HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

나쁘다는 모든 것을 다 가지고 있는 멀웨어, 엑스배시
등록일 :
2018.09.18
랜섬웨어인 척하지만 삭제형 멀웨어...범인에게 돈 내도 복구 못해
한편으로는 채굴 코드 퍼트리고, 네트워크 내에서 빠르게 확장하기도


[보안뉴스 문가용 기자] 나쁘다고 하는 건 다 가지고 있는 복합적인 멀웨어가 발견됐다. 발견자는 보안 업체 팔로알토 네트웍스(Palo Alto Networks)의 전문가들로, 이 멀웨에 엑스배시(Xbash)라는 이름을 붙였다. 엑스배시는 리눅스와 윈도우 서버들을 표적으로 삼고 있으며, 침투한 기기를 통해 네트워크 내로 빠르게 퍼져나갈 수 있다고 한다.

[이미지 = iclickart]


분석에 의하면 현재 엑스배시는 리눅스 서버에서는 랜섬웨어이기도 하며 봇넷 기능도 가지고 있다고 한다. 그러나 윈도우 서버 시스템에 침투해서는 암호화폐 채굴과 자가 번식 능력을 보여주기도 한다고 팔로알토 측은 설명한다.

먼저 엑스배시의 랜섬웨어 기능을 살펴보면, 리눅스 기반의 데이터베이스를 표적으로 작동하며, 데이터를 암호화시키는 게 아니라 삭제한다. 팔로알토 측은 파일 복구 기능을 찾아낼 수 없었다고 설명하는데, 그러므로 엑스배시 랜섬웨어에 한 번 걸리면 사실상 파일을 영영 볼 수 없게 된다는 뜻이 된다. 이는 공격자들에게 돈을 낼 필요가 없다는 뜻으로도 해석이 가능하다.

그러나 현재까지 엑스배시 공격자들에게 48명이 돈을 지불했다. 총액은 6천 달러 정도라고 한다. 하지만 이들 중 데이터 복구에 성공한 사람은 아무도 없는 것으로 알려져 있다. 팔로알토는 “데이터가 삭제되었을 가능성이 크다”고 설명한다.

팔로알토의 라이언 올슨(Ryan Olson)은 “리눅스와 윈도우를 모두 노리면서, 랜섬웨어, 채굴 코드, 웜 기능을 전부 가지고 있는 멀웨어는 처음 본다”고 설명한다. 그러면서 “이는 아이언 그룹(Iron Group)이라는 위협 단체의 작품일 가능성이 높다”고 추측한다. “아이언 그룹은 랜섬웨어 공격과 암호화폐 채굴 공격을 모두 진행한 경험이 있는 단체입니다. 다만 예전에는 윈도우 시스템에만 국한되어 있었는데 최근 들어 리눅스 시스템도 연구를 진행한 듯합니다.”

최근에 나타난 리눅스 멀웨어로는 가프짓(Gafgyt)과 미라이(Mirai)가 있다. 그러나 엑스배시는 이 둘과 달리 무작위로 생성된 IP 주소만을 가지고 취약한 장비를 스캔하지 않는다. 엑스배시가 취약한 장비를 스캔하는 데 IP 주소와 같이 사용하는 건 도메인 이름이다. 그러므로 방어자들이 허니팟을 사용해 엑스배시를 잡아내는 게 무척 힘들어진다. 허니팟은 IP 주소를 기반으로 작동하는 게 보통이기 때문이다.

“엑스배시는 IP 주소 목록과 도메인 목록을 모두 사용합니다. 이 목록은 C&C 서버에서 제공되는 것이고요. 스캔의 목적은 특정 열린 포트, 약한 크리덴셜, 하둡(Hadoop), 레디스(Redis), 액티브MQ(ActiveMQ)에서 발견되고 공개된 취약점 세 가지를 찾는 것입니다. 이 취약점들의 경우는 자가 복제 기능을 발휘하기 위한 것이고요.”

이 세 가지 취약점들 중 두 가지는 CVE 번호가 아직 부여되지 않았다. 하나는 하둡의 얀(YARN)에서 발견된 비승인 명령 실행 취약점으로, 2016년 10월에 처음 발견됐다. 또 다른 하나는 레디스에서 발견된 원격 파일 실행 취약점으로 2016년 10월에 발견됐다. 마지막 취약점은 액티브MQ에서 발견된 임의 파일 작성 취약점으로 CVE-2016-3088이라는 번호가 배정됐다.

엑스배시가 취약한 레디스 인스턴스를 익스플로잇 할 때, 제일 먼저는 윈도우 시스템에서 작동하는 것인지를 확인한다. 윈도우 시스템이 맞으면 채굴 코드를 다운로드 받아 실행시킨다.

엑스배시가 IP 주소를 가지고 스캔을 할 때면, 다량의 UDP와 TCP 포트들을 스캔하려고 한다. HTTP, VMC, MySQL, Telnet, FTP, NTP, DNS, LDAP를 위해 사용되는 포트들이다. 이 중 특정 포트가 열려있다는 걸 발견하면(VNC, MySQL, PostgreSQL 등) 멀웨어는 취약한 사용자 이름과 비밀번호 사전을 활용해 무작위 대입 공격을 실시한다.

“약한 비밀번호를 대입하는 공격은 윈도우와 리눅스 시스템 모두에서 실시됩니다. 멀웨어에 자체적으로 탑재된 사전을 사용하기도 하지만 C&C 서버로부터 업데이트된 목록을 받기도 합니다.” 올슨의 설명이다. 그런 식으로 MySQL이나 MongoDB 등에 침투하게 되었다면 엑스배시는 곧바로 서버 내 모든 데이터베이스를 삭제한다. 그리고 협박 편지를 화면에 띄운다.

팔로알토 네트웍스의 전문가들은 이런 엑스배시의 샘플을 확보해 분석 중에 있다. 그리고 엑스배시를 개발한 자가 새로운 기능을 개발 중에 있다는 사실을 알아냈다. 다른 취약한 서버들을 찾기 위해 네트워크를 스캔하는 기능이었다. 아직 활성화되지 않은 상태지만 이를 통해 엑스배시는 네트워크 내에서 빠르게 퍼져갈 수 있을 것으로 보인다. 이는 워너크라이(WannaCry)나 낫페트야(NotPetya)를 떠올리게 한다.

최근 모듈 구조 등을 가지고 있어 다양한 기능을 수행할 수 있는 멀웨어들이 새로운 위협으로 떠오르고 있다. 최근에도 여러 보안 업체들이 이와 관련된 경고를 내보내기도 했다. 프루프포인트(Proofpoint)는 어드바이저봇(AdvisorBot)과 마랍(Marap)이라는 모듈형 멀웨어에 대한 보고서를 발표했으며, 카스퍼스키 랩(Kaspersky Lab)은 다기능 원격 접근 툴이 지난 18개월 동안 두 배 가까이 늘어났다는 발표를 하기도 했다.

이는 방어의 업그레이드가 필요하다는 뜻이 된다. 올슨은 “특정 위협 몇 가지만을 방어해서는 안 되고, 보다 포괄적이고 넓은 범위의 방어를 계획해야 한다”고 강조했다. 그러면서 “이는 아예 모든 공격을 예방하겠다는 마인드로 접근해야 한다는 뜻이기도 하다”고 설명했다.

3줄 요약
1. 랜섬웨어도 되고, 봇넷도 되고, 삭제형 멀웨어도 되고, 암호화폐 채굴도 되는 엑스배시.
2. 랜섬웨어 협박 편지 띄우지만 데이터 복구할 방법 없으니 돈 내면 안 됨.
3. 요즘 다양한 기능 수행하는 멀웨어가 위협적으로 등장하고 있어 경계해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top