메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

보안 분석가와 피해자를 속이는 해킹 조직의 '위장 전술'
 
카스퍼스키랩 보안 연구원인 Brian Bartholomew와 Juan-Andres Guerrero-Sade가 Virus Bulletin에 발표한 논문에 따르면 표적 공격을 벌이는 해킹 조직은 가짜 타임 스탬프, 언어 문자열, 악성 코드, 그리고 무엇보다 존재하지 않는 단체로 가장하는 등 날이 갈수록 다양한 ‘위장 전술’을 사용하여 추적을 혼란에 빠뜨리는 것으로 드러났습니다.
 

사이버 표적 공격이 벌어지면 배후를 밝혀내는 일이 가장 중대한 사안이 됩니다. 그러나 배후의 정체를 정확하게 색출하는 것은 어려우며, 때로는 불가능에 가깝습니다. 이에 두 명의 카스퍼스키랩 전문가가 나날이 복잡해지고 불확실성이 심화되는 오늘날의 보안 위협 인텔리전스 환경을 설명하는 논문을 통해 보안 업체와 피해자들의 눈을 속이는 해킹 조직의 최신 '위장 전술'을 조명했습니다. 

보안 연구원들이 공격의 배후를 추적하는 데 사용하는 지표 및 해킹 조직이 그 지표를 조작하는 사례는 다음과 같습니다.

타임 스탬프
 
악성 코드 파일에는 컴파일된 시간을 나타내는 타임 스탬프가 존재합니다. 관련된 샘플이 충분히 수집되면 개발자의 업무 시간을 특정할 수 있으며, 따라서 일반적인 운영 시간대를 추측할 수 있게 됩니다. 그러나 타임 스탬프는 매우 쉽게 변경이 가능합니다.

언어 표지
 
악성 코드 파일에는 코드를 작성한 개발자의 흔적을 남기는 문자열과 디버그 경로가 포함되어 있을 때가 많습니다. 가장 확실한 단서는 사용한 언어와 능숙한 구사력 수준입니다. 디버그 경로 또한 사용자 이름과 프로젝트 또는 캠페인의 내부 명명 규칙에 대한 단서를 제공하며, 피싱 문서에 가득 찬 메타데이터에도 개발자의 실제 컴퓨터를 가리키는 상태 정보가 의도치 않게 저장되어 있을 수 있습니다.

하지만 언어 표지 역시 분석가들을 혼란에 빠뜨리도록 조작하기가 쉽습니다. Cloud Atlas 라는 해커 조직의 악성 코드에는 가짜 언어 단서가 남겨져 있었습니다. BlackBerry 버전에는 아랍 문자열이, Android 버전에는 힌두 문자열이, iOS 버전의 프로젝트 경로에는 ‘JohnClerk’이라는 단어가 포함되어 있었던 것입니다. 그러나 실제 해당 해커 집단은 동유럽과 관련된 것으로 추측됩니다. Wild Neutron이라는 해커 조직이 사용한 악성 코드에는 루마니아어의 문자열과 러시아어의 문자열이 모두 포함되어 있었습니다.

인프라와 백엔드의 연결고리
 
공격자가 사용한 C&C(명령 및 제어) 서버를 찾아내는 것은 범인의 집 주소를 찾아내는 것과 비슷합니다. C&C 인프라는 비용이 많이 들어가고 유지하기가 어렵기 때문에, 자금이 넉넉한 해커들도 C&C나 피싱 인프라는 재사용하는 경향이 있습니다. 유출 서버나 이메일 서버에서 데이터를 회수할 때, 스테이징 서버나 피싱 서버를 준비할 때, 또는 해킹된 서버를 확인할 때 범인들이 인터넷 연결의 익명화에 실패하면 백엔드를 통해 정체를 엿볼 수가 있습니다.

하지만 고의로 ‘실패’를 할 때도 있는데, 대한민국의 IP 주소를 사용하여 분석가들을 현혹시킨 Cloud Atlas가 바로 그런 예입니다.

악성 코드, 코드, 암호, 취약점 악용 등의 툴킷
 
지금은 공개적으로 구할 수 있는 툴에 의지하는 해킹 조직도 일부 존재하지만, 대부분은 여전히 자신만의 백도어와 측면 이동 툴, 취약점을 구축하고 이를 철저하게 보호합니다. 따라서 특정 악성 코드군이 등장하면 즉시 해킹 조직의 정체를 알아낼 수 있습니다. 

Turla 라는 해킹 조직은 감염된 시스템 내부에서 궁지에 몰리자 바로 이러한 추적 방법을 역이용했습니다. 악성 코드를 철수시키는 대신 희귀한 중국 악성 코드의 일부를 심어놓은 것입니다. 이 악성 코드는 베이징에 위치한 인프라와 연결되어 있었으며 Turla와는 아무 관련도 없었습니다. 피해자 측 대응팀에서 이 미끼 악성 코드를 추적하는 사이, Turla는 조용히 자신의 악성 코드를 제거하고 피해자의 시스템에서 자신의 흔적을 전부 삭제했습니다.

공격 표적
 
공격 표적들도 잠재적인 실마리가 됩니다. 그러나 연결고리를 정확하게 밝혀내려면 능숙한 분석 및 해석 능력이 필요합니다. 예컨대 Wild Neutron의 경우에는 표적 집단이 굉장히 다양했기 때문에 추적에 혼선만 일으켰습니다.

게다가 일부 해킹 조직은 해커와 표적 간의 관계를 찾고 싶어하는 대중의 욕구를 악용하여 때때로 없는 단체까지 만들어내 핵티비스트 단체로 위장합니다. 2014년에 Sony Pictures Entertainment를 공격할 때 Lazarus Group 이 자신들을 ‘Guardians of Peace’라고 소개한 것이 바로 그러한 사례에 해당합니다. Sofacy로 알려진 해커 조직 역시 비슷한 전략을 사용하여 여러 핵티비스트 조직으로 위장했다고 추정됩니다.

마지막으로, 다른 해커 조직에게 책임을 떠넘기는 작전도 빠뜨릴 수 없습니다. 이것은 지금까지 추적당한 적 없는 TigerMilk[1] 조직에서 사용한 방법으로 과거에 Stuxnet에서 사용한 인증서를 도용하여 자신들의 백도어에 서명한 것입니다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 "표적 공격의 배후를 추적하는 일은 매우 복잡하고 주관적입니다. 또한 해킹 조직은 날이 갈수록 IT 조사원들이 확보하려는 단서들을 조작하여 혼란에 빠뜨립니다. 정확한 추적은 불가능에 가까울 때가 많습니다. 뿐만 아니라 위협 인텔리전스는 ‘범인이 누구인가’ 하는 의문보다는 좀 더 심층적이고 측정할 수 있는 데이터 중심으로 운영됩니다. 세계적으로 악성 코드 생태계의 강자들을 우선 파악하고, 원하는 기업에게는 유용하고 강력한 인텔리전스를 제공할 필요가 있으며 이것이 카스퍼스키랩의 주력이 될 것입니다.”라고 말했습니다.

위장 전술이 표적 공격의 배후 추적을 어떻게 혼란에 빠뜨리는지 자세히 알아보려면 Securelist.com 사이트의 블로그를 참조하십시오.

카스퍼스키랩의 APT 인텔리전스 보고 서비스에 대해 자세히 알아보려면 다음 웹사이트를 참조하십시오. http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting
번호 제목 날짜
54 카스퍼스키랩, 기계 판독 위협 인텔리전스 플랫폼 출시

2016.10.18 0

2016.10.18
» 보안 분석가와 피해자를 속이는 해킹 조직의 '위장 전술'

관리자 2016.10.18 65

2016.10.18
52 Kaspersky Internet Security, MRG Effitas 평가에서 '레벨 1' 인증 획득

2016.10.11 0

2016.10.11
51 생체 인식 스키머의 등장. 카스퍼스키랩에서 바라보는 ATM 보안 위협의 전망

2016.09.28 0

2016.09.28
50 카스퍼스키랩 보안 솔루션, SE Labs 2분기 평가에서 전 항목 1위 차지

2016.09.22 0

2016.09.22
49 카스퍼스키랩, 젊은 사이버 보안 인재 양성을 위한 탤런트랩 개최

2016.09.22 0

2016.09.22
48 ICS/SCADA(산업제어) 환경의 사이버 보안 문화 (제1회)

2016.09.22 0

2016.09.22
47 [보안컬럼] 산업제어시스템 환경에서 사이버 보안 문화 구축

2016.09.22 0

2016.09.22
46 CryptXXX 랜섬웨어등에 이용된 Angler 익스플로잇 키트를 대여한 사이버범죄조직 Lurk의 변신

2016.09.22 0

2016.09.22
45 내부자를 이용한 사이버 범죄에 노출된 통신사

2016.08.31 0

2016.08.31
44 ATM 및 POS 단말기에 특화된 보호 솔루션, Kaspersky Embedded Systems Security 출시

2016.08.16 0

2016.08.16
43 카스퍼스키랩, 전 세계 기업 및 정부 기관을 대상으로 한 100개 이상의 정교한 악성 코드 활동 추적

2016.08.09 0

2016.08.09
42 카스퍼스키랩, 해커원과 함께 자사 제품에 대한 버그 바운티 프로그램 실시

2016.08.09 0

2016.08.09
41 2분기 봇넷 DDoS 공격 보고서: Linux 봇넷이 증가하고 공격 기간은 연장되는 추세

2016.08.03 0

2016.08.03
40 랜섬웨어와의 전쟁: IT 보안 회사와 사법 기관과의 국제 공조 프로젝트 출범

2016.07.26 0

2016.07.26
39 사이버 공격 대응력 향상: 카스퍼스키랩, 보안 인식 교육 솔루션 출시

2016.07.26 0

2016.07.26
38 카스퍼스키 랩의 연구 결과: 인터넷에 접속하고자 하는 욕구로 인해 위험에 빠지는 여행자들

2016.07.13 0

2016.07.13
37 카스퍼스키랩, SC Magazine Awards Europe 2016에서 최고 등급 수상

2016.06.30 0

2016.06.30
36 랜섬웨어 공격 급증, 연간 71만 8천 명의 피해자 발생

2016.06.30 0

2016.06.30
35 유진 카스퍼스키 회장의 한국 방문기 블로그

2016.06.20 0

2016.06.20