저렴한 공격 좋아하고, 큰 노력 기울이지 않는 것 선호하는 듯...통신사가 주요 표적
[보안뉴스 문가용 기자] 마이크로소프트가 새로운 해킹 범죄 단체를 찾아내 발표했다. MS는 화학 원소의 이름을 사용하는 관습에 따라 이 단체에 갈륨(Gallium)이라는 이름을 붙였다. 갈륨은 주로 통신사를 공격하고 있으며, 2018년을 거쳐 2019년 중반에까지 추적한 내용을 바탕으로 이번 보고서가 작성됐다고 한다. 현재도 갈륨은 활동 중이지만, 작년에 비해 활동량 자체는 줄어든 상태다.
[이미지 = iclickart]
갈륨은 공격 표적이 된 네트워크에 침투하기 위해 제일 먼저 인터넷과 연결된 서비스들을 찾아 익스플로잇을 시도한다. 여태까지 이들이 주로 익스플로잇 한 취약점은 웹 서비스와 관련된 것이었다. 와일드플라이(WildFly) 및 제이보스(JBoss) 등이 좋은 예다. 이 두 가지 익스플로잇은 이미 널리 알려진 상태이기도 하다. MS는 “정찰 단계에서 갈륨이 뭘 하는지는 아직 잘 모르겠습니다만, 인터넷에 연결된 서비스를 집중 공략한다는 건 오픈소스화 된 분석 및 스캔 도구를 활용하고 있다는 뜻이 될 수 있다”고 설명한다.
“조사를 통해 갈륨이 각종 멀웨어 탐지 장치를 피해가기 위해 오픈소스 해킹 도구를 어느 정도 편집해서 사용하는 것을 알게 되었습니다. 스스로 해킹 도구를 개발하는 것까지는 아직 보지 못했습니다. 갈륨의 여러 캠페인을 통해 이런 행동 패턴들이 반복해서 드러났습니다.” 갈륨이 조작해서 활용하는 툴로는 미미캐츠(Mimikatz), NBT스캔(NBTScan), 넷캣(Netcat), 윈라(WinRAR), 윈도우 크리덴셜 에디터(Windows Credential Editor) 등이다. 또한 훔친 크리덴셜을 통해 횡적으로 움직이는 편이다.
갈륨의 또 다른 특징은 자신들의 의도를 숨기지 않는다는 것이다. “이미 널리 알려진 멀웨어들을 거리낌 없이 사용합니다. 아주 약간 수정을 하긴 합니다만, 대대적인 규모로 이뤄지는 건 아닙니다. 포이즌 아이비(Poison Ivy), 쿼크밴딧(QuarkBandit), 고스트랫(Gh0st RAT), 차이나 초퍼 웹셸(China Chopper Web Shell) 등이 갈륨이 가장 즐겨 사용하는 툴들입니다.”
갈륨은 C&C 인프라를 구성하기 위해 동적 DNS 서브도메인을 주로 사용한다. “이들은 비용을 낮추고, 최소화 된 노력만을 투자하려는 경향이 있습니다. 그러니 공격용 도메인들조차 등록하지 않고 동적 DNS 서브도메인들을 활용하는 겁니다. 도메인들은 대부분 중국, 홍콩, 대만에 위치한 인프라 내에 호스팅 되어 있었습니다.”
갈륨은 주로 웹셸을 사용해 피해자 네트워크에서 지속성을 확보한다. 그런 후에 다음 단계의 멀웨어들을 심기 시작한다. “차이나 초퍼에 기반을 둔 멀웨어를 주로 사용하는데, 그 이름은 블랙몰드(BlackMould)입니다. 블랙몰드는 표적이 된 호스트 내에서 로컬 장비들을 목록화 하고, 파일을 유출시키거나 다운로드 받고, 명령을 실행시킵니다.”
그 외에 고스트랫이나 포이즌 아이비가 사용되는 경우도 꽤 많다. “다만 멀웨어의 통신 방식을 조금 바꾸는 모습이 보입니다. 그렇게 했을 때 시그니처 기반의 안티멀웨어 기술을 피해갈 수 있게 되거든요.” 적은 경우지만 소프트에더(SoftEther)라는 VPN을 활용해 공격 지속성을 확보할 때도 있었다. “이런 방식도 공격자들이 수상해 보이지 않는 효과를 낳습니다. 보다 자유롭게 피해자 조직 내 네트워크를 돌아다닐 수 있게 되는 것이죠.”
MS의 연구원들은 몇 가지 방어법을 공유하기도 했다.
1) 웹 서버를 최신화 하고 로그를 주기적으로 감사하라.
2) 웹 서비스를 운영할 때, 최소화 된 권한만을 허용하라.
3) 보안 업데이트가 발표될 때마다(모든 앱과 OS) 제 때 적용하라.
4) 행동 기반 탐지 기술을 도입해 크리덴셜 덤핑 등의 행위가 발생할 때 놓치지 않는다.
3줄 요약
1. MS에서 전혀 새로운 해킹 그룹 발견했다는 발표 나옴.
2. 이 해킹 그룹에는 갈륨이라는 이름이 붙음. MS는 원래 화학 원소 이름을 즐겨 사용.
3. 갈륨의 가장 큰 특징은 오픈소스 도구 활용 등 저렴한 공격.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>