2016.10.07

카스퍼스키랩, 해킹 조직의 ‘위장 전술’ 조명

편집부 | ITWorld
해킹 조직들은 가짜 타임 스탬프, 언어 문자열, 악성코드, 존재하지 않는 단체로 가장하는 등 다양한 ‘위장 전술’을 사용해 보안 전문가의 추적을 피하고 있는 것으로 나타났다.

카스퍼스키랩의 보안 연구원인 브라이언 바소로뮤와 주안 안드레스는 보안 위협 인텔리전스 환경을 설명하는 논문을 발표하며, 보안 업체와 피해자들의 눈을 속이는 해킹 조직의 최신 ‘위장 전술’을 조명했다.

보안 연구원들은 공격의 배후를 추적하는데 사용하는 지표와 해킹 조직이 그 지표를 조작하는 사례를 발표했다.

악성코드 파일에는 컴파일된 시간을 나타내는 타임 스탬프가 존재하는데, 관련된 샘플이 충분히 수집되면 개발자의 업무 시간을 특정할 수 있으며, 따라서 일반적인 운영 시간대를 추측할 수 있게 된다. 그러나 타임 스탬프는 매우 쉽게 변경할 수 있다.

악성코드 파일에는 코드를 작성한 개발자의 흔적을 남기는 문자열과 디버그 경로가 포함되어 있을 때가 많다. 가장 확실한 단서는 사용한 언어와 능숙한 구사력 수준이다. 디버그 경로 또한 사용자 이름과 프로젝트 또는 캠페인의 내부 명명 규칙에 대한 단서를 제공하며, 피싱 문서에 가득 찬 메타데이터에도 개발자의 실제 컴퓨터를 가리키는 상태 정보가 의도치 않게 저장돼 있을 수 있다.

하지만 언어 표지 역시 분석가들을 혼란에 빠뜨리도록 조작하기가 쉽다. 클라우드 아틀라스(Cloud Atlas)라는 해커 조직의 악성코드에는 가짜 언어 단서가 남겨져 있었다. 블랙베리 버전에는 아랍 문자열이, 안드로이드 버전에는 힌두 문자열이, iOS 버전의 프로젝트 경로에는 ‘JohnClerk’이라는 단어가 포함돼 있었다.

그러나 실제 해당 해커 집단은 동유럽과 관련된 것으로 전문가들은 추측하고 있다. 와일드 뉴트론(Wild Neutron)이라는 해커 조직이 사용한 악성코드에는 루마니아어의 문자열과 러시아어의 문자열이 모두 포함돼 있었다.

공격자가 사용한 C&C(명령 및 제어) 서버를 찾아내는 것은 범인의 집 주소를 찾아내는 것과 비슷하다. C&C 인프라는 비용이 많이 들어가고 유지하기가 어렵기 때문에, 자금이 넉넉한 해커들도 C&C나 피싱 인프라는 재사용하는 경향이 있다. 유출 서버나 이메일 서버에서 데이터를 회수할 때, 스테이징 서버나 피싱 서버를 준비할 때, 또는 해킹된 서버를 확인할 때 범인들이 인터넷 연결의 익명화에 실패하면 백엔드를 통해 정체를 엿볼 수가 있다. 하지만 고의로 ‘실패’를 할 때도 있는데, 대한민국의 IP 주소를 사용해 분석가들을 현혹시킨 클라우드 아틀라스가 바로 그런 예이다.

지금은 공개적으로 구할 수 있는 툴에 의지하는 해킹 조직도 일부 존재하지만, 대부분은 여전히 자신만의 백도어와 측면 이동 툴, 취약점을 구축하고 이를 철저하게 보호한다. 따라서 특정 악성 코드군이 등장하면 즉시 해킹 조직의 정체를 알아낼 수 있다.

카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “해킹 조직은 날이 갈수록 IT 조사원들이 확보하려는 단서들을 조작해 혼란에 빠뜨리고 있다”며, “세계적으로 악성코드 생태계의 강자들을 우선 파악하고, 원하는 기업에게 유용하고 강력한 인텔리전스를 제공할 필요가 있다”고 말했다. editor@itworld.co.kr


2016.10.07

카스퍼스키랩, 해킹 조직의 ‘위장 전술’ 조명

편집부 | ITWorld
해킹 조직들은 가짜 타임 스탬프, 언어 문자열, 악성코드, 존재하지 않는 단체로 가장하는 등 다양한 ‘위장 전술’을 사용해 보안 전문가의 추적을 피하고 있는 것으로 나타났다.

카스퍼스키랩의 보안 연구원인 브라이언 바소로뮤와 주안 안드레스는 보안 위협 인텔리전스 환경을 설명하는 논문을 발표하며, 보안 업체와 피해자들의 눈을 속이는 해킹 조직의 최신 ‘위장 전술’을 조명했다.

보안 연구원들은 공격의 배후를 추적하는데 사용하는 지표와 해킹 조직이 그 지표를 조작하는 사례를 발표했다.

악성코드 파일에는 컴파일된 시간을 나타내는 타임 스탬프가 존재하는데, 관련된 샘플이 충분히 수집되면 개발자의 업무 시간을 특정할 수 있으며, 따라서 일반적인 운영 시간대를 추측할 수 있게 된다. 그러나 타임 스탬프는 매우 쉽게 변경할 수 있다.

악성코드 파일에는 코드를 작성한 개발자의 흔적을 남기는 문자열과 디버그 경로가 포함되어 있을 때가 많다. 가장 확실한 단서는 사용한 언어와 능숙한 구사력 수준이다. 디버그 경로 또한 사용자 이름과 프로젝트 또는 캠페인의 내부 명명 규칙에 대한 단서를 제공하며, 피싱 문서에 가득 찬 메타데이터에도 개발자의 실제 컴퓨터를 가리키는 상태 정보가 의도치 않게 저장돼 있을 수 있다.

하지만 언어 표지 역시 분석가들을 혼란에 빠뜨리도록 조작하기가 쉽다. 클라우드 아틀라스(Cloud Atlas)라는 해커 조직의 악성코드에는 가짜 언어 단서가 남겨져 있었다. 블랙베리 버전에는 아랍 문자열이, 안드로이드 버전에는 힌두 문자열이, iOS 버전의 프로젝트 경로에는 ‘JohnClerk’이라는 단어가 포함돼 있었다.

그러나 실제 해당 해커 집단은 동유럽과 관련된 것으로 전문가들은 추측하고 있다. 와일드 뉴트론(Wild Neutron)이라는 해커 조직이 사용한 악성코드에는 루마니아어의 문자열과 러시아어의 문자열이 모두 포함돼 있었다.

공격자가 사용한 C&C(명령 및 제어) 서버를 찾아내는 것은 범인의 집 주소를 찾아내는 것과 비슷하다. C&C 인프라는 비용이 많이 들어가고 유지하기가 어렵기 때문에, 자금이 넉넉한 해커들도 C&C나 피싱 인프라는 재사용하는 경향이 있다. 유출 서버나 이메일 서버에서 데이터를 회수할 때, 스테이징 서버나 피싱 서버를 준비할 때, 또는 해킹된 서버를 확인할 때 범인들이 인터넷 연결의 익명화에 실패하면 백엔드를 통해 정체를 엿볼 수가 있다. 하지만 고의로 ‘실패’를 할 때도 있는데, 대한민국의 IP 주소를 사용해 분석가들을 현혹시킨 클라우드 아틀라스가 바로 그런 예이다.

지금은 공개적으로 구할 수 있는 툴에 의지하는 해킹 조직도 일부 존재하지만, 대부분은 여전히 자신만의 백도어와 측면 이동 툴, 취약점을 구축하고 이를 철저하게 보호한다. 따라서 특정 악성 코드군이 등장하면 즉시 해킹 조직의 정체를 알아낼 수 있다.

카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “해킹 조직은 날이 갈수록 IT 조사원들이 확보하려는 단서들을 조작해 혼란에 빠뜨리고 있다”며, “세계적으로 악성코드 생태계의 강자들을 우선 파악하고, 원하는 기업에게 유용하고 강력한 인텔리전스를 제공할 필요가 있다”고 말했다. editor@itworld.co.kr


X