기업 백신 ‘eScan’이 해킹 통로 역할?

[애플경제 이윤순 기자]  해커들은 최근 수 년 간이나 세계적으로 가장 널리 보급된 바이러스 백신 솔루션을 악용, 기업 등을 대상으로 해킹을 자행해온 것으로 밝혀졌다. 해커 집단은 바이러스 백신 솔루션을 탈취, 그 취약점을 악용하는 정교한 ‘중간자’(매개체를 심는) 공격 수법을 구사해왔다는 얘기다. 이를 통해 기업 네트워크에 해킹을 위한 백도어를 확산시켰다.

이런 악성 코드 공격 수법이 이미 2018년부터 활발하게 이뤄져왔다는 새로운 연구 결과가 나왔다. 보안업체인 ‘Avast’는 최근 인도 등에서 기승을 부리는 ‘GuptiMiner’ 악성 코드 수법의 공격 매뉴얼을 자세히 공개하고 있다. 수년에 걸쳐 이들이 어떻게 데이터를 난독화하고 공격해왔는지도 간략하지만 자세하게 설명하고 있다.

‘eScan’ 업데이트 메커니즘 취약점 악용

앞서 지난 2023년 7월, ‘Avast’는 인도의 바이러스 백신 소프트웨어 ‘eScan’을 표적으로 삼는 ‘GuptiMiner’ 해킹 수법을 발견했다. 이 공격은 그 후 최소 5년 이상 활성화되어 지속되었을 가능성이 높다는 증거도 이번에 공개했다. 공격 수법은 대상 네트워크에 백도어와 코인마이너(채굴자)를 배포하기 위해 ‘eScan’ 소프트웨어 업데이트 메커니즘의 취약점을 활용한 것으로 알려졌다.

‘Avast’ 보고서에 따르면 ‘GuptiMiner’ 감염 체인은 공격자의 DNS 서버에 DNS 요청 보내기, DLL(다이내믹 링킹 라이브러리) 사이드로딩 등의 수법을 쓴다. 또 겉으로는 안전해 보이는 이미지 파일에서 페이로드를 추출하거나, 신뢰할 수 있는 루트 앵커 인증 기관으로 페이로드 서명을 보내는 등 다양한 공격 기술을 사용한다.

그래서 “탐지를 피하고 ‘eScan’ 취약점을 악용하기 위해 공격자는 업데이트 패키지를 탈취, 악성 버전으로 교체하는 ‘중간자’ 공격을 수행한다”고 밝혔다.

그러나 ‘Avast’는 공격자들이 어떻게 패키지를 가로챌 수 있었는지 확인할 수는 없었다. 다만 공격자가 악의적인 중개자를 통해 트래픽을 리디렉션하기 위해 그 전에 이미 대상 네트워크를 손상시켰을 것으로 추측했다.

일단 업데이트 패키지가 성공적으로 교체되면, ‘eScan’ 업데이트 프로세스는 패키지의 압축을 풀고 실행된다. 그런 다음 깨끗한 ‘eScan’ 바이너리와 함께 DLL이 사이드로딩 되어 맬웨어의 권한을 상승시키면서 감염 체인을 작동한다.

‘GuptiMiner’ 감염 체인 수법도 다양

이때 ‘GuptiMiner’ 감염 체인의 초기 버전은 DNS 조작 기술을 사용, 공격에 사용된 다양한 페이로드를 배포했다. 그러나 ‘Avast’는 “공격자는 보다 효율적인 IP 주소 마스킹 기술을 선호하므로 이런 접근 방식은 쓰지 않는 경향”이라고 했다. 또 종종 ‘PNG’ 이미지를 사용, 대상 네트워크에 악성 쉘코드를 전달하고, 여러 백도어와 ‘XMRig’ 암호화폐 채굴 패키지로 구성된 페이로드로 위장하곤 한다.

특히한 점은 이런 유형의 공격자는 북한 당국이 후원하는 악명높은 사이버 공격 집단 ‘Kimsuky’ 그룹의 키로거와 유사하다는 사실이다.

그런 가운데 ‘Avast’는 피해자의 네트워크에 배포되는 다양한 백도어 변종의 두 가지 예를 발견했다. 첫 번째는 명령줄 연결 도구인 ‘PuTTY Link’의 향상된 빌드다. 이는 주로 중소기업의 네트워크 검색을 위한 빌드를 최적화한다. 궁극적으로는 피해자의 손상된 장치를 통해 중소기업 트래픽을 라우팅함으로써 ‘윈도우7’이나 ‘윈도우 서버 2008’ 시스템을 악용할 가능성이 있는 네트워크의 측면 이동을 촉진한다.

“북한 ‘Kimsuky’ 그룹의 키로거와 유사”

‘Avast’가 식별한 또 다른 공격용 백도어는 특히 대규모 기업 네트워크를 표적으로 삼는 모듈식 백도어다. 이는 두 가지 단계로 구성된다. 우선 맬웨어는 피해자의 장치에서 로컬에 저장된 개인 키나 귀중한 자산을 검색한다. 그런 다음 맬웨어가 셸코드 형태로 백도어를 삽입하는 식이다.

문제의 쉘코드는 실행 흐름에 더 많은 모듈을 추가할 수 있다는 점에서 다중 모듈식으로 설계되었다. 백도어가 배포되면 하드코딩된 구성을 해독, 의도한 대로 작동하고 탐지되지 않도록 한다. 이를 통해 통신 대상 서버나, 사용해야 하는 네트워크 포트, 명령과 요청 사이에 사용해야 하는 지연 시간에 대한 세부 정보를 제공하기도 한다.

‘Avast’ 연구원들은 또 “‘Kimsuky’ 키로거에 사용된 PDB 경로와 유사한 정보 도용자를 발견했다”면서 “‘GuptiMiner’ 공격자들의 배후엔 북한 ‘Kimsuky’ 위협 집단이 있거나, 간접적으로 연결되었을 수 있다”고 우려했다. ‘Avast’는 지난 2023년에 ‘eScan’ 바이러스 백신과, 인도의 컴퓨터 비상 대응팀인 ‘India CERT’에 취약점을 공개했다. 이로 인해 ‘eScan’이 최소 5년 동안 문제를 식별하지 못했다는 사실이 드러났다.

일단 보고서에 따르면 ‘eScan’은 지난 2023년 7월 31일에 이런 문제가 해결된 것으로 전해졌다. 그러나 ‘GuptiMiner’의 새로운 감염이 그 후로도 계속 관찰되고 있다. 이는 사용자들이 오래되고 취약한 버전을 계속 사용하고 있기때문으로 분석된다. ‘Avast’는 현재 ‘GuptiMiner’ 공격을 인식하는 데 도움이 되는 ‘전체 침해 지표(IoC) 목록’을 깃허브 페이지에 업로드해둔 상태다.