"APT가 오랫동안 잠복하는 방법" 표적 공격의 도구와 기법

고도로 숙련된 공격자에 의한 해킹을 탐지하는 것은 쉬운 일이 아니며, 고급 네트워크 트래픽 모니터링, 엔드포인트 로그의 동작 분석, 공격자를 모방해 해킹 징후를 수동 검색하는 전담 위협 사냥 팀이 필요하다. 새로운 맥아피 보고서는 단순한 악성코드 감염 조사로 시작된 고객 네트워크에서 발견된 장기적인 해킹에 대해 설명하고 있다. 
 
맥아피 연구진은 이 공격에 ‘추수 작전(Operation Harvest)’이라는 이름을 붙였는데, 그 목표가 군사 전략적인 목적으로 사용될 수 있는 민감한 정보와 제조에 사용할 수 있는 지적 재산을 장기간 유출하는 것이었기 때문이다. 공격 배후에 있는 단체는 윈티(Winnti)라는 맞춤형 백도어 프로그램을 사용했는데, 윈티는 중국의 여러 APT 그룹이 공유하는 것으로 알려져 있다.

이번 공격에 사용된 기법에 대한 분석을 바탕으로, 맥아피 연구진은 항공우주, 정부, 국방, 기술, 에너지, 제조 분야의 표적 조직을 보유하고 있는 것으로 알려진 APT27, 일명 에미서리 판다(Emissary Panda)와 상당히 겹친다는 점을 발견했다. 바리움(Barium)으로도 알려진 APT41 및 해당 악성코드 이후에는 때때로 윈티와 중복되는 것을 발견했다. APT41은 중국 정부를 대표해 사이버 간첩 활동을 실행하는 것으로 추정하고 있지만, 금전적인 동기를 가진 공격도 행하는 것으로 알려져 있다.

이 2개의 그룹 모두 수년 동안 활동해왔고 횡적 이동(lateral movement), 권한 상승(privilege escalation), 그리고 지속성 공격(persistence)에 매우 능숙하다. 특히 이번 공격에서 공격자들은 피해자의 웹서버 가운데 하나를 해킹함으로써 네트워크에 침입했다.

매핑, 확장 및 제거하는 방법

일단 이러한 초기 거점을 확보하면, 네트워크를 매핑하고 다른 시스템으로 확장할 수 있는 도구를 서버에 배치했다. 맥아피 연구진이 발견한 도구에는 네트워크를 통해 다른 시스템에서 파일을 실행할 수 있는 도구인 PSexec, 프로세스의 RAM 메모리에서 중요한 정보를 추출하는 데 사용할 수 있는 도구인 프록덤프(ProcDump), 윈도우의 인증 자격 증명을 덤핑하는 데 사용되는 툴인 미미카츠(Mimikatz)가 포함되어 있다. 이 모든 기능은 무료 또는 오픈소스이며 때로는 시스템 관리자나 침투 테스터도 사용한다.

이 그룹이 사용하고 조사 중에 발견된 다른 2개의 오픈소스 도구는 배드포테이토(BadPotato)와 로튼포테이토(RottenPotato)다. 이들은 프리빌리지 에스컬레이션 기술을 사용해 시스템 권한으로 코드를 실행한다.

권한 상승을 위해 공격자는 DLL 사이드로딩(sideloading)이라는 기술을 사용하는 플러그X(PlugX)라는 백도어 프로그램도 배포했다. 이로 인해 일부 애플리케이션에서 프로그래밍 된 DLL에 대한 검색 순서가 잘못되어 현재 디렉터리를 먼저 시도하게 된다. 따라서 애플리케이션이 동일한 폴더에서 특정 이름의 DLL을 로드하도록 설계된 경우, 모든 공격자는 해당 DLL을 악의적인 DLL로 교체한 다음 합법적인 애플리케이션을 실행해야 한다. 이 기술의 이점은 악성코드가 합법적인 프로세스의 메모리에 로드된다는 것이다.

연구진은 “.exe 파일은 유효하고 서명된 실행가능 파일이며, 이 경우 HP(HP 고객 참여)의 실행가능 파일이다. 백신에서 비디오 소프트웨어에 이르기까지 다른 유효한 실행가능 파일이 사용되는 것도 관찰했다. 실행 파일이 작동되면 그 옆에 있는 DLL이 로드된다. DLL은 유효하지만 페이로드에 대한 작은 후크가 포함되어 있으며, 이 경우에는 .bin 파일이다. DLL은 플러그X 구성을 로드해 프로세스에 주입한다”라고 밝혔다.

또한 플러그X 악성코드는 DNS TXT 레코드를 활용해 DNS 트래픽 내의 명령 및 제어 서버와의 통신을 숨긴다. DNS 요청에서 이상 징후를 검색하지 않으면 네트워크 방어 도구에서 이 문제를 쉽게 놓칠 수 있다.

일부 시스템에서는 포테이토 도구들을 통해 획득한 시스템 권한이 ‘시스메인 업데이트(Sysmain Update)’라는 새 시스템 서비스를 만드는 데 사용됐다. 이 서비스는 슈퍼패치(Superfetch) 서비스와 연결된 시스메인이라는 합법적인 서비스를 모방한다. 

연구진은 “이 모델은 svchost.exe를 이용한 지속성 공격 기술을 사용하며 service.dll을 활용해 악성 서비스를 설치한다”라고 말했다. 이 dll은 대상 시스템의 지문을 채취하고 샌드박스에서 분석을 회피하기 위해 여러 메커니즘을 사용하는 것으로 나타났으며, 이로 인해 분석을 더욱 어렵게 한다. DLL에는 실행 시 디코딩 되는 여러 난독화 된 문자열이 포함되어 있다. 지문 채취가 완료되면 악성코드가 API RegisterServiceHandlerA, 그 다음 SetServiceStatus, 마지막으로 CreateEventA를 사용해 악성 서비스를 설치할 것이다. 

과거 공격과의 연관성

이 기법은 윈티 그룹에 기인한 악성 활동에 대한 트렌드 마이크로의 2017년 보고서에도 기술되어 있다. 맥아피 연구진은 또한 그들이 조사한 캠페인에 배치된 페이로드가 윈티 악성코드 계열의 것이라고 판단했다.

공격자들은 또한 파워셸의 WMI(Windows Management Instrumentation) 인터페이스를 사용해 시스템에서 명령을 실행하고, 예약된 작업을 설정하고, 미미카츠를 사용해 얻은 유효한 계정을 사용했다.

공격자들이 사용한 PsExec 변종은 시스템 관리자를 위한 윈도우 시스인터널(Sysinternals) 제품군의 일부인 오리지널 도구가 아니라 깃허브에서 복제된 것으로 보이는 파이썬의 오픈소스 재구현이었다.

데이터는 배치 스크립트를 사용해 네트워크 공유 및 해킹된 시스템에서 수집한 다음 RAR로 압축됐다. 공격자는 백도어를 통해 이런 아카이브를 직접 제거(exfiltrate)하거나 네트워크 외부에서 접근, 다운로드할 수 있는 해킹된 웹 서버에 보관한다. 이런 아카이브를 다운로드하는 데 사용된 도구의 사용자-에이전트 문자열에는 Dell시큐어웍스(Dell SecureWorks)의 2015년 보고서에 있는 정보와 일치하는 고유한 지문이 있으므로 이들 공격자가 여러 공격에 걸쳐 수년간 활동해 왔다는 것을 알 수 있다. 

사실, 이 사건을 조사하는 동안, 맥아피 연구진은 매우 유사한 수법과 기술을 사용해 동일 국가의 타 기관에 대해 진행한 두 번째 표적 공격을 발견했다. 이는 이번 공격이 공격자들이 피해자들의 네트워크에 수년간 접속을 유지할 수 있었던 대규모 작전의 일부였다는 것을 시사한다.

APT 공격에 대한 방어

윈티 관련 캠페인에 사용된 수많은 고급 기술은 숙련된 APT 그룹의 해킹을 발견하는 것이 매우 어렵다는 것을 보여준다. 이런 공격을 조기에 포착하려면 다양한 유형의 모니터링 및 탐지 기술에 상당한 투자를 하는 다계층 접근 방식이 필요하다. 

안타깝게도 이런 투자를 할 여유가 있거나 숙련된 내부 위협 추적 팀을 구성할 수 있는 기업의 수는 APT 피해업체의 수에 비해 적다. 또한 사이버 용병 그룹이 부상하고 사이버 범죄 그룹도 최근 APT 기술을 채택함에 따라 규모나 업종에 관계없이 모든 기관과 기업이 APT 수준의 공격을 받을 수 있다. editor@itworld.co.kr