MENU
CISO News HOME > CISO News > 최신뉴스

최신뉴스


워드프레스, 줌라, 드루팔 웹사이트들 집중 공격하는 봇넷, 캐시미르블랙 2020.10.23  

모듈 구성으로 되어 있는 캐시미르블랙, 각종 클라우드 서비스를 C&C로 활용
CMS 노림으로써 봇넷 규모 크게 키워...주요 목적은 암호화폐 채굴과 스팸 공격


[보안뉴스 문가용 기자] 암호화폐 채굴과 스팸, 웹사이트 변조 공격을 위해 개발된 봇넷이 새롭게 발견됐다. 이름은 캐시미르블랙(KashmirBlack)이며, 이미 수만 개의 워드프레스(WordPress), 줌라(Joomla), 드루팔(Drupal) 기반 웹사이트들을 감염시켰다고 한다. 보안 업체 임퍼바(Imperva)가 이에 대해 상세히 공개했다.

[이미지 = utoimage]


캐시미르블랙은 모듈 방식의 인프라 구조를 가지고 있으며, 드롭박스(Dropbox)와 깃허브(GitHub)와 같은 클라우드 서비스에 C&C를 마련해 고루 사용함으로써 필요한 파일을 저장하고, 통신 부하의 균형을 잡는다는 특징을 가지고 있기도 하다. 주로 인기 높은 CMS 플랫폼들을 공략하며, 이를 위해 이미 공개된 취약점들 수십 가지를 익스플로잇 한다. 하루에 수백만 번 이상의 공격을 실시한다.

임퍼바의 보안 분석가인 오피르 셰이티(Ofir Shaty)는 “CMS를 기반으로 한 웹사이트들은 최신화 유지가 잘 되지 않는 경향이 있다”며 “공개된 취약점들을 다수 내포하는 경우가 있을 수밖에 없다”고 설명한다. 그러면서 “공격자들이 CMS를 집중적으로 노렸다는 건 성공 확률이 높은 방법을 택했다는 것이고, 이는 봇넷의 규모를 빠르게 키우려는 의도로 보인다”고 추측했다.

임퍼바가 조사한 바에 의하면 캐시미르블랙의 공격자들은 하루 평균 240개의 호스트를 공략한다고 한다. 이는 웹사이트로 치면 약 3450개로 환산된다. “공격 성공률은 1% 정도로 보이며, 캐시미르블랙은 약 1년 동안 활동해온 것으로 분석됩니다. 이를 전부 계산하면 지난 1년 동안 캐시미르블랙에 감염된 사이트는 23만 개 정도인 것으로 나타납니다. 또한 중급 수준의 봇넷이었는데, 이제는 꽤나 고급 기능을 가진 봇넷으로 안정화되기도 했습니다.”

임퍼바의 분석가들이 보기에 가장 인상적이었던 건 캐시미르블랙이 업데이트가 쉬운 구조로 만들어졌다는 것이었다. “침해된 시스템들(봇)을 두 개 그룹으로 나눠서 관리합니다. 그리고 여기에 각종 코드와 익스플로잇을 저장해두죠. 한 개 그룹은 조금 덩치가 작고, 감염시킬 새로운 시스템을 계속해서 스캔하는 역할을 담당합니다. 다른 하나는 덩치가 크고 봇넷 운영자들의 실제적인 공격 명령을 기다렸다가 실행합니다.”

임퍼바의 위협 분석가인 나다브 아비탈(Nadav Avital)은 “봇넷의 활동이 대단히 역동적이라는 것에 주의해야 한다”고 경고하기도 했다. “역동적이라는 건, 예를 들어 방화벽 규칙 설정 한 번으로 막을 수 있는 위협이 아니라는 뜻입니다. 계속해서 변하고 그 모양을 바꾸는 봇넷이기 때문에 방어자들도 꾸준히 발을 맞춰야 합니다. 한 마디로 까다롭기 짝이 없는 봇넷이라는 겁니다.”

그런데다가 깃허브와 페이스트빈(Pastebin), 드롭박스와 같은 정상 서비스를 공격에 활용하니 트래픽 모니터링만으로 악성 행위를 한 번에 구분하기도 어렵다. “정상적인 트래픽처럼 보입니다. 캐시미르블랙을 특별히 염두에 둔 트래픽 모니터링과 탐지 활동이 아니라면 발견하는 게 힘들 겁니다. 심지어 특정 봇에는 파일을 저장만 해두기 때문에 모니터 요원이 보기에는 인기 높은 클라우드 서비스에 파일을 업로드 하거나 다운로드 하는 것일 뿐입니다.”

이렇게 교묘하게 침투한 뒤 캐시미르블랙은 추가 페이로드를 C&C로부터 받아 공격을 실시한다. 현재까지는 암호화폐를 채굴하거나 스팸 메일을 보내는 것이 대부분이다. 소수이긴 하지만 사이트 변조 공격을 실시하는 사례도 있었다. 임퍼바는 이 얼마 되지 않는 사이트 변조 공격을 조사하면서 캐시미르블랙의 배후 세력에 대한 힌트를 얻었다고 한다. “Exect1337이라는 온라인 ID를 사용하는 인물일 것으로 보입니다. 또한 이 Exect1337은 팬텀고스트(PhantomGhost)라는 인도네시아 해킹 단체의 일원일 가능성이 높습니다.”

3줄 요약
1. 새로운 봇넷, 캐시미르블랙, 지난 1년 동안 역동적으로 활동함.
2. 모듈 구조로 되어 있고, 감염시킨 봇들을 크게 두 그룹으로 나눠서 관리함.
3. CMS를 주로 공략하는 걸로 봐서 봇넷 규모를 빠르게 키우려는 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>




COPYRIGHT CISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보처리방침