.gif)
선버스트, 1차 다운로더 역할을 했던 백도어...수주 동안 전혀 움직임 안 보이기도
DNS 요청을 통해 C&C 서버와 통신...이 기록을 취합해 추적하니 통신사와 정부기관 나와
[보안뉴스 문가용 기자] 솔라윈즈(SolarWinds) 공급망을 침해한 해킹 공격으로 유포된 백도어, 선버스트(SUNBURST)에 대한 추가 정보들이 공개되고 있다. 현재까지 솔라윈즈 공격에 피해를 입은 단체들은 여섯 개 연방 기관들과 마이크로소프트(Microsoft), 파이어아이(FireEye)인 것으로 알려져 있다.
[이미지 = utoimage]
선버서트는 솔로리게이트(Solorigate)라고도 알려진 멀웨어로, 현재까지 알려진 이 ‘솔라윈즈 캠페인’에서 ‘창끝’의 역할을 하고 있는 것으로 분석되고 있다. 공격자들은 솔라윈즈의 오리온(Orion) 플랫폼의 업데이트 파일에 선버스트를 탑재해 약 1만 8천여 개의 조직들로 배포했다. 이러한 공격은 9개월 전부터 시작되었으며, 선버스트를 통해 자신들이 공격할 조직들을 충분히 검토하고 골라내 추가 공격을 실시했다.
보안 업체 카스퍼스키(Kaspersky)는 선버스트의 C&C 통신과 관련된 흔적을 조금 찾아내 분석을 진행했는데, 그 결과 어떤 조직들에 선버스트가 설치되었는지를 넘어, 어떤 조직들을 공격자들이 선택해 추가 공격을 실시했는지까지 어느 정도 파악하는 데 성공했다. 공격자들은 한 미국 정부 기관과 대형 통신사 한 곳(고객이 600만 이상이라고 한다)에 특히 관심이 높았던 것으로 나타났다.
현재까지 공격자들은 UNC2452나 다크헤일로(DarkHalo)라는 이름으로 불리고 있는데, 카스퍼스키에 의하면 이들은 이 두 기업에 선버스트 외 추가 멀웨어를 심어 지속적 공격의 기반을 마련하고, 이를 통해 꾸준히 정보를 유출시켰다고 한다. 그래서 카스퍼스키는 이 대규모 공급망 공격의 원천적인 목표가 정찰과 정보 수집이라고 보고 있다.
또한 카스퍼스키는 자사 블로그를 통해 공격자들이 오피스 365와 애저, 익스체인지, 파워셸에 대한 깊은 이해도를 이번 캠페인을 통해 보여주었으며, 이를 대단히 창의적으로 활용해 피해자들의 이메일을 관찰하고 빼돌렸다고도 설명했다. 결국 전 세계 1만 8천여 곳에 1단계 공격 도구인 선버스트를 심긴 했지만, 결국 진짜 관심을 두고 공격을 진행했던 건 소수의 조직들이라는 것이 카스퍼스키가 주장하는 내용이다.
선버스트가 길고 긴 시간 동안 탐지되지 않았다는 것 또한 연구해 볼만한 일이다. 카스퍼스키는 선버스트가 최초 설치된 이후 최대 2주 동안이나 아무 활동도 하지 않고 가만히 있다는 사실을 알아냈다. 또한 악성 코드가 실질적으로 포함되어 있는 부분은 솔라윈즈의 인증서로 적절하게 서명이 되어 있기도 했다. 때문이 DLL 파일들이 정상적이고 안전한 것처럼 보였다. 용량도 적절했다고 한다.
카스퍼스키는 이번 분석을 통해 “솔라윈즈 공격이 이렇게까지 큰 성공을 거둘 수 있었던 건 1) 공급망 공격을 효과적으로 실시했고, 2) 은밀하고 기능이 좋은 1단계 임플란트를 활용했으며, 3) 신중하게 피해자를 선택해 공격을 실시했기 때문”이라고 평가했다. 또한 이전 APT 공격자들 가운데서 이런 전략을 사용하는 사례를 보지 못했기 때문에 배후 세력을 쉽게 단정하기 힘들다고 말했다. “통신 방법은 엄청나게 느렸고, x86 셸코드가 부재했으며, 정상 파일에 악성 요소를 더했지만 용량에 큰 변화가 없었습니다. 전문성이 높은 공격자들임에 분명합니다.”
선버스트를 분석한 결과 C&C 서버와의 통신이 DNS 요청을 통해 이뤄졌다는 사실도 드러났다. DNS는 사람이 읽을 수 있는 도메인 이름을 웹 브라우저가 읽을 수 있도록 숫자로 구성된 IP 주소로 변환해주는 것으로, DNS 요청은 바로 이러한 변환의 시동을 거는 역할을 한다. 공격자들은 이 ‘요청’에 필요한 요청문들을 조작함으로써 추가 정보를 덧붙일 수 있다.
선버스트의 경우 avsvmcloud.com이라는 1단계 C&C 서버와 통신을 실시하기 위해 인코딩 된 DNS 요청들을 전송하기 시작한다. 이 때 감염된 컴퓨터에 대한 시스템 정보를 덧붙여 보낸다. 공격자들은 이를 토대로 다음 단계 공격을 실행할지 결정한다. 공격을 더 하기로 한다면 선버스트로 대답을 전송하는데, 여기에 CNAME 기록이 포함되어 있다고 한다. 2단계 C&C 서버로의 연결을 위해서다.
그런데 공격자가 이러한 방식으로 C&C와 통신을 할 경우 공격의 피해자를 분석가들이 파악하는 게 더 용이해진다고 한다. 카스퍼스키도 당연히 이 단계에서 피해자들을 정확히 파악하기 위해 나섰고, 그 과정에서 추가 악성 바이너리를 찾아내기도 했다. OrionImprovementBusinessLayer.Update라는 이름의 바이너리였다. 분석하니 이 바이너리는 네 가지 함수를 호출하는 것으로 밝혀졌다. GetCurrentString, GetPreviousString, GetNextStringEx, GetNextString인데, 각각 서로 다른 DNS 기반 통신을 실시하는 기능을 담당하고 있다.
이 각각의 함수를 분석, 추적한 끝에 카스퍼스키와 치안신 테크놀로지(QiAnXin Technology)는 디코더를 개발해 공개했다. 카스퍼스키의 것은 여기(https://github.com/2igosha/sunburst_dga)서, 치안신의 것은 여기(https://github.com/RedDrip7/SunBurst_DGA_Decode/blob/main/decode.py)서 열람이 가능하다. 보안 전문가 존 밤베넥(John Bambenek)도 깃허브에 선버스트가 생성한 도메인 이름들의 목록을 공개했다. 열람은 여기(https://github.com/bambenek/research/blob/main/sunburst/uniq-hostnames.txt)서 가능하다.
이런 노력들에 힘입어 카스퍼스키는 964개의 고유 UID를 파악할 수 있었다고 한다. 카스퍼스키는 블로그를 통해 여러 정보를 취합하고 분석해 central.****.gov, ***.net, ***.com과 같은 도메인을 얻어낼 수 있었고 이 중 .net과 .com 주소는 미국의 대형 통신사의 도메인인 것을 확인했다고 한다. .gov는 미국의 연방 정부 기관이었다고 한다. 즉 공격자들이 이 두 개 조직에(현재까지의 정보만을 토대로 한다면) 특별한 관심이 있었다는 뜻이다.
그럼에도 카스퍼스키는 “아직 이 공격과 공격자들에 대해 알아내야 할 것들이 더 많이 있다”고 말한다. “지금까지 알아낸 것으로는 피해자로 추정되는 단체를 파악하기도 힘듭니다. 따라서 당분간 이 공격에 대한 새로운 소식들이 조각조각 계속해서 나올 것입니다.”
3줄 요약
1. 솔라윈즈 공격에 대한 분석, 하나하나 이뤄져 가고 있음.
2. 선버스트 멀웨어 분석을 통해 공격자들이 특별한 관심을 두고 있던 피해자들을 파악할 수 있었음.
3. 하지만 여전히 공격자들의 배후 세력에 대해서는 알 수 없음.
[국제부 문가용 기자(globoan@boannews.com)]
DNS 요청을 통해 C&C 서버와 통신...이 기록을 취합해 추적하니 통신사와 정부기관 나와
[보안뉴스 문가용 기자] 솔라윈즈(SolarWinds) 공급망을 침해한 해킹 공격으로 유포된 백도어, 선버스트(SUNBURST)에 대한 추가 정보들이 공개되고 있다. 현재까지 솔라윈즈 공격에 피해를 입은 단체들은 여섯 개 연방 기관들과 마이크로소프트(Microsoft), 파이어아이(FireEye)인 것으로 알려져 있다.
[이미지 = utoimage]
선버서트는 솔로리게이트(Solorigate)라고도 알려진 멀웨어로, 현재까지 알려진 이 ‘솔라윈즈 캠페인’에서 ‘창끝’의 역할을 하고 있는 것으로 분석되고 있다. 공격자들은 솔라윈즈의 오리온(Orion) 플랫폼의 업데이트 파일에 선버스트를 탑재해 약 1만 8천여 개의 조직들로 배포했다. 이러한 공격은 9개월 전부터 시작되었으며, 선버스트를 통해 자신들이 공격할 조직들을 충분히 검토하고 골라내 추가 공격을 실시했다.
보안 업체 카스퍼스키(Kaspersky)는 선버스트의 C&C 통신과 관련된 흔적을 조금 찾아내 분석을 진행했는데, 그 결과 어떤 조직들에 선버스트가 설치되었는지를 넘어, 어떤 조직들을 공격자들이 선택해 추가 공격을 실시했는지까지 어느 정도 파악하는 데 성공했다. 공격자들은 한 미국 정부 기관과 대형 통신사 한 곳(고객이 600만 이상이라고 한다)에 특히 관심이 높았던 것으로 나타났다.
현재까지 공격자들은 UNC2452나 다크헤일로(DarkHalo)라는 이름으로 불리고 있는데, 카스퍼스키에 의하면 이들은 이 두 기업에 선버스트 외 추가 멀웨어를 심어 지속적 공격의 기반을 마련하고, 이를 통해 꾸준히 정보를 유출시켰다고 한다. 그래서 카스퍼스키는 이 대규모 공급망 공격의 원천적인 목표가 정찰과 정보 수집이라고 보고 있다.
또한 카스퍼스키는 자사 블로그를 통해 공격자들이 오피스 365와 애저, 익스체인지, 파워셸에 대한 깊은 이해도를 이번 캠페인을 통해 보여주었으며, 이를 대단히 창의적으로 활용해 피해자들의 이메일을 관찰하고 빼돌렸다고도 설명했다. 결국 전 세계 1만 8천여 곳에 1단계 공격 도구인 선버스트를 심긴 했지만, 결국 진짜 관심을 두고 공격을 진행했던 건 소수의 조직들이라는 것이 카스퍼스키가 주장하는 내용이다.
선버스트가 길고 긴 시간 동안 탐지되지 않았다는 것 또한 연구해 볼만한 일이다. 카스퍼스키는 선버스트가 최초 설치된 이후 최대 2주 동안이나 아무 활동도 하지 않고 가만히 있다는 사실을 알아냈다. 또한 악성 코드가 실질적으로 포함되어 있는 부분은 솔라윈즈의 인증서로 적절하게 서명이 되어 있기도 했다. 때문이 DLL 파일들이 정상적이고 안전한 것처럼 보였다. 용량도 적절했다고 한다.
카스퍼스키는 이번 분석을 통해 “솔라윈즈 공격이 이렇게까지 큰 성공을 거둘 수 있었던 건 1) 공급망 공격을 효과적으로 실시했고, 2) 은밀하고 기능이 좋은 1단계 임플란트를 활용했으며, 3) 신중하게 피해자를 선택해 공격을 실시했기 때문”이라고 평가했다. 또한 이전 APT 공격자들 가운데서 이런 전략을 사용하는 사례를 보지 못했기 때문에 배후 세력을 쉽게 단정하기 힘들다고 말했다. “통신 방법은 엄청나게 느렸고, x86 셸코드가 부재했으며, 정상 파일에 악성 요소를 더했지만 용량에 큰 변화가 없었습니다. 전문성이 높은 공격자들임에 분명합니다.”
선버스트를 분석한 결과 C&C 서버와의 통신이 DNS 요청을 통해 이뤄졌다는 사실도 드러났다. DNS는 사람이 읽을 수 있는 도메인 이름을 웹 브라우저가 읽을 수 있도록 숫자로 구성된 IP 주소로 변환해주는 것으로, DNS 요청은 바로 이러한 변환의 시동을 거는 역할을 한다. 공격자들은 이 ‘요청’에 필요한 요청문들을 조작함으로써 추가 정보를 덧붙일 수 있다.
선버스트의 경우 avsvmcloud.com이라는 1단계 C&C 서버와 통신을 실시하기 위해 인코딩 된 DNS 요청들을 전송하기 시작한다. 이 때 감염된 컴퓨터에 대한 시스템 정보를 덧붙여 보낸다. 공격자들은 이를 토대로 다음 단계 공격을 실행할지 결정한다. 공격을 더 하기로 한다면 선버스트로 대답을 전송하는데, 여기에 CNAME 기록이 포함되어 있다고 한다. 2단계 C&C 서버로의 연결을 위해서다.
그런데 공격자가 이러한 방식으로 C&C와 통신을 할 경우 공격의 피해자를 분석가들이 파악하는 게 더 용이해진다고 한다. 카스퍼스키도 당연히 이 단계에서 피해자들을 정확히 파악하기 위해 나섰고, 그 과정에서 추가 악성 바이너리를 찾아내기도 했다. OrionImprovementBusinessLayer.Update라는 이름의 바이너리였다. 분석하니 이 바이너리는 네 가지 함수를 호출하는 것으로 밝혀졌다. GetCurrentString, GetPreviousString, GetNextStringEx, GetNextString인데, 각각 서로 다른 DNS 기반 통신을 실시하는 기능을 담당하고 있다.
이 각각의 함수를 분석, 추적한 끝에 카스퍼스키와 치안신 테크놀로지(QiAnXin Technology)는 디코더를 개발해 공개했다. 카스퍼스키의 것은 여기(https://github.com/2igosha/sunburst_dga)서, 치안신의 것은 여기(https://github.com/RedDrip7/SunBurst_DGA_Decode/blob/main/decode.py)서 열람이 가능하다. 보안 전문가 존 밤베넥(John Bambenek)도 깃허브에 선버스트가 생성한 도메인 이름들의 목록을 공개했다. 열람은 여기(https://github.com/bambenek/research/blob/main/sunburst/uniq-hostnames.txt)서 가능하다.
이런 노력들에 힘입어 카스퍼스키는 964개의 고유 UID를 파악할 수 있었다고 한다. 카스퍼스키는 블로그를 통해 여러 정보를 취합하고 분석해 central.****.gov, ***.net, ***.com과 같은 도메인을 얻어낼 수 있었고 이 중 .net과 .com 주소는 미국의 대형 통신사의 도메인인 것을 확인했다고 한다. .gov는 미국의 연방 정부 기관이었다고 한다. 즉 공격자들이 이 두 개 조직에(현재까지의 정보만을 토대로 한다면) 특별한 관심이 있었다는 뜻이다.
그럼에도 카스퍼스키는 “아직 이 공격과 공격자들에 대해 알아내야 할 것들이 더 많이 있다”고 말한다. “지금까지 알아낸 것으로는 피해자로 추정되는 단체를 파악하기도 힘듭니다. 따라서 당분간 이 공격에 대한 새로운 소식들이 조각조각 계속해서 나올 것입니다.”
3줄 요약
1. 솔라윈즈 공격에 대한 분석, 하나하나 이뤄져 가고 있음.
2. 선버스트 멀웨어 분석을 통해 공격자들이 특별한 관심을 두고 있던 피해자들을 파악할 수 있었음.
3. 하지만 여전히 공격자들의 배후 세력에 대해서는 알 수 없음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
