클라우드플레어, 유튜브, 페이스북 등에 악성 공격에 필요한 데이터 숨겨
정상 프로세스에 악성 코드 주입하고, 훔친 정보는 HTTPS로 전송하기까지[보안뉴스 문가용 기자] 아스타로스(Astaroth)라는 트로이목마를 퍼트리고 있는 피싱 캠페인이 한창 진행 중에 있다고 한다. 그런데 독특하게도 페이스북과 유튜브를 활용하는 전략을 구사하고 있어서 눈에 띈다. 보안 업체 코펜스(Cofense)가 발견했다.
[이미지 = iclickart]
코펜스의 보안 전문가 아론 라일리(Aaron Riley)에 의하면 공격자들은 먼저 이메일에 .HTM 파일을 첨부하는 것으로부터 공격을 시작한다고 한다. “메일은 세 가지 테마로 나뉩니다. 인보이스, 공연 티켓, 법정 소송이 바로 그것입니다.”
피해자가 첨부 파일을 클릭하면 HTM 파일이 발동돼 .ZIP 파일이 다운로드 된다. 여기에는 악성 .LNK 파일이 첨부되어 있고, 이 .LNK 파일은 클라우드플레어(Cloudflare)의 도메인에서부터 자바스크립트 코드를 다운로드 받는다. 자바스크립트는 다양한 종류의 파일을 다운로드 받는 기능을 가지고 있는데, 대부분은 사용자를 속이기 위한 것이고 소수에는 아스타로스 샘플이 심겨져 있다.
“다운로드 된 여러 파일 중에 .DLL 확장자를 가진 파일이 두 개 있어요. 둘이 함께 정상 프로그램 하나를 부채널에 로딩시킵니다. ‘C:Program FilesInternet ExplorerExtExport.exe’라는 것입니다. 이 정상 프로그램을 사용해 두 부분으로 구성된 악성 코드를 실행시킵니다. 이 악성 코드는 사람들이 신뢰하는 곳으로부터 다운로드 되므로 백신 등의 보안 장치를 우회합니다.”
ExtExport.exe가 악성 코드를 실행시킨 이후에는 ‘프로세스 할로윙(process hollowing)’이라는 기술을 통해 정상 프로그램을 감염시키기 시작한다. “이전 단계에서 자바스크립트를 통해 여러 파일이 다운로드 됐죠? 거기서 악성 코드를 추출한 후 이를 프로세스 할로윙 기법으로 정상 프로세스에 삽입합니다. 그런 후 악성 코드가 삽입된 정상 프로세스가 종료되면, 악성 코드가 삽입된 프로세스로 대체하죠. 거기서부터는 아스타로스가 C&C 채널과 연결을 시도합니다.”
바로 이 지점에서 유튜브와 페이스북이 활용된다. 이 두 가지 서비스의 프로파일에 C&C 연결을 위한 설정 데이터를 숨겨두고 있는 것이다. “이 C&C 데이터는 base64로 인코딩 되어 있습니다. 여기에 약간의 ‘맞춤형 암호화 기술’이 섞여듭니다. 데이터는 페이스북의 게시글이나 유튜브 프로파일 정보에 저장되어 있고요. 유튜브나 페이스북 모두 신뢰를 받는 서비스이기 때문에 보안 장치들을 쉽게 피해갈 수 있게 됩니다.”
C&C 정보가 이 두 가지로부터 수집 및 조합되고 나면 아스타로스는 시스템에서 금융 관련 정보, 비밀번호, 이메일 클라이언트 크리덴셜, SSH 크리덴셜 등을 수집하기 시작한다. 아스타로스는 2017년부터 존재해온 멀웨어이며, HTTPS POST를 통해 훔쳐낸 정보를 전송한다. 전송되는 곳은 앱스팟(Appspot)이라는 정상 서비스에 호스팅 된 사이트로 보낸다.
“신뢰되는 사이트로, 암호화 된 통신 프로토콜로 뭔가를 전송한다는 것인데요, 그렇기 때문에 네트워크 보안 장치들을 쉽게 통과할 수 있게 됩니다. 이 피싱 공격의 흐름 자체가 정상 프로세스와 외부 서비스를 활용해 보안 장치들을 쉽게 피해갈 수 있도록 구성되어 있습니다. 신뢰받는 프로세스와 서비스라는 요소만 아니라면 금방 탐지될 공격인데 말이죠.”
이번 아스타로스 캠페인은 주로 브라질에서 큰 피해를 일으키는 중이다. 피싱 이메일은 포르투갈어로 작성되어 있고, 공격 과정 중에 다운로드 되는 .ZIP 파일 역시 브라질 국가 위치를 기반으로 한 지오펜스 기능이 적용되어 있다. “프로세스 할로윙 기법으로 감염되는 프로세스들은 unins000.exe, svchost.exe, userinit.exe인데요, 이중 unins000.exe는 브라질 온라인 뱅킹의 보안 프로그램에서 주로 사용하는 것으로 알려져 있습니다.”
그러나 이 기술이 계속해서 브라질인들만 위협하라는 법은 없다. 비슷한 방법을 통해 다른 나라에서도 공격이 발생할 수 있다고 라일리는 경고한다. “실제로 .LNK 파일을 활용한 캠페인은 유럽에서도 발견된 바 있죠. 정상 서비스에 악성 코드를 주입하는 것도 이미 다른 지역에서 적발된 바 있고요. 공격자들의 응용력을 간과해서는 안 됩니다.”
3줄 요약
1. 브라질에서 유행하는 피싱 캠페인, 탐지 장치들 요리조리 피함.
2. 정상 서비스에서 파일 다운로드 받고, 정상 프로세스에 악성 코드 주입.
3. 현재는 브라질 맞춤형 공격이지만, 세계적으로 진출할 가능성 높음.
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=82975&page=1&kind=1]
