원격 접근 툴 애드윈드, 2013년부터 각종 산업 노리며 크리덴셜 등 훔쳐
자바로 위장해 탐지를 회피한다는 특징 가지고 있어...자바 없앨 수도 없어[보안뉴스 문가용 기자] 로그인 크리덴셜 등 다양한 데이터를 노리는 것으로 유명한 원격 접근 툴인 애드윈드 제이랫(Adwind jRAT)이 새로운 방식으로 악성 행위의 흔적을 숨기기 시작했다. 일반적으로 사용되는 자바의 기능을 남용해 정보를 훔침과 동시에 보안 툴들을 회피하는 전략을 구사하고 있다.
[이미지 = iclickart]
애드윈드는 에얼리언스파이(AlienSpy), 프루타스(Frutas), 언리콤(Unrecom), 소크랫(Sockrat), 제이소켓(JSocket) 등으로 알려진 다중 플랫폼 RAT와 관련이 있으며, 2013년부터 각종 기업체들을 표적 삼아왔다. 크리덴셜, 시스템 정보, 암호화 키와 같이 민감한 정보를 훔치는 것은 물론 키로깅, 스크린샷 캡처, 파일 전송 등의 기능도 가지고 있다. 주로 피싱 이메일과 감염된 소프트웨어, 악성 웹사이트를 통해 전파되며, 윈도우, 리눅스, 맥OS에서 활동이 가능하다.
이번에 발견된 새 버전의 경우는 윈도우 장비들을 주로 노리는 것으로 보인다. “윈도우 운영체제에서 흔히 사용되는 애플리케이션인 익스플로러와 아웃룩이 주된 표적입니다.” 보안 업체 멘로 시큐리티(Menlo Security)의 설명이다. 애드윈드는 멘로 시큐리티가 4개월 전에 처음으로 발견했다.
“또한 크로미움(Chromium)을 기반으로 한 브라우저들을 노리기도 합니다. 심지어 브레이브(Brave)라는 비교적 최신 브라우저들도 공격 대상이 됩니다.” 멘로의 보안 전문가인 크리슈난 서브라마니안(Krishnan Subramanian)의 설명이다. 그래서 그런지 현재까지 발견된 피해자들은 대다수가 윈도우 OS를 사용하던 사람들이었다. 서브라마니안은 “금융 산업 쪽에서 특히 피해가 많이 발견되고 있다”고 한다.
애드윈드의 새 버전은 JAR 파일 형태로 전파되고 있다. 피싱 메일 내 악성 링크나 미리 공격자들이 침해한 사이트를 통해 다운로드 되고 있는데, 대부분 워드프레스를 기반으로 한 사이트로부터 문제가 시작된다고 한다. “취약점 업데이트가 안 된 사이트나, 불법 사이트에 주로 호스팅 되어 있더군요. 콘텐츠 배포 네트워크를 통해 멀웨어를 뿌리는 시도는 최근 자주 발생하고 있습니다.”
감염은 여러 단계로 진행된다. 최초의 JAR 파일이 복호화 되면 몇 가지 프로세스가 시작되고, 애드윈드는 C&C 서버 IP 주소들이 포함된 목록을 다운로드 받는다. 그런 후 한 가지를 선택해 TCP 포트 80을 통해 또 다른 JAR 파일들을 로딩하라는 요청을 암호화 해서 전송한다. 이 JAR 파일들은 애드윈드를 활성화시키고, 본격적인 공격이 시작된다. 크리덴셜 등을 수집하고 C&C 서버로 전송하는 것.
이번 버전의 애드윈드는 숨어있는 데에 능하기도 하다. 흔한 자바 명령어의 하나인 것처럼 위장하는 것이다. “기업 내부 네트워크에는 하루에도 수백~수천만 개의 자바 명령어들이 흘러 다닙니다. 그렇기 때문에 정적인 규칙이나 시그니처로 악성 명령을 찾아내는 게 쉽지 않습니다. 한계가 있죠. 기존의 방어 기법으로서는 JAR 페이로드가 전혀 의심스러워 보이지 않습니다.”
이런 식으로 자바 요소의 일부인 것처럼 위장되어 있거나, 자바의 정상적인 기능을 나쁜 쪽으로 활용하는 멀웨어는 원래부터 탐지가 어려운 것으로 유명하다. “자바라는 게 넷에서 너무나 흔한 요소라는 게 문제의 핵심입니다. 너무나 흔하고, 너무나 많아서, 그걸 하나하나 가려낸다는 게 간단한 문제가 아닙니다.” 서브라마니안의 설명이다. “그렇다고 자바의 사용을 금지시키거나 줄인다는 것도 좋은 결과를 끌어낼 가능성은 낮습니다.”
그렇지만 애드윈드가 정상적인 자바와 완전히 똑같은 건 아니다. “정상적인 자바 명령어들 중 크리덴셜을 훔치고, 그걸 열람하거나 어디론가 전송하는 기능을 가진 건 없습니다. 결국 자바 그 자체를 하나하나 들여다보는 게 아니라, 자바의 행동 패턴을 살피는 방식으로 접근해야 합니다. 악성 행위는 언젠가 반드시 모습을 드러내기 마련입니다.”
3줄 요약
1. 원격 접근 도구인 애드윈드의 새로운 버전 등장.
2. 이번 버전의 특징은 자바 명령으로 스스로를 위장하는 것.
3. 자바를 정적으로 분석해서는 식별 어려움. 악성 행위 자체를 적발해야.
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=84143&page=3&kind=1]
