다단계로 각종 스크립트 다운로드 받아 실행시켜...Node.js 등 정상 도구 사용돼
감염된 시스템은 좀비로 변해...공격자의 정확한 의도는? ‘클릭 사기’ 가능성 제기돼
[보안뉴스 문가용 기자] 고급 파일레스 기법을 동원한 멀웨어 배포 캠페인이 발견됐다. 게다가 교묘한 네트워크 인프라를 사용하기까지 해 탐지가 굉장히 힘들다고 한다. 이 캠페인을 처음 발견한 마이크로소프트는 여기에 노더속(Nodersok)이라는 이름을 붙였다.
[이미지 = iclickart]
노더속의 특징은 두 개의 정상 도구를 활용한다는 것이다. 하나는 인기 높은 노드(Node.js) 프레임워크의 윈도우용 버전인 Node.exe이고, 다른 하나는 네트워크 패킷 캡처 도구인 WinDivert다. 공격자들은 이 두 가지 도구를 사용해 멀웨어를 피해자의 시스템에 드롭시킨다고 한다.
지난 몇 주 동안 이 캠페인에 수만 대의 컴퓨터가 당했다고 한다. 피해자들은 대부분 미국과 유럽에 있었다. 기업이나 기관 등 조직에 소속된 컴퓨터들이 대부분이었으나, 공격자들이 원래 노리던 건 일반 소비자들이었다고 한다.
공격은 주로 침해된 광고를 통해 시작된다. 사용자가 악성 광고를 클릭하면 HTML 애플리케이션(HTA) 파일이 다운로드 된다. 이 파일은 무작위로 이름이 붙여진 도메인에 접속해 또 다른 자바스크립트 코드를 다운로드 받는다. 이 자바스크립트 코드는 C&C 서버에 접속해 공격용 콘텐츠를 다운로드 받는다.
다운로드가 된 파일 역시 C&C 도메인과 연결을 시도한다. 그런 다음 RC4 알고리즘으로 암호화 된 파일과 복호화 키를 다운로드 받는다. 암호화된 파일은 자바스크립트 스니펫으로, 복호화가 된 후 악성 파워셸 스크립트를 실행시킨다.
아 파워셸 스크립트는 또 다른 파워셸 스크립트를 연쇄적으로 실행하고, 결국에는 암호화 된 모듈 몇 가지를 다운로드 받는다. 이 모듈들은 캠페인이 진행되는 과정 중에 복호화 되면서 각자의 기능을 발휘한다. MS가 발견한 모듈 중 하나는 윈도우 디펜더의 백신 프로그램과 윈도우 자동 업데이트를 비활성화하는 기능을 가지고 있었다. 또 다른 모듈은 권한을 상승시켰다.
파워셸을 통한 공격이 진행되는 과정 중에 위에서 언급된 Node.exe와 WinDivert 패킷이 다운로드 된다. 그러면서 다른 한쪽에서는 WinDivert를 활용하기 위한 셸코드가 실행되기도 한다. 공격자는 WinDivert를 사용해 특정 패킷을 걸러내고 조작한다. 또한 Node.js 모듈과 라이브러리가 추가로 다운로드 돼 Node.exe의 기능성이 확장되기도 한다.
이렇게 복잡하고 고난이도로 진행되는 노더속 캠페인의 목적은 무엇일까? MS는 “감염된 장비들을 좀비 프록시로 변환시키는 것”이라고 설명한다. “좀비 프록시로 변환시키고 나면 공격자들이 이를 활용해 특정 웹사이트나 C&C 서버에 접속해 각종 악성 행위를 이어갈 수 있게 됩니다.”
노더속 캠페인은 시스코(Cisco)의 탈로스(Talos) 팀에서도 분석했다. 탈로스 팀은 최종 단계에서 설치되는 멀웨어를 다이버전트(Divergent)라고 부른다. 마이크로소프트는 Node.exe라고만 부른 바로 그것을 말한다. 시스코 역시 공격 과정 중에 자바스크립트 요소가 배포 및 악용된다는 걸 중요한 특징으로 짚어냈다.
“다이버전트와 연결된 C&C 프로토콜의 경우 여러 가지 명령과 매개변수를 지원하는데, 그 중에는 자신이 시작한 프로세스를 종료하고, 관련 파일들을 삭제하는 기능도 들어있습니다. 그 외에도 특수한 프로세스를 지정해 선택적으로 종료시킬 수도 있습니다. 추가로 레지스트리 키들로부터 추가 설정 데이터를 가져온 후에 추가 파일을 다운로드 받기 위한 요청을 전송할 수도 있습니다.”
탈로스 팀은 “공격자들이 이런 식으로 캠페인을 벌여 시스템을 다수 감염시킨 뒤 클릭 사기 공격을 실행할 수 있다”고 경고했다. “공격자들은 분산된 네트워크를 사용해 공격을 진행하고 있습니다. 또한 파일레스 기법을 뛰어나게 활용하기도 합니다. 그래서 탐지되지 않은 채 활동해왔습니다. 이런 식의 공격을 탐지하는 데에 특화된 도구를 사용하지 않는다면, 방어가 불가능에 가깝다는 게 다시 한 번 증명됐습니다.”
3줄 요약
1. 많은 컴퓨터들을 좀비로 만드는 은밀한 캠페인 발견됨.
2. 분산 네트워크와 고급 파일레스 기법 때문에 탐지 힘듦.
3. 공격자들, 아마도 클릭 사기 공격 위해 캠페인 벌였을 듯.
[국제부 문가용 기자(globoan@boannews.com)]
감염된 시스템은 좀비로 변해...공격자의 정확한 의도는? ‘클릭 사기’ 가능성 제기돼
[보안뉴스 문가용 기자] 고급 파일레스 기법을 동원한 멀웨어 배포 캠페인이 발견됐다. 게다가 교묘한 네트워크 인프라를 사용하기까지 해 탐지가 굉장히 힘들다고 한다. 이 캠페인을 처음 발견한 마이크로소프트는 여기에 노더속(Nodersok)이라는 이름을 붙였다.
[이미지 = iclickart]
노더속의 특징은 두 개의 정상 도구를 활용한다는 것이다. 하나는 인기 높은 노드(Node.js) 프레임워크의 윈도우용 버전인 Node.exe이고, 다른 하나는 네트워크 패킷 캡처 도구인 WinDivert다. 공격자들은 이 두 가지 도구를 사용해 멀웨어를 피해자의 시스템에 드롭시킨다고 한다.
지난 몇 주 동안 이 캠페인에 수만 대의 컴퓨터가 당했다고 한다. 피해자들은 대부분 미국과 유럽에 있었다. 기업이나 기관 등 조직에 소속된 컴퓨터들이 대부분이었으나, 공격자들이 원래 노리던 건 일반 소비자들이었다고 한다.
공격은 주로 침해된 광고를 통해 시작된다. 사용자가 악성 광고를 클릭하면 HTML 애플리케이션(HTA) 파일이 다운로드 된다. 이 파일은 무작위로 이름이 붙여진 도메인에 접속해 또 다른 자바스크립트 코드를 다운로드 받는다. 이 자바스크립트 코드는 C&C 서버에 접속해 공격용 콘텐츠를 다운로드 받는다.
다운로드가 된 파일 역시 C&C 도메인과 연결을 시도한다. 그런 다음 RC4 알고리즘으로 암호화 된 파일과 복호화 키를 다운로드 받는다. 암호화된 파일은 자바스크립트 스니펫으로, 복호화가 된 후 악성 파워셸 스크립트를 실행시킨다.
아 파워셸 스크립트는 또 다른 파워셸 스크립트를 연쇄적으로 실행하고, 결국에는 암호화 된 모듈 몇 가지를 다운로드 받는다. 이 모듈들은 캠페인이 진행되는 과정 중에 복호화 되면서 각자의 기능을 발휘한다. MS가 발견한 모듈 중 하나는 윈도우 디펜더의 백신 프로그램과 윈도우 자동 업데이트를 비활성화하는 기능을 가지고 있었다. 또 다른 모듈은 권한을 상승시켰다.
파워셸을 통한 공격이 진행되는 과정 중에 위에서 언급된 Node.exe와 WinDivert 패킷이 다운로드 된다. 그러면서 다른 한쪽에서는 WinDivert를 활용하기 위한 셸코드가 실행되기도 한다. 공격자는 WinDivert를 사용해 특정 패킷을 걸러내고 조작한다. 또한 Node.js 모듈과 라이브러리가 추가로 다운로드 돼 Node.exe의 기능성이 확장되기도 한다.
이렇게 복잡하고 고난이도로 진행되는 노더속 캠페인의 목적은 무엇일까? MS는 “감염된 장비들을 좀비 프록시로 변환시키는 것”이라고 설명한다. “좀비 프록시로 변환시키고 나면 공격자들이 이를 활용해 특정 웹사이트나 C&C 서버에 접속해 각종 악성 행위를 이어갈 수 있게 됩니다.”
노더속 캠페인은 시스코(Cisco)의 탈로스(Talos) 팀에서도 분석했다. 탈로스 팀은 최종 단계에서 설치되는 멀웨어를 다이버전트(Divergent)라고 부른다. 마이크로소프트는 Node.exe라고만 부른 바로 그것을 말한다. 시스코 역시 공격 과정 중에 자바스크립트 요소가 배포 및 악용된다는 걸 중요한 특징으로 짚어냈다.
“다이버전트와 연결된 C&C 프로토콜의 경우 여러 가지 명령과 매개변수를 지원하는데, 그 중에는 자신이 시작한 프로세스를 종료하고, 관련 파일들을 삭제하는 기능도 들어있습니다. 그 외에도 특수한 프로세스를 지정해 선택적으로 종료시킬 수도 있습니다. 추가로 레지스트리 키들로부터 추가 설정 데이터를 가져온 후에 추가 파일을 다운로드 받기 위한 요청을 전송할 수도 있습니다.”
탈로스 팀은 “공격자들이 이런 식으로 캠페인을 벌여 시스템을 다수 감염시킨 뒤 클릭 사기 공격을 실행할 수 있다”고 경고했다. “공격자들은 분산된 네트워크를 사용해 공격을 진행하고 있습니다. 또한 파일레스 기법을 뛰어나게 활용하기도 합니다. 그래서 탐지되지 않은 채 활동해왔습니다. 이런 식의 공격을 탐지하는 데에 특화된 도구를 사용하지 않는다면, 방어가 불가능에 가깝다는 게 다시 한 번 증명됐습니다.”
3줄 요약
1. 많은 컴퓨터들을 좀비로 만드는 은밀한 캠페인 발견됨.
2. 분산 네트워크와 고급 파일레스 기법 때문에 탐지 힘듦.
3. 공격자들, 아마도 클릭 사기 공격 위해 캠페인 벌였을 듯.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
