실력이 꽤나 높아 보이는 해킹 그룹이 출현했다. 실력이 높은 만큼 새로운 멀웨어와 새로운 공격 기법을 동원하기도 했다. 아직까지 정보 수집 정도의 선에서 그치고 있기에 망정이지, 이들의 기법이 널리 퍼지기라도 한다면 공격자들이 꽤나 골치 아프게 우리를 괴롭힐 수 있을 것으로 보인다.
[보안뉴스 문가용 기자] 해킹 그룹 크레인플라이(Cranefly)가 인터넷정보서비스(IIS) 명령어를 활용한 새로운 기법을 통해 백도어를 퍼트리고 있다는 조사 결과가 발표됐다. 이 공격 캠페인의 최종 목적은 첩보 수집인 것으로 보인다. 보안 업체 시만텍(Symantec) 크레인플라이의 최근 행적에 대해 10월 28일자 자사 블로그를 통해 알렸다.
![[보안뉴스 / 10.31.] 해킹 그룹 크레인플라이, 새로운 공격 기법 통해 정보 수집 중](http://www.boannews.com/media/upFiles2/2022/10/952367169_231.jpg)
[이미지 = utoimage]
블로그 글에 의하면 시만텍이 제일 먼저 발견한 건 현재까지 한 번도 보고된 적이 없었던 트로이목마라고 한다. 이름은 게페이 혹은 지페이(Geppei)이며, 단푸안(Danfuan)과 레지오그(Regeorg)라는 백도어 등을 유포하는 데 활용되고 있었다. 게페이가 퍼트리는 멀웨어들은 로드밸런서, 무선 접근점(WAP) 제어기 등 보안 장치가 다소 소홀한 곳들을 집중적으로 감염시키고 있었다고 한다.
시만텍의 연구원들은 게페이를 추적하다가 크레인플라이가 IIS 로그를 활용해 게페이와 소통하고 있다는 것을 알아냈다. “IIS 로그를 통해 원격에서 멀웨어에 명령을 전달하는 건 적어도 저희(시만텍)로서는 처음 보는 기법이었습니다. 어디선가 이론을 접해본 것 같은 희미한 기억은 있습니다만, 실제 공격 상황에서 접한 건 확실히 처음입니다.” 수석 분석가 브리지드 고르먼(Brigid Gorman)의 설명이다.
여기서 말하는 IIS 로그란, 방문한 웹 페이지나 사용한 앱들에 대한 기록이 담긴 저장소를 말한다. 크레인플라이는 웹 서버를 침해한 뒤 자신들의 악성 명령을 일종의 웹 접근 요청문으로 포장하여 전송했고, 이를 IIS는 정상적인 트래픽처럼 기록했다. 이것이 드로퍼 멀웨어인 게페이에 전달되면, 게페이는 Wrde, Exco, Cllo와 같은 문자열이 있는 검색했다. 발견되면 이를 명령어로 인식했다. “명령어를 은밀하게 보내기에 적절한 방법입니다.”
이렇게 전달된 명령어들 안에는 암호화 된 악성 .ashx 파일들이 포함되어 있었다. 이 파일들은 명령어의 매개변수가 지정하는 폴더에 임의로 저장됐고, 독자적으로 실행됐다. 이 파일들이 리지오그나 단푸안과 같은 백도어들이다. 고르먼은 “이론 상 IIS 로그를 통해 백도어만 은밀하게 전달할 수 있는 게 아니”라는 점을 지적한다. “공격자의 목적에 따라 다양한 것들을 전달할 수 있지요. 랜섬웨어도 포함될 수 있겠고요.” 다행히 아직까지는 이런 공격 기법에 의해 피해를 입은 조직이 소수에 불과하다. 해커들 사이에서 널리 알려진 기법은 아닌 것으로 보인다.
고르먼은 크레인플라이에 자연스럽게 관심을 갖게 될 수밖에 없다고 말한다. “새로운 멀웨어를 만들고(이번 공격에 새로운 커스텀 멀웨어가 발견됐다), 새로운 공격 기법을 적용하여 활용하려면 꽤나 높은 수준의 실력이 있어야 합니다. 그러니 공격 단체의 십중팔구가 이미 널리 알려진 멀웨어와 전략에 의존하는 것이죠. 하지만 크레인플라이는 다른 모습을 보입니다. 새로운 멀웨어를 들고 나타났을 뿐만 아니라 새로운 전략까지도 만들어냈죠. 실력이 꽤나 좋은 그룹으로 보입니다.”
하지만 특별히 기술력이 높은 공격자들을 방어한다고 해서 보안 수칙이나 방어의 개념이 뒤바뀌는 건 아니라고 고르먼은 강조한다. “심층 방어 혹은 다층 방어 전략은 여전히 유효합니다. 여러 겹의 장치를 고루 사용해서 보안을 강화한다면 초보 해킹 그룹이나 고도의 기술력을 갖춘 단체나 어려움을 겪긴 마찬가지입니다. 네트워크의 모니터링, 엔드포인트들의 탐지 장치, 주기적인 감사, 관리자의 권한 관리 등 조화롭게 보안을 강화한다면 효과가 있을 것입니다.”
3줄 요약
1. 고도의 기술력 갖춘 해킹 그룹, 크레인플라이.
2. 최근 IIS 로그를 사용해 멀웨어에 명령을 전달하는 기법을 활용.
3. 기술력 높은 그룹의 공격이나 낮은 그룹의 공격이나 방어 방법 자체는 비슷.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 10.31.] 해킹 그룹 크레인플라이, 새로운 공격 기법 통해 정보 수집 중](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")