.gif)
사이버 범죄자들을 위한 시장, 탄탄한 구조 갖추고 있어 안정적
종류별로 다양한 자동화 도구들 존재…해킹 실력 좋지 않아도 범죄자 될 수 있어
[보안뉴스 문가용 기자] 자동화 기술의 활용도가 높아지고 있다. 여러 조직들이 악성 행위를 탐지하고 차단하는 데에 더 빨라지고 있는 것도 자동화 기술 때문이다. 그러나 방어 수준이 전체적으로 높아진 건 아니다. 공격자들도 자동화 기술로 상당히 이득을 보고 있기 때문이다.
[이미지 = iclickart]
이러한 내용을 담은 보고서를 보안 업체 레코디드 퓨처(Recorded Future)가 발표했다. 자사 위협 첩보 플랫폼, 오픈소스 첩보, 그간 공개된 보고서들을 통해 수집된 자동화 공격 도구 관련 데이터를 분석한 결과라고 한다. “다크웹이나 해킹 포럼 등을 통해 거래되는 자동화 도구의 양은 어마어마한 수준입니다. 거의 모든 유형의 공격이 자동화 도구로 구현되어 있는 상황입니다. 최초 정찰부터 최종 페이로드 배포와 정보 탈취까지, 단계별 악성 행위도 전부 자동화로 실행이 가능합니다.”
레코디드 퓨처의 보고서에 의하면 “예전에는 도구를 개발하고 실험해 실제 공격에 활용하기까지 수개월씩 걸리는 게 보통이었다”고 한다. “그러나 지금은 다크웹에서 멀웨어 쇼핑을 조금만 하면 이 모든 과정을 순식간에 처리해주는 도구를 구할 수 있습니다. 고급 해킹 실력을 갖춘 범죄자든 아니든, 원하는 공격을 최소한의 노력으로 할 있는 세상입니다.”
레코디드 퓨처는 이런 조사를 통해 현재 공격자들이 가장 애용하는 도구나 서비스 10가지를 꼽아 순위를 정하기도 했다. 그 중에는 수천~수만 개의 계정에 비밀번호를 한 번에 대입함으로써 활용성을 확인해주는 도구도 있었다. 안티멀웨어 제품을 자동으로 피해주는 도구를 사용하면 편리하게 페이로드를 배포할 수 있으며, 크리덴셜이나 민감한 데이터를 자동으로 찾아주는 것도 있었다. 그 외에 전자상거래 사이트는 물론 지하 암시장에서부터 지불카드 정보를 훔쳐내는 도구도 있었다.
레코디드 퓨처의 수석 분석가인 로만 사니코브(Roman Sannikov)는 “자동화 공격 도구의 범람 때문에 생기는 가장 큰 문제는 공격이 너무 쉬워진다는 것”이라고 지적한다. “때문에 방어를 해야 하는 조직 입장에서는 공격자들 사이에서 유행하는 도구나 서비스가 무엇인지 알아내고, 그에 대한 방비를 하는 것이 좋습니다. 방어 행위의 범위가 넓어진 것이죠.”
심지어 다크웹에서는 특정 조직이나 단체로 침투할 수 있는 ‘접근 권한’ 자체가 거래되기도 한다. 침투해 들어갈 수 있는 통로를 확보한 후 스스로 쳐들어가는 게 아니라, 통로의 사용료 혹은 통과비를 다른 조직들로부터 받는 것이다. 구매자는 최초 침투 단계를 돈 몇 푼에 건너 뛸 수 있어 이득이고, 판매자는 직접적인 공격 행위를 저지른다는 위험 부담을 하지 않아도 된다. 이제 막 해커의 길로 들어선 초보들에게 너무나 고마운 서비스다.
“공격자들은 최초 침투 경로를 확보하기 위해 여러 가지 수단을 동원합니다. 서드파티 소프트웨어의 취약점을 익스플로잇 하거나, RDP로 접근을 하거나, 인터넷 라우터를 침해하거나 직원들에 대한 소셜 엔지니어링 혹은 피싱 공격을 할 때도 있습니다. 비슷하게는 브루트포스 공격을 자동으로 감행해주는 도구들도 있는데 인기가 높은 편입니다. 스톰(STORM), 블랙 불렛 어카운트 크래커(Black Bullet Account Cracker), 센트리 MBA(Sentry MBA) 등이 현재로서는 대표적인 도구입니다.”
사니코브는 “이전의 브루트포스 공격을 생각하면 큰 오산”이라고 말한다. “수년 전보다 지금의 브루트포스 공격은 월등히 높은 수준을 자랑합니다. 일단 대단히 많은 조직들에 속한 수많은 계정을 한 번에 공격할 수 있어, 스케일부터 의미 있는 차이를 보입니다.”
그 외 로더(loader)라는 공격 도구들도 높은 인기를 구가한다. “아마디(Amadey), 다이어몬드 폭스(Diamond Fox), 스모크 봇(Smoke Bot) 등이 널리 알려진 도구들의 이름입니다. 전부 로더들로, 표적이 된 시스템이나 네트워크에 침투한 후 악성 페이로드를 떨구는 역할을 합니다. 동시에 크립터(crypter)라는 도구를 사용해 멀웨어가 잘 탐지되지 않도록 꾀하기도 합니다.”
스틸러(stealer)라는 도구들도 존재한다. 시스템으로부터 크리덴셜 및 민감한 정보를 자동으로 추출해주는 것들이다. 뱅킹 트로이목마와 함께 사용될 경우 은행이나 금융 계좌와 관련된 정보들도 빼낸다.
또 하나 흥미로운 사실은 요즘 암시장에서 활동하는 사이버 범죄자들의 경우, 훔친 데이터를 어디에 팔 건지 혹은 구매자를 어디서 구할 것인지를 고민하지 않는다고 한다. 그만큼 시장이 탄탄하게 구성되어 있다는 것이다. “이미 다크웹에 형성된 해커들의 암시장은 제대로 규격과 구조를 갖춘 상태입니다. 사이버 범죄가 양상될 수밖에 없는 배경이 갖춰진 것입니다.”
3줄 요약
1. 사이버 범죄자들이 사용하는 자동화 도구, 암시장 지천에 깔림.
2. 종류와 기능이 다양해 목적에 따라 편리하게 고를 수 있음.
3. 사이버 범죄가 양산될 수밖에 없는 시장 구조 이미 탄탄히 갖춰져 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
종류별로 다양한 자동화 도구들 존재…해킹 실력 좋지 않아도 범죄자 될 수 있어
[보안뉴스 문가용 기자] 자동화 기술의 활용도가 높아지고 있다. 여러 조직들이 악성 행위를 탐지하고 차단하는 데에 더 빨라지고 있는 것도 자동화 기술 때문이다. 그러나 방어 수준이 전체적으로 높아진 건 아니다. 공격자들도 자동화 기술로 상당히 이득을 보고 있기 때문이다.
[이미지 = iclickart]
이러한 내용을 담은 보고서를 보안 업체 레코디드 퓨처(Recorded Future)가 발표했다. 자사 위협 첩보 플랫폼, 오픈소스 첩보, 그간 공개된 보고서들을 통해 수집된 자동화 공격 도구 관련 데이터를 분석한 결과라고 한다. “다크웹이나 해킹 포럼 등을 통해 거래되는 자동화 도구의 양은 어마어마한 수준입니다. 거의 모든 유형의 공격이 자동화 도구로 구현되어 있는 상황입니다. 최초 정찰부터 최종 페이로드 배포와 정보 탈취까지, 단계별 악성 행위도 전부 자동화로 실행이 가능합니다.”
레코디드 퓨처의 보고서에 의하면 “예전에는 도구를 개발하고 실험해 실제 공격에 활용하기까지 수개월씩 걸리는 게 보통이었다”고 한다. “그러나 지금은 다크웹에서 멀웨어 쇼핑을 조금만 하면 이 모든 과정을 순식간에 처리해주는 도구를 구할 수 있습니다. 고급 해킹 실력을 갖춘 범죄자든 아니든, 원하는 공격을 최소한의 노력으로 할 있는 세상입니다.”
레코디드 퓨처는 이런 조사를 통해 현재 공격자들이 가장 애용하는 도구나 서비스 10가지를 꼽아 순위를 정하기도 했다. 그 중에는 수천~수만 개의 계정에 비밀번호를 한 번에 대입함으로써 활용성을 확인해주는 도구도 있었다. 안티멀웨어 제품을 자동으로 피해주는 도구를 사용하면 편리하게 페이로드를 배포할 수 있으며, 크리덴셜이나 민감한 데이터를 자동으로 찾아주는 것도 있었다. 그 외에 전자상거래 사이트는 물론 지하 암시장에서부터 지불카드 정보를 훔쳐내는 도구도 있었다.
레코디드 퓨처의 수석 분석가인 로만 사니코브(Roman Sannikov)는 “자동화 공격 도구의 범람 때문에 생기는 가장 큰 문제는 공격이 너무 쉬워진다는 것”이라고 지적한다. “때문에 방어를 해야 하는 조직 입장에서는 공격자들 사이에서 유행하는 도구나 서비스가 무엇인지 알아내고, 그에 대한 방비를 하는 것이 좋습니다. 방어 행위의 범위가 넓어진 것이죠.”
심지어 다크웹에서는 특정 조직이나 단체로 침투할 수 있는 ‘접근 권한’ 자체가 거래되기도 한다. 침투해 들어갈 수 있는 통로를 확보한 후 스스로 쳐들어가는 게 아니라, 통로의 사용료 혹은 통과비를 다른 조직들로부터 받는 것이다. 구매자는 최초 침투 단계를 돈 몇 푼에 건너 뛸 수 있어 이득이고, 판매자는 직접적인 공격 행위를 저지른다는 위험 부담을 하지 않아도 된다. 이제 막 해커의 길로 들어선 초보들에게 너무나 고마운 서비스다.
“공격자들은 최초 침투 경로를 확보하기 위해 여러 가지 수단을 동원합니다. 서드파티 소프트웨어의 취약점을 익스플로잇 하거나, RDP로 접근을 하거나, 인터넷 라우터를 침해하거나 직원들에 대한 소셜 엔지니어링 혹은 피싱 공격을 할 때도 있습니다. 비슷하게는 브루트포스 공격을 자동으로 감행해주는 도구들도 있는데 인기가 높은 편입니다. 스톰(STORM), 블랙 불렛 어카운트 크래커(Black Bullet Account Cracker), 센트리 MBA(Sentry MBA) 등이 현재로서는 대표적인 도구입니다.”
사니코브는 “이전의 브루트포스 공격을 생각하면 큰 오산”이라고 말한다. “수년 전보다 지금의 브루트포스 공격은 월등히 높은 수준을 자랑합니다. 일단 대단히 많은 조직들에 속한 수많은 계정을 한 번에 공격할 수 있어, 스케일부터 의미 있는 차이를 보입니다.”
그 외 로더(loader)라는 공격 도구들도 높은 인기를 구가한다. “아마디(Amadey), 다이어몬드 폭스(Diamond Fox), 스모크 봇(Smoke Bot) 등이 널리 알려진 도구들의 이름입니다. 전부 로더들로, 표적이 된 시스템이나 네트워크에 침투한 후 악성 페이로드를 떨구는 역할을 합니다. 동시에 크립터(crypter)라는 도구를 사용해 멀웨어가 잘 탐지되지 않도록 꾀하기도 합니다.”
스틸러(stealer)라는 도구들도 존재한다. 시스템으로부터 크리덴셜 및 민감한 정보를 자동으로 추출해주는 것들이다. 뱅킹 트로이목마와 함께 사용될 경우 은행이나 금융 계좌와 관련된 정보들도 빼낸다.
또 하나 흥미로운 사실은 요즘 암시장에서 활동하는 사이버 범죄자들의 경우, 훔친 데이터를 어디에 팔 건지 혹은 구매자를 어디서 구할 것인지를 고민하지 않는다고 한다. 그만큼 시장이 탄탄하게 구성되어 있다는 것이다. “이미 다크웹에 형성된 해커들의 암시장은 제대로 규격과 구조를 갖춘 상태입니다. 사이버 범죄가 양상될 수밖에 없는 배경이 갖춰진 것입니다.”
3줄 요약
1. 사이버 범죄자들이 사용하는 자동화 도구, 암시장 지천에 깔림.
2. 종류와 기능이 다양해 목적에 따라 편리하게 고를 수 있음.
3. 사이버 범죄가 양산될 수밖에 없는 시장 구조 이미 탄탄히 갖춰져 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
