하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

오래된 공격 기법이라도 응용만 잘 하면 여전히 잘 써먹는다
등록일 :
2022.09.14
DLL 사이드로딩이라는 오래된 전략을 활용해 아시아 각 지역의 정부 기관들을 노리는 공격 단체가 출현했다. 아직 이들의 정체는 모르지만, DLL 사이드로딩에 대한 우리의 방어 기법에 한계가 있었음이 드러난 건 분명하다.

[보안뉴스 문가용 기자] 악명 높은 원격 접근 트로이목마(RAT)인 셰도우패드(ShadowPad)와 관련이 있는 한 공격 단체가 인기 높은 소프트웨어 패키지들을 악용하여 피해자들의 시스템에 멀웨어를 심는 것이 발견됐다. 이 캠페인의 표적은 주로 아시아의 정부 기관 및 국방 기관들이라고 한다. 이 공격에 악용되는 소프트웨어들은 정상적인 상품이지만 꽤나 오래된 것들이 대부분이다.

[이미지 = utoimage]


정상 소프트웨어이지만 오래된 것을 이번 공격에 활용하는 이유는 공격자들이 DLL 사이드로딩(DLL Sideloading)이라는 기법을 사용하기 때문이다. 소프트웨어들마다 DLL 파일을 처리하는 방식이 있는데, 이를 악용하여 정상 파일 대신 악성 파일을 설치하는 DLL 사이드로딩은 유명한 공격 기술이다. 그래서 최신 소프트웨어들은 대부분 DLL 사이드로딩을 함부로 하지 못하도록 방어 장치를 갖추고 있다. 그러나 오래된 버전의 소프트웨어들은 그렇지 않다. 

브로드컴(Broadcom)의 보안 사업부인 시만텍(Symantec)에 의하면 현재 문제의 공격 단체가 DLL 사이드로딩 기법을 활용하여 멀웨어를 심는 이유는 정보 수집을 위해서라고 한다. 성공적으로 공격이 이뤄진 곳은 한 총리 사무실, 금융 분야와 관련된 정부 조직 일부, 국영 국방 기업들과 국영 우주항공 업체들, 한 국영 통신사, IT 및 미디어 업체들로 꼽힌다. 이 캠페인은 최소 2021년 초부터 시작된 것으로 보이며 주요 국가 첩보들이 1차 목표인 것으로 분석된다.

익히 알려진 전략이지만 성공시켜
시만텍은 “정상적인 소프트웨어들을 활용해 DLL 사이드로딩 공격을 구사하는 전략이 최근 아시아 APT 단체들 사이에서 서서히 유행을 타기 시작했다”고 경고했다. 이 전략의 가장 큰 장점은 정상 소프트웨어를 활용하기 때문에 백신 및 멀웨어 탐지 기구에 잘 걸리지 않는다는 것이다. “유명하기도 하고 오래되기도 한 소프트웨어들이 사용되니까 최신 백신 도구들은 잘 걸러내지 못합니다. 공격자들이 꽤나 교묘한 사각지대를 노렸다고 볼 수 있어요.” 시만텍의 수석 첩보 분석가인 알란 네빌(Alan Neville)의 설명이다.

네빌은 “이러한 DLL 사이드로딩 기법은 오래 전부터 알려져 온 것이고, 그래서 최근 보안 도구들과 소프트웨어들은 이 공격에 대한 대책이 잘 마련되어 있는데도 ‘오래된 소프트웨어’라는 빈틈을 공격자들이 찾아냈다는 것이 놀라운 점”이라고 짚는다. “사실 미국이나 유럽에서는 잘 발견되지 않는 기법입니다. 아시아 지역에서는 인기가 오르고 있지만 말이죠. 일단 이 DLL 사이드로딩 캠페인은 아시아 내에서 특히 주의해야 할 것으로 보입니다.”

공격자들이 자신들의 목적을 달성하기 위해 가장 많이 사용한 건 PsExec라는 윈도 유틸리티였다. 이를 통해 원격 시스템에서 자신들이 원하는 프로그램들을 실행할 수 있었고, 결국에는 멀웨어를 사이드로딩하는 데에 성공했다. 다만 피해자 시스템으로의 최초 침투에 이러한 기법이 사용된 건 아니었다. 이미 침해하는 데에 성공한 시스템에 DLL 사이드로딩을 써서 멀웨어를 심고 정보를 빼돌린 것이었다. “공격자들은 대단히 많은 소프트웨어를 활용했습니다. 보안 소프트웨어, 그래픽 유틸리티, 웹 브라우저 등 종류도 다양합니다. 공격자들이 많은 연구를 진행했다는 걸 보여줍니다.”

새롭게 등장한 정보 탈취형 멀웨어, 로그대터(Logdatter)
공격자들이 DLL 사이드로딩을 통해 피해자의 시스템에 심은 멀웨어 중 하나는 로그대터였다. 새롭게 발견된 정보 탈취형 멀웨어로, 키스트로크의 로깅, 스크린샷 캡처, SQL 데이터베이스에 요청문 전송, 임의 코드 삽입, 파일 다운로드 등의 기능을 수행할 수 있다. 그 외에는 플러그엑스(PlugX) 기반 트로이목마도 하나와 두 개의 RAT도 많이 활용됐다. RAT의 이름은 트로킬러스(Trochilus)와 콰사르(Quasar)였다. 그 외에도 라돈(Ladon), 에프스캔(FScan), NBT스캔(NBTscan) 등을 이용하기도 했다.

이런 식의 공격으로부터 방어하려면 조직들은 네트워크 내에서 실행되고 있는 모든 소프트웨어를 목록화 하고 최신화 해야 한다. 또한 애플리케이션 화이트리스팅을 실시하여 제대로 검증되고, 정책적으로 허가된 소프트웨어만 네트워크 내에서 실행되도록 결정하는 것도 큰 도움이 된다. 공공 인터넷에 직접 연결이 되는 애플리케이션들이라면 우선적으로 취약점을 스캔하고 패치하는 것도 좋다.

네빌은 “아시아 권에 있다면 시스템 스캔을 통해 수상한 것들을 최대한 빨리 찾아내는 것이 좋다”고 경고한다. “또한 침해지표와 비교해 침해 가능성을 시사하는 신호들이 탐지된다면, 역시 시스템을 재빨리 청소하는 것이 좋습니다. 내부 크리덴셜도 이참에 한 번 정리를 하고요.” 

한편 아직까지 정확한 공격 단체를 파악하지는 못하고 있다. 최초 침투 경로 역시 추정만 하고 있을 뿐이다. “공격자들이 사용한 멀웨어 중 플러그엑스와 비슷한 멀웨어가 하나 있었습니다. 플러그엑스는 셰도우패드와 관련이 있는 멀웨어인데, 둘 다 중국 해커들만이 독점적으로 사용하다시피 한다. 그래서 중국의 해킹 조직이 이 사건에 연루되어 있을 가능성이 가장 높긴 하다.

3줄 요약
1. 아시아 지역에서 피싱 캠페인 하나가 기승을 부림.
2. 공격자들은 DLL 사이드로딩이라는 오래된 전법을 영리하게 활용 중.
3. 주로 아시아 지역에서 피해가 속출하고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top