어떤 방화벽이라도 통과할 수 있는 공격 기법, 클라우드 스누퍼

2020-02-26 16:30
  • 카카오톡
  • url
클라우드 방화벽 통과한 실제 공격 사례에서부터 조사 시작돼
루트킷을 중간에 놓고 여러 가지 악성 행위 실시해...수준 높은 기술력


[보안뉴스 문가용 기자] 국가의 지원을 받는 것으로 보이는 해킹 그룹이 고급 기술을 사용해 멀웨어를 퍼트리고 있다는 보고서가 보안 업체 소포스(Sophos)로부터 나왔다. 보고서에 의하면 공격자들이 가진 고급 기술의 핵심은 바로 방화벽을 통과한다는 것이다.


[이미지 = iclickart]

이 공격 기법을 제일 먼저 발견한 소포스는 여기에 클라우드 스누퍼(Cloud Snooper)라는 이름을 붙였다. 원래는 AWS에 호스팅 된 서버에 스며든 멀웨어를 조사하다가 발견한 것인데, “방화벽으로 보호되는 아무 형태의 서버에도 통할 방법”이라고 한다. 온프레미스 서버도 마찬가지다.

공격이 성공적으로 들어간 서버들은 윈도우를 기반으로 하는 것과 리눅스를 기반으로 하는 것이 있었다. AWS는 인바운드 HTTP 혹은 HTTPS 트래픽만이 서버에 도달할 수 있도록 설정되어 있었는데, 해킹된 리눅스 시스템의 경우는 TCP 포트 2080과 2053을 통한 연결도 허용하고 있었다. 당연히 공격자들이 열어놓은 채널들이었다.

아직까지는 공격자들이 어떤 방식으로 멀웨어를 심는 데 성공했는지 정확히 파악되지 않고 있다. 하지만 소포스의 전문가들은 노출된 SSH 포트에 대한 사전 공격(dictionary attack)이 진행될 것이라고 추측하고 있다.

“공격자들이 루트킷을 사용해 멀웨어인 백도어를 설치하고, 백도어는 원래의 루트킷을 통해 C&C 서버와 통신을 하고 있었다는 것 정도는 분석을 통해 알아냈습니다.” 이 백도어는 한 개의 윈도우 시스템과 여러 개의 리눅스 호스트에서 발견된 바 있다. 윈도우에서 발견된 백도어는 고스트랫(Gh0stRAT)을 기반으로 하고 있었다.

중요한 건 공격자들이 서버 방화벽을 그대로 통과했다는 건데, 이를 위해 공격자들은 C&C 트래픽을 정상 트래픽으로 위장시켰다. 방화벽이 보기에 트래픽이 정상이니 차단할 이유가 전혀 없는 것이다. 트래픽 내에는 멀웨어에 전달되는 명령이나, C&C 서버로 보내는 데이터가 담겨져 있다고 한다.

“방화벽에는 일정한 규칙이 있습니다. 공격자들로서는 이 규칙을 무시하고 피해가야만 하죠. 그래서 공격자들은 앞서 언급한 루트킷과 통신을 시도했습니다. 먼저는 아무런 악성 요소가 없는 요청을 평범한 서버 포트를 통해 전달합니다. 물론 아무런 악성 요소가 없는 것처럼 ‘보이게끔’ 조작된 것이지, 정말 그런 건 아닙니다. 이 트래픽이 서버에 도달하기 전에 인바운드 트래픽을 검사하는 리스너가 가로채고, 트래픽 내용에 포함되어 있는 명령을 멀웨어(아까 루트킷을 통해 설치된)로 보냅니다.” 소포스 측의 설명이다.

“이렇게 멀웨어로 전달되는 명령이 무엇이냐에 따라 멀웨어는 여러 가지 기능을 수행합니다. 아직까지는 데이터를 훔치는 데에 가장 많이 활용되긴 합니다.” 소포스의 설명이다. “수집된 데이터는 C&C로 재전송되는데요, 이번에는 루트킷이 이 악성 트래픽을 정상 트래픽으로 위장시킵니다. 방화벽을 다시 한 번 통과하기 위해서죠.”

즉 아직 알 수 없는 경로로 설치된 루트킷이 멀웨어를 설치하고, 공격자들이 C&C 서버로부터 ‘정상 트래픽’으로 보이는 악성 트래픽을 보내면 루트킷이 받아서 멀웨어에 전달하고, 멀웨어가 가져온 성과물을 루트킷이 ‘정상 트래픽’으로 꾸며 C&C로 전송한다는 것이다. “이걸 하나하나 떼놓고 보면 그리 대단할 것이 없습니다. 하지만 이런 식으로 연쇄적으로 공격에 적용하는 건 처음 보는 일입니다.”

소포스는 “이는 굉장히 고급 기술에 속한다”며 “심지어 사용된 공격 도구들도 공격자들이 스스로 꾸미고 제작한 것”이라고 설명한다. “자원과 실력이 출중하지 않으면 성립될 수 없는 공격입니다. 즉 정부가 뒤에 있는 거라고 볼 수밖에 없죠. 국가가 지원하는 해커들만이 할 수 있는 공격이라고 생각합니다.”

3줄 요약
1. 윈도우와 리눅스 기반 시스템 노린 멀웨어 배포 캠페인 발견됨.
2. 루트킷으로 멀웨어 심고, 루트킷으로 명령 전달하고, 루트킷으로 악성 트래픽을 정상 트래픽으로 탈바꿈.
3. 이 공격 기술은 클라우드 스누퍼라고 하며, 국가 지원 해커들이 개발한 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

Copyright Mediadot Corp. All Rights Reserved.

MENU

PC버전

닫기