사이버 공격은 네트워크 방어를 우회하기 위한 시도를 계속하며 끊임없이 진화하고 있습니다. 이미 탐지된 동일 위협으로는 지속적인 목적 달성이 어렵기 때문에, 기존에 알려진 악성코드를 변종으로 재탄생시켜 보다 정교화된 위협을 가하고 있는 것이죠.

가령 공격자들이 지속적으로 위협 행위를 성공시킨다면 그들은 공격 방식과 기술을 재구성하거나 업데이트할 필요가 없습니다. 공격자가 전술을 새롭게 짤 경우 악성코드 재생산, 인프라 업데이트, 새로운 프로세스에 대한 교육 등 상당한 노력이 수반되기 때문입니다.

이를 근거로 파이어아이는 이러한 위협에 대응하기 위해 새롭게 등장하거나 또는 변종된 악성코드의 공격 방식과 우회 전술을 탐지한 뒤, 공격자가 이러한 변종을 시도한 의도를 알아내는 것이 지능형지속가능위협(APT) 공격에 대응할 수 있다고 지적합니다.

그래야만 향후 또 다른 악성코드가 변종 될 경우 공격 양상을 예측할 수 있다는 주장이죠.

여기에 대해 박성수 파이어아이 악성코드 전문가는 “네트워크 보안망을 뚫고 공격에 성공한 기술들은 더 널리 전파되고 실패한 전술은 버려지기 마련입니다. 최근 파이어아이에 의해 분석된 최신의 APT 사례를 살펴보면, 악성코드가 최초 탐지된 후 상당 기간이 흘렀지만 여전히 변종된 형태로 활발하게 사용되고 있다는 점과 보통 스피어 피싱으로 네트워크에 침투되고 있다는 점이 공통된 특성으로 보입니다”라고 설명했습니다.

이번에는 파이어아이가 발간한 보고서를 바탕으로 전세계서 발생한 지능형지속가능위협(APT) 공격 사례 중 일부를 소개하려고 합니다.


◆야후 블로그를 활용한 타이도어(Taidoor) 변종 악성코드

타이도어(Taidoor)는 2008년부터 현재까지 지속적으로 APT 공격에 사용되고 있는 악성코드로, 주로 스피어 피싱 이메일을 통해 사이버 스파이 활동에 이용돼 왔습니다.

파이어아이는 타이도어를 이용한 공격방식에 있어 2011년과 2012년 사이 기술적인 변화를 밝혀냈는데, 기존 방식이 악성 이메일 첨부파일 실행 시 타이도어가 직접 드롭(drop)되는 방식이었다면, 새로 발견된 방식은 ‘downloader’를 드롭시킨 뒤 기존 타이도어 악성코드를 인터넷상에 다운로드하는 방식으로 알려졌습니다.

공격자들은 기존의 타이도어 악성코드를 C&C 서버로부터 다운로드 하는 대신, 특정 야후 블로그의 포스트에서 암호화된 텍스트를 다운로드 합니다. 암호가 풀린 텍스트는 DLL 파일로 기존 타이도어 악성코드의 변형 버전입니다. 즉, 타이도어 악성코드를 다운로드하는 메커니즘으로 야후 블로그를 악용한 사례라고 볼 수 있을 것 같습니다.

자료출처 : http://www.fireeye.com/blog/technical/2013/09/evasive-tactics-taidoor-3.html


◆악성코드 포이즌 아이비(PIVY) 변종을 이용한 몰레츠(Molerats) 공격 

몰레츠는 원격제어(RAT) 악성코드인 ‘포이즌 아이비(PIVY)’ 역시 8년 째 APT 공격에 이용돼 오고 있는 악성코드입니다.

2013년 여름 중동과 미국 내 몰레츠 해커집단이 C&C 인프라와 연결되는 포이즌 아이비 악성코드를 이용한 공격이 탐지됩니다. 몰레츠는 타겟 호스트를 감염시키기 위해 제로데이 취약점을 이용한 스피어 피싱을 이용했는데, 타깃 대상이 악의적인 파일을 열도록 유도하기 위해 현재 이집트 및 동유럽 전역에 걸친 위기 상황과 관련된 아라비아어로 된 콘텐츠를 활용한 것이 특징입니다.

몰레츠 공격은 본래 이스라엘과 팔레스타인 조직에만 초점을 맞춘 것으로 보였지만 다른 아랍권 국가나 미국 등 세계적인 공격을 감행하고 있어 보다 주의가 요구됩니다.

특히 그간 포이즌 아이비 악성코드는 대부분 중국 해커집단과 연관되어 있다고 여겨져 왔으나 변종 버전이 사용됨에 따라 그 배후에 대해서도 더욱 주의를 기울여야 한다고 합니다.

자료출처 http://www.fireeye.com/blog/technical/2013/08/operation-molerats-middle-east-cyber-attacks-using-poison-ivy.html


◆IE의 제로데이 취약점(cve-2013-3893)을 악용한 ‘오퍼레이션 디퓨티도그(Operation DeputyDog)’

오퍼레이션 디퓨티도그는 가장 최근의 발견한 공격입니다. 올해 8월 17일 등장해 19일에 공격을 시작했습니다.

일본 내 기업들을 표적으로 한 이 공격은 해커들이 정보를 송수신하기 위한 C&C서버를 한국에 심어두기도 한 것으로 밝혀져 보안업계에서 회자가 됐습니다.(국내에서는 10월 9일 마이크로소프트가 10월 정기 보안업데이트를 실시하면서 알려졌습니다.)

파이어아이는 자사의 동적 위협 분석 클라우드 서비스(DTI)에 기반해 이번 악성코드 캠페인과 연관된 위협 활동을 지속적으로 모니터링한 결과, 이번 공격이 지난 2월 비트9(Bit9)을 공격했던 위협요소와 일치한다는 것을 발견했습니다.

특히 cve-2013-3893 취약점은 암호화된 JPG 확장자 형태의 파일로 알려졌는데, 이는 기존 시그니처 기반의 보안 솔루션을 우회할 수 있습니다.

출처 : http://www.fireeye.com/blog/technical/cyber-exploits/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html

앞서 3개의 사례에서처럼 공격자들은 이전에 알려지지 않은 제로데이(Zero-day) 취약점을 활용하고 보다 강력한 악성 코드를 만들어 내고 있습니다. 여기에 대비하기 위해서는 보안 위협을 실시간으로 모니터링하고 분석할 수 있는 대책마련이 필요할 것으로 보입니다.


댓글 쓰기

저작권자 © 딜라이트닷넷 무단전재 및 재배포 금지