북한의 해커들이 윈도와 맥OS를 활발히 공략하고 있다. 그 동안 크게 주목받지 못했던 방법과 기술을 갈고 닦아 자신들의 목적을 달성하려 하고 있다.
[보안뉴스 = 네이트 넬슨 IT 칼럼니스트] 이번 달 마이터(MITRE)는 어택(ATT&CK) 프레임워크에 두 가지 테크닉을 추가할 예정이다. 이 두 테크닉 모두 북한의 해킹 조직들이 이미 즐겨 사용하고 있는 것으로, 하나는 애플 맥OS 내에서 애플리케이션 권한을 제어하는 보안 프로토콜인 TCC를 악용하는 것이다. 다른 하나는 팬텀 DLL 하이재킹(Phantom DLL Hijacking)이라고 불리며, 이전에도 알려져 있었던 DLL 하이재킹의 유형 중 하나였다. 다만 그렇게까지 공격자들 사이에서 선호되지는 않았었다.
[이미지 = gettyimagesbank]
북한의 해커들은 이 두 가지 공격 기법을 활용하여 맥OS와 윈도 환경에 불법적으로 접근하여 높은 권한을 가져갈 수 있었다고 한다. 그런 후 피해자를 염탐하여 각종 정보를 수집하는 등 자신들에게 필요한 악성 행위를 실시해왔다.
1. TCC 악용
보안 업체 인터프레스시큐리티(Interpres Security)의 첩보 엔지니어 마리나 리앙(Marina Liang)은 “북한의 해커들이 표적 공격을 실시하는 건 아닌 것으로 보인다”고 말한다. “북한 해커들은 정찰과 정보 수집을 위해서도 움직이지만 금전적인 이득을 거두기 위해서 움직이기도 합니다. 그렇기 때문에 표적을 한정 지을 필요가 없고, 그렇게 하지도 않는 편입니다. 맥OS의 인기가 높아짐에 따라 북한 해커들이 맥OS를 점점 더 많이 노리기 시작한 것도 그런 맥락에서 이해할 수 있습니다. 공격할 곳이 많아지면 북한은 그것에 맞춰 움직입니다.”
TCC는 일종의 데이터베이스다. 사용자 층위의 데이터베이스가 되기도 하고 시스템 층위의 데이터베이스가 되기도 한다. 전자의 경우 사용자는 ‘전체 디스크 접근 권한(FDA)’ 혹은 그에 준하는 권한을 가지고 있어야 TCC에 접근할 수 있게 된다. 후자는 ‘시스템 무결성 보호(SIP)’라는 기능을 통해 제어가 가능하다. 즉 TCC에 접근하려면 FDA나 SIP 혹은 그에 상당하는 높은 수준의 권한을 가지고 있어야 한다는 뜻이 된다.
하지만 실제는 어떨까? 권한을 무시하고 접근할 수 있게 해 주는 방법들이 존재한다. “개발자들도 작업 과정 중에 개발 환경을 좀 더 유연하게 만들기 위해 애플이 설정해 둔 보안 사항들을 완화시키곤 합니다. 설정에 따라 TCC라고 하더라도 좀 더 쉽게 접근하는 방법들이 여러 가지 이유로 동원되고 있다고 볼 수 있습니다. 그러므로 공격자들도 비슷한 일을 할 수 있겠지요.” 리앙의 설명이다.
SIP의 경우 공격자들이 피해자의 시스템에 침투하여 다른 공격 기법을 통해 비활성화시킬 수 있게 된다. 비슷하게, 스스로에게 FDA 권한을 줄 수도 있다. “그러면 별다른 경보를 울리게 하지 않고도 TCC 데이터베이스에 접근할 수 있게 됩니다. 그 외에도 민감한 디렉토리를 조작한다거나 악용하여, 혹은 파인더 앱을 통해 TCC에 도달할 수 있습니다.”
이런 사실은 공격자들도 익히 알고 있던 것으로 보인다. 그렇기 때문에 TCC를 겨냥한 멀웨어들이 이미 다크웹에 여럿 존재한다. 번들로어(Bundlore), 블루블러드(BlueBlood), 칼리스토(Callisto), 조커스파이(JokerSpy), 엑스시셋(XCSSET) 등이 대표적이며, 그 외에 덜 알려진 멀웨어들도 바이러스토탈에 등록되어 있다. 라자루스가 사용하던 멀웨어는 TCC 데이터베이스의 접근 테이블을 덤핑하는 기능을 가졌으며, SIP를 비활성화시키기도 한다.
이런 식의 공격을 막기 위해서 가장 중요한 건 SIP를 항상 활성화시켜두는 것이라고 리앙은 강조한다. “또한 어떤 애플리케이션들이 어떤 권한을 가지고 있는지 파악하는 것도 중요합니다. TCC를 악용한다는 건 결국 기본적으로 권장되는 권한을 어디선가 여러 다른 목적으로 조작하거나 변경시키는 것 때문에 가능해지거든요.”
2. 팬텀 DLL 하이재킹
위의 공격 기법이 애플의 맥OS 환경을 노리기 위한 것이었다면 윈도 환경을 노리기 위한 공격 기법도 발견됐다. 윈도에는 조금 이상한 오류가 하나 존재하는데, 그걸 익스플로잇 하는 것이다. “윈도는 실존하지 않는 DLL 파일들을 자꾸만 참조한다는 이상한 오류를 가지고 있습니다. 이렇게 허상으로 연결된 DLL 파일들이 정말 많습니다. 이런 현상이 생기는 이유는 여러 가지인데, 누군가 프로젝트를 위해 DLL을 생산해두고, 프로젝트가 종료된 후 이 DLL을 전부 다 제거하지 못하거나 잊어버리는 경우들이 많습니다.”
윈도는 참조하는데 정작 존재하지는 않는 DLL 파일들을 ‘팬텀 DLL 파일(유령 DLL 파일)’이라고 부른다. 공격자들에게 있어서 이는 공격의 기회가 된다. “자신들의 목적에 맞는 악성 DLL 파일을 임의로 만든 뒤, 윈도가 참조하고 있는 유령 DLL 파일과 똑같은 이름으로 설정하고, 그 DLL 파일과 같은 위치에 옮겨두면 OS가 알아서 로딩합니다. 윈도가 참조하는 것이므로 보안 경보 울리지도 않습니다.”
이번 캠페인에서 북한의 라자루스(Lazarus)는 팬텀 DLL 하이재킹 전략을, 인증과 키 교환 등에 필요한 서비스인 IKEEXT와 같이 함께 구현한 것으로 알려져 있다. “라자루스는 IKEEXT를 발동시킨 후 존재하지 않는 slbsctrl.dll 파일을 로딩시키려 했습니다. 그 외에 wbemcomn.dll을 로딩시키려 했던 적도 있습니다.”
리앙은 MS가 직접 윈도의 ‘유령 DLL 참조 현상’을 제거해야 한다고 강조한다. “그 전까지 윈도 사용자들은 모니터링을 철저히 해야 합니다. 애플리케이션 제어도 보다 능동적으로 해야 하고요. 원격에서 DLL을 로딩시키는 것도 차단해야 합니다.”
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 = 네이트 넬슨 IT 칼럼니스트] 이번 달 마이터(MITRE)는 어택(ATT&CK) 프레임워크에 두 가지 테크닉을 추가할 예정이다. 이 두 테크닉 모두 북한의 해킹 조직들이 이미 즐겨 사용하고 있는 것으로, 하나는 애플 맥OS 내에서 애플리케이션 권한을 제어하는 보안 프로토콜인 TCC를 악용하는 것이다. 다른 하나는 팬텀 DLL 하이재킹(Phantom DLL Hijacking)이라고 불리며, 이전에도 알려져 있었던 DLL 하이재킹의 유형 중 하나였다. 다만 그렇게까지 공격자들 사이에서 선호되지는 않았었다.
[이미지 = gettyimagesbank]
북한의 해커들은 이 두 가지 공격 기법을 활용하여 맥OS와 윈도 환경에 불법적으로 접근하여 높은 권한을 가져갈 수 있었다고 한다. 그런 후 피해자를 염탐하여 각종 정보를 수집하는 등 자신들에게 필요한 악성 행위를 실시해왔다.
1. TCC 악용
보안 업체 인터프레스시큐리티(Interpres Security)의 첩보 엔지니어 마리나 리앙(Marina Liang)은 “북한의 해커들이 표적 공격을 실시하는 건 아닌 것으로 보인다”고 말한다. “북한 해커들은 정찰과 정보 수집을 위해서도 움직이지만 금전적인 이득을 거두기 위해서 움직이기도 합니다. 그렇기 때문에 표적을 한정 지을 필요가 없고, 그렇게 하지도 않는 편입니다. 맥OS의 인기가 높아짐에 따라 북한 해커들이 맥OS를 점점 더 많이 노리기 시작한 것도 그런 맥락에서 이해할 수 있습니다. 공격할 곳이 많아지면 북한은 그것에 맞춰 움직입니다.”
TCC는 일종의 데이터베이스다. 사용자 층위의 데이터베이스가 되기도 하고 시스템 층위의 데이터베이스가 되기도 한다. 전자의 경우 사용자는 ‘전체 디스크 접근 권한(FDA)’ 혹은 그에 준하는 권한을 가지고 있어야 TCC에 접근할 수 있게 된다. 후자는 ‘시스템 무결성 보호(SIP)’라는 기능을 통해 제어가 가능하다. 즉 TCC에 접근하려면 FDA나 SIP 혹은 그에 상당하는 높은 수준의 권한을 가지고 있어야 한다는 뜻이 된다.
하지만 실제는 어떨까? 권한을 무시하고 접근할 수 있게 해 주는 방법들이 존재한다. “개발자들도 작업 과정 중에 개발 환경을 좀 더 유연하게 만들기 위해 애플이 설정해 둔 보안 사항들을 완화시키곤 합니다. 설정에 따라 TCC라고 하더라도 좀 더 쉽게 접근하는 방법들이 여러 가지 이유로 동원되고 있다고 볼 수 있습니다. 그러므로 공격자들도 비슷한 일을 할 수 있겠지요.” 리앙의 설명이다.
SIP의 경우 공격자들이 피해자의 시스템에 침투하여 다른 공격 기법을 통해 비활성화시킬 수 있게 된다. 비슷하게, 스스로에게 FDA 권한을 줄 수도 있다. “그러면 별다른 경보를 울리게 하지 않고도 TCC 데이터베이스에 접근할 수 있게 됩니다. 그 외에도 민감한 디렉토리를 조작한다거나 악용하여, 혹은 파인더 앱을 통해 TCC에 도달할 수 있습니다.”
이런 사실은 공격자들도 익히 알고 있던 것으로 보인다. 그렇기 때문에 TCC를 겨냥한 멀웨어들이 이미 다크웹에 여럿 존재한다. 번들로어(Bundlore), 블루블러드(BlueBlood), 칼리스토(Callisto), 조커스파이(JokerSpy), 엑스시셋(XCSSET) 등이 대표적이며, 그 외에 덜 알려진 멀웨어들도 바이러스토탈에 등록되어 있다. 라자루스가 사용하던 멀웨어는 TCC 데이터베이스의 접근 테이블을 덤핑하는 기능을 가졌으며, SIP를 비활성화시키기도 한다.
이런 식의 공격을 막기 위해서 가장 중요한 건 SIP를 항상 활성화시켜두는 것이라고 리앙은 강조한다. “또한 어떤 애플리케이션들이 어떤 권한을 가지고 있는지 파악하는 것도 중요합니다. TCC를 악용한다는 건 결국 기본적으로 권장되는 권한을 어디선가 여러 다른 목적으로 조작하거나 변경시키는 것 때문에 가능해지거든요.”
2. 팬텀 DLL 하이재킹
위의 공격 기법이 애플의 맥OS 환경을 노리기 위한 것이었다면 윈도 환경을 노리기 위한 공격 기법도 발견됐다. 윈도에는 조금 이상한 오류가 하나 존재하는데, 그걸 익스플로잇 하는 것이다. “윈도는 실존하지 않는 DLL 파일들을 자꾸만 참조한다는 이상한 오류를 가지고 있습니다. 이렇게 허상으로 연결된 DLL 파일들이 정말 많습니다. 이런 현상이 생기는 이유는 여러 가지인데, 누군가 프로젝트를 위해 DLL을 생산해두고, 프로젝트가 종료된 후 이 DLL을 전부 다 제거하지 못하거나 잊어버리는 경우들이 많습니다.”
윈도는 참조하는데 정작 존재하지는 않는 DLL 파일들을 ‘팬텀 DLL 파일(유령 DLL 파일)’이라고 부른다. 공격자들에게 있어서 이는 공격의 기회가 된다. “자신들의 목적에 맞는 악성 DLL 파일을 임의로 만든 뒤, 윈도가 참조하고 있는 유령 DLL 파일과 똑같은 이름으로 설정하고, 그 DLL 파일과 같은 위치에 옮겨두면 OS가 알아서 로딩합니다. 윈도가 참조하는 것이므로 보안 경보 울리지도 않습니다.”
이번 캠페인에서 북한의 라자루스(Lazarus)는 팬텀 DLL 하이재킹 전략을, 인증과 키 교환 등에 필요한 서비스인 IKEEXT와 같이 함께 구현한 것으로 알려져 있다. “라자루스는 IKEEXT를 발동시킨 후 존재하지 않는 slbsctrl.dll 파일을 로딩시키려 했습니다. 그 외에 wbemcomn.dll을 로딩시키려 했던 적도 있습니다.”
리앙은 MS가 직접 윈도의 ‘유령 DLL 참조 현상’을 제거해야 한다고 강조한다. “그 전까지 윈도 사용자들은 모니터링을 철저히 해야 합니다. 애플리케이션 제어도 보다 능동적으로 해야 하고요. 원격에서 DLL을 로딩시키는 것도 차단해야 합니다.”
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
