MENU
CISO News HOME > CISO News > 최신뉴스

최신뉴스


운영자들과의 통신 위해 블록체인 이용하는 멀웨어, 글룹테바 2020.06.29  

비트코인 블록체인을 통해 C&C 서버와 통신...공격자들에게서 새로운 명령 받아
루트킷 사용해 탐지 피하기 때문에 오히려 경보 일으킬 때도 있어...암호화폐 채굴도


[보안뉴스 문가용 기자] 글룹테바(Glupteba)라는 멀웨어에서 새로운 기능이 발견됐다. 비트코인 블록체인을 통신망으로 활용해 운영자로부터 최신 정보를 받는 것이다. 글룹테바의 궁극적인 목적은 웹 브라우저에 저장된 개인 식별 정보를 훔치는 것이며, 피해자의 네트워크를 통해 다른 장비들로도 공격을 이어가는 것이라고 한다. 이 멀웨어에 대해 보안 업체 소포스(Sophos)가 보고서를 발표했다.

[이미지 = utoimage]


블록체인으로 무장한 최신식 멀웨어이긴 하지만 글룹테바의 최초 침투 기법은 고루하기 짝이 없다고 소포스의 수석 분석가인 앤드류 브랜트(Andrew Brandt)는 설명한다. “각종 유틸리티나 소프트웨어를 공짜로 주는 척하는 등 뭔가를 공짜로 얻고 싶어 하는 사람들의 심리를 파고들거든요. 아마도 집에서 근무하는 시간이 늘어나거나 아이들 돌 볼 시간이 늘어나서 새로운 소프트웨어나 콘텐츠가 필요한 사람들이 많아졌다는 사실을 노린 것으로 보입니다.”

하지만 소포스는 현재까지의 피해 규모나 배후 세력에 대해서 직접적으로 언급하고 있지 않다. 굳이 블록체인으로 통신하는 멀웨어를 개발한 이유(동기)도 제대로 밝혀내지 못하고 있다고 한다. “하지만 특정 네트워크로 통하게 해주는 장비들을 여러 대 장악한 뒤, 다른 해커 그룹에 판매하려는 것이 아닐까 의심하고 있습니다. 글룹테바에는 비밀번호 탈취 기능이 있긴 하지만, 그 훔친 정보를 가지고 뭘 하려고 하는지 역시 아직 알 수 없습니다. 추가 공격을 위한 자원으로 저장해놓는 건지, 어디론가 되파는 건지 말이죠.”

분석과 추적을 방해하는 기능도 글룹테바 내에서 발견됐다. “피해자의 보안 로그에 글룹테바의 행위가 등록되지 않게 만드는 기능입니다. 하지만 이 때문에 멀웨어는 더 복잡하고 커졌고, 따라서 안정성이 떨어졌습니다. 역설적이게도 이 추적 방해 기능 때문에 보안 솔루션들에 더 잘 걸리고 있는 상황이기도 합니다. 아니, 심지어 피해자들도 뭔가 잘못 되었다는 걸 쉽게 알아챌 수 있습니다. 왜냐하면 그 불안정성이라는 게 시스템 마비와 파란 화면으로 나타나기 때문입니다.”

그럼에도 공격이 성공하는 사례가 종종 나타나고 있다고 소포스는 경고한다. 그러면서 글룹테바의 몇 가지 주요 특성을 다음과 같이 요약했다.
1) 글룹테바는 루트킷을 사용해 탐지를 피한다. 루트킷이란 것이 양날의 검처럼 장단이 명확한데, 성공적으로 로딩만 된다면 탐지에 잘 걸리지 않고 자유로운 공격을 할 수 있게 해준다.
2) 글룹테바는 윈도우즈 디펜더를 끄는 모듈을 가지고 있다. 이 모듈은 윈도우 디펜더가 다시 켜지지 않았나 주기적으로 확인하기도 한다.
3) 이터널블루(EterbalBlue)라는 취약점도 공략할 줄 안다. 따라서 네트워크 내에서 자동으로 증식하면서 퍼진다는 것이다. 이렇게 네트워크를 장악하면, 그곳을 발판 삼아 다른 곳으로 공격을 이어간다.
4) 가정용 라우터를 공격한다. 그리고 이 라우터로 공격을 하기 때문에 피해자가 공격자처럼 보이게 된다.
5) 브라우저 데이터를 훔친다. 크롬, 파이어폭스, 얀덱스, 오페라에서 로컬 데이터를 훔치는 기능을 가지고 있다. 훔친 데이터는 공격자들이 운영하는 서버로 업로드 된다.
6) 암호화폐 채굴 코드도 활용한다. 암호화폐 채굴 코드가 최종 페이로드라면 글룹테바는 채굴 관리를 위한 도구로서 볼 수도 있다.

한편 또 다른 보안 업체 디지털 셰도우즈(Digital Shadows)는 글룹테바가 상당히 고급스러운 멀웨어이며, 봇넷을 만들기 위해 제작된 것이라고 보고 있다. 디지털 셰도우즈는 자사 블로그를 통해 “블록체인을 가지고 C&C 서버와 통신하는 멀웨어라니, 한 번도 본적이 없다”며 “공격자들이 계속해서 신기술을 공격에 활용하려고 시도한다는 사실이 다시 한 번 증명됐다”고 설명했다.

보안 업체 룩아웃(Lookout)은 “최근 PC와 모바일 장비 사이에 격차가 줄어들고 있기 때문에 글룹테바와 같은 멀웨어가 모바일 환경에서도 얼마든지 사용될 수 있다”고 경고하기도 했다. “루트킷이나 바이러스, 브라우저 정보 탈취기와 같은 기능은 루팅이나 탈옥, 모바일 멀웨어, 화면 오버레이 공격 등 전부 모바일에서도 구현될 수 있습니다. 공격자들의 빠른 적응력을 생각하면, 블록체인을 활용한 모바일 멀웨어가 곧 등장해도 놀라지 않을 것 같습니다.”

3줄 요약
1. 글룹테바라는 멀웨어, 브라우저 정보 훔치고 웜처럼 퍼질 수 있음.
2. 가장 특이한 건 블록체인으로 C&C 서버와 통신한다는 것.
3. 공격을 위한 신기술의 연구와 빠른 도입, 다시 한 번 증명 된 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>




COPYRIGHT CISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보처리방침