[보안뉴스 문가용 기자] 보안 업체 멘로 시큐리티(Menlo Security)와 마이크로소프트(Microsoft) 새로운 멀웨어 유포 캠페인을 적발해 발표했다. 이번 캠페인 운영자들이 사용하기 시작한 건 HTML 스머글링(HTML Smuggling)이라는 기법으로, 새로운 기술은 아니지만 보안 업계의 ‘새로운 관심’이 필요한 건 사실이라고 두 업체는 강조했다.
[이미지 = utoimage]
HTML 스머글링의 장점은 HTML5의 합법적 기능들과 자바스크립트 코드를 사용해 파일을 유포하기 때문에 네트워크 보안 도구들을 회피하기가 쉽다는 것이다. 대부분의 보안 도구들은 트래픽을 지켜보다가 수상한 패턴이나 시그니처가 발견되면 경보를 울리는데, HTML5와 자바스크립트 코드는 ‘수상해 보이지 않기’ 때문이다. 게다가 HTML 스머글링 기법을 사용할 때 실제 악성 페이로드는 피해자의 장치에 설치된 정상 브라우저 안에서 완성되기 때문에 보안 도구들은 ‘트래픽 상태’에서는 이를 발견하지 못한다.
HTML 스머글링은 취약점 익스플로잇과 상관이 없다. 브라우저에 취약점이나 오류가 존재하지 않아도 실행할 수 있는 공격이라는 것이다. 공격자가 해야 할 일은 피싱 공격이나 소셜 엔지니어링을 통해 공격 대상에 악성 메일을 보내고, 공격 대상이 메일 내 링크를 클릭하도록 유도하는 것이다. 클릭을 통해 피해자를 미리 만들어 둔 HTML 페이지로 접속시키면 된다. 물론 이 페이지는 HTML과 자바스크립트 코드를 사용해 악성 페이로드를 브라우저 내에서 콤파일링 하도록 만들어진 것이다. 이 HTML 페이지를 첨부 파일 형태로 전송하는 것도 가능하다.
멘로 시큐리티의 보안 연구 책임자인 비나이 피다탈라(Vinay Pidathala)는 이런 HTML 스머글링 기반 공격 캠페인인 아이소모프(ISOMorph)를 관찰해 온 인물로 “공격자들은 ISO 파일을 메일에 첨부해 피해자들에게 보냈다”고 설명한다. 이 ISO 파일 안에는 악성 스크립트가 포함되어 있고, 실행될 경우 추가 파워셸 스크립트들을 다운로드 받는 기능을 가지고 이다고 한다. 이 악성 파워셸 스크립트의 경우, 현재까지 총 7가지 종류가 발견되었다고 한다. “이 모든 스크립트들이 피해자의 브라우저 내에서 컴파일링 됩니다.”
악성 파워셸 스크립트는 제일 먼저 백신 시스템을 찾아내 비활성화시킨다. 그 다음으로는 디스코드(Discord)로부터 추가 페이로드를 다운로드 받는다. 공격자들은 디스코드에 악성 페이로드를 호스팅 하고 이다고 피다탈라는 설명한다. “디스코드는 1억 5천만 명이 넘는 사용자를 보유한 플랫폼입니다. 이런 플랫폼이 사이버 공격자들 사이에서 점점 더 높은 인기를 구가하고 있다는 건 보안 업계 전체가 눈여겨봐야 할 부분이라고 생각합니다.”
디스코드로부터 다운로드 되는 최종 페이로드는 원격 접근 트로이목마(RAT)인 에이싱크랫(AsyncRAT) 혹은 엔제이랫(NJRAT)이다. 여러 해킹 단체들이 활용해 왔던 멀웨어인데, 주로 중동의 표적들을 노리는 공격에서 눈에 띄던 무기들이다. 하지만 이번 아이소모프 캠페인의 주요 표적 역시 중동 쪽 단체나 인사라고 결론을 내리기에는 이르다. 공격 표적과 공격자의 의도에 대한 분석은 아직도 이어지고 있다.
HTML 스머글링 기법은 이따금씩 발견되고 있는 공격 기술로, 멘로 시큐리티는 지난 해 여름에 두리(Duri)라는 HTML 스머글링 기반 공격 캠페인을 발견해 세상에 알리기도 했다. MS 역시 최근 HTML 스머글링 기법의 활성화를 다룬 연구 보고서를 발표했었다. 그러면서 한 공격 단체가 피해자의 장비에 집(Zip) 아카이브를 심음으로써 악성 자비스크립트 파일을 유포한다고 경고했다. 이 자바스크립트 파일은 악성 웹사이트와 연결해 또 다른 악성 파일을 다운로드 받도록 설계되어 있었다.
멘로 시큐리티 측은 “코로나로 인해 원격 근무 체제가 활성화 되면서 HTML 스머글링이 다시 공격자들의 주목을 받는 것으로 보인다”고 자사 블로그를 통해 설명했다. “HTML 스머글링은 오래된 샌드박스와 프록시, 방화벽들을 제법 잘 우회하는 공격 기술입니다. 집으로 흩어진 사용자들이 최첨단 장비들을 마련해 사용하고 있지는 않죠. 그러면서 브라우저 활용도가 엄청나게 높아졌고요. 그 점에 착안해 공격자들이 새로운 유행을 시작한 것으로 보입니다.”
피다탈라는 “원격 근무 체제를 기업과 기관들이 보다 면밀히 이해해야 할 필요가 있다”고 주장한다. “그저 생산을 각자 집에서 하는 게 전부가 아닙니다. 네트워크 형태와 구조가 통째로 바뀌고, 그에 따라 리스크의 성질도 완전히 뒤바뀝니다. 각 애플리케이션들의 위험 노출도도 달라지고요. 보안 전문가들에게 요구되는 역량은, 변화나 신기술이 가지고 있는 장점과 단점 모두를 균형 있게 파악하고 저울질하는 것입니다. 말처럼 쉬운 건 아니지만요.”
3줄 요약
1. 원격 근무 체제 늘어나면서 새롭게 유행하기 시작한 공격 기법, HTML 스머글링.
2. 자바스크립트 코드와 HTML 기능을 이용해 여기저기서 악성 요소 가져와 피해자 브라우저 내에서 조합하는 공격 기법.
3. 이번에 발견된 캠페인에서는 인기 통신 플랫폼인 디스코드가 활용되기도 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>