떤 정상 바이너리를 좋아하고, 어떤 스크립트를 써서 보안 장치들을 피해가며 권한을 상승시키는지를 잘 보여주고 있습니다. 이 목록은 지속적으로 늘어날 전망이고, 보안 담당자들이라면 이 목록에 관심을 갖는 편이 업무를 하는 데 있어 도움이 될 것이라고 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
