남미 은행들을 노리는 듯한 고급 리눅스 멀웨어가 발견됐다. 각종 스텔스 기능을 탑재하고 있어 탐지가 여간 어렵지 않다. 그러나 허술한 점도 존재한다. 아직 피해 규모가 명확히 파악되지는 않고 있지만, 멀웨어들이 늘 그렇듯 언제 국경을 넘어올 지 몰라 대비가 필요하다.

[보안뉴스 문가용 기자] 남미 지역의 금융 기관들을 노리는 리눅스 멀웨어, 심바이오트(Symbiote)가 발견됐다. 모든 파일과 프로세스, 각종 네트워크 아티팩트를 숨기기 때문에 포렌식으로 찾아내기가 쉽지 않다고 한다. 심바이오트가 처음 발견된 건 지난 11월이고, 당시의 발견자는 블랙베리(BlackBerry)였다. 다른 리눅스 멀웨어들과 달리 실행되고 있는 프로세스들을 감염시킨다.

[보안뉴스 / 6.13.] 남미 은행들 주로 노리는 고급 리눅스 멀웨어, 심바이오트

[이미지 = utoimage]

심바이오트는 프로세스를 감염시킨 후 크리덴셜을 수집하고, 이를 통해 원격에서 피해자의 네트워크에 접근한다. 훔친 크리덴셜은 외부로 빼돌리기도 하지만 로컬에 저장하기도 한다. “심바이오트는 룻키트처럼 동작하고, 스스로를 철저하게 감춥니다. 피해자의 시스템을 완전히 장악한 후에는 공격자가 보이게 하고 싶은 것만 피해자가 볼 수 있게 됩니다. 결국 기계를 거짓말쟁이로 만드는 것입니다.” 당시 블랙베리의 호아킴 케네디(Joakim Kennedy)가 쓴 글이다.

심바이오트를 탐지하는 방법은 훔친 크리덴셜을 DNS 요청을 통해 밖으로 돌릴 때를 포착하는 것이다. 케네디는 “심바이오트가 사용하는 도메인 이름들은 브라질의 대형 은행들을 흉내 낸 것들”이라며 “이 때문에 탐지가 한 층 더 어려워진다”고 설명한다. “아직까지 확언하기는 힘들지만 이런 식의 공격은 대부분 금융 기관을 노리기 위한 것이 대부분이고, 공격자들의 근본 동기는 돈일 가능성이 높습니다.” 블랙베리 측의 분석 결과였다.

공유 객체 라이브러리
보안 업체 디지털셰도우즈(Digital Shadows)의 수석 위협 첩보 분석가인 니콜 호프만(Nicole Hoffman)은 “심바이오트는 기존 멀웨어들과 달리 단순 실행 파일이 아니라 ‘공유 객체 라이브러리(shared object library)’이다”라고 짚는다. “심바이오트는 LD_PRELOAD라는 변수를 사용하여 다른 공유 객체 라이브러리들이 로딩되기 전에 스스로가 먼저 로딩되도록 합니다. 매우 고차원적인 수법으로, 정상적으로 운영되는 프로세스에 자연스럽게 녹아들어갈 수 있게 해 줍니다. 심바이오트가 잘 탐지되지 않는 이유 중 하나죠.”

심바이오트에는 버클리 패킷 필터(Berkeley Packet Filter, BPF)라는 후킹 기능도 탑재되어 있다. 패킷을 중간에 가로채거나 캡쳐하는 도구로 주로 수사에 사용된다. 일부 리눅스 배포판에 기본으로 설치되어 있으며, 사용자들은 이를 통해 특정 패킷을 걸러낼 수 있다. 주로 노이즈에 해당하는 패킷들을 자동으로 걸러냄으로써 분석과 조사의 시간을 단축시키는 것이 BPF의 사용 목적이다. “심바이오트는 패킷 캡처 결과에서 자신들의 트래픽을 빼내기 위해 BPF를 사용합니다. 이 또한 심바이오트를 보다 은밀하게 만드는 장치인 것이죠.”

케네디는 “멀웨어에 BPF 기능이 이러한 목적으로 탑재된 것은 처음 있는 일”이라고 지적한다. “보통 멀웨어에 BPF가 있다면, 주로 C&C 서버로부터 명령을 받기 위해서입니다. 하지만 심바이오트는 네트워크 활동을 감추기 위해 BPF를 사용합니다. 멀웨어 제작자들이 애초에 수사 기관으로부터 철저하게 숨는 법을 잘 알고 있다는 뜻이 됩니다. 마치 추리 소설에 나오는 뛰어난 범죄자들이 자신의 발자국을 능숙하게 지우는 것과 같습니다.”

공격이 더 쉽다?
그렇다면 이렇게나 고차원적인 멀웨어를 가지고 남미 은행을 주로 노리는 이유가 무엇일까? 보안 업체 벌칸 사이버(Vulcan Cyber)의 수석 엔지니어인 마이크 파킨(Mike Parkin)은 “남미 은행은 공격이 더 잘 통할 것 같은 느낌이 있기 때문일 것”이라고 추측한다. “물론 서유럽 국가나 북미 은행을 공격하면 더 많은 돈에 접근할 수 있을지도 모릅니다. 하지만 그런 지역의 기관들을 뚫고 들어간다는 건 대단히 어려운 일이죠. 실제 남미의 조직들은 보안이라는 측면에서 덜 성숙해 있기도 하고요.”

실제로 공격자들은 피해자의 네트워크에서 실행되는 악성 행위들을 감추는 데에 크게 집중하고 있지만 외부로 빠져나가는 악성 트래픽은 효과적으로 숨기지 못하고 있다. “로컬 호스트에서는 이들의 스텔스 기능들이 잘 통하겠지만, 외부적인 부분에서는 그렇지 않을 수 있습니다. 실제로 외부 트래픽까지 아우르는 네트워크 모니터링 도구들을 사용하면 이들이 생성하는 악성 트래픽은 금방 파악이 됩니다.”

케네디는 심바이오트가 가진 각종 기술들에 집중하여 모니터링하는 것이 심바이오트를 탐지하는 데 도움이 된다고 강조한다. “심바이오트 개발자는 멀웨어를 숨기기 위해 많은 노력을 기울였어요. 각종 기술들을 활용하고 조합했죠. 하지만 그렇게 함으로써 심바이오트의 독특한 침해지표를 생성하기에 이르렀고, 방어자들은 이 점을 활용해 방어막을 칠 수 있습니다.”

또한 케네디는 최근 공격자들 사이에서 빠르게 증가하고 있는 리눅스에 대한 관심도 잊지 말아야 한다고 지적한다. “해킹 공격의 주요 표적이 되는 건 늘 윈도라는 OS였죠. 그 때문에 다른 OS는 반사 이익을 누려왔어요. 하지만 리눅스는 점점 예외가 되고 있습니다. 최근 들어 리눅스를 노리는 공격자들의 움직임이 활발해졌거든요. 그러면서 심바이오트와 같은 고급 리눅스 멀웨어가 등장하기에 이른 것이기도 하고요. 우리가 발견하지만 못했지 활발히 움직이는 리눅스 멀웨어는 세상에 더 많이 존재하고 있을 겁니다.”

3줄 요약
1. 새로운 리눅스 멀웨어 심바이오트 발견됐는데, 각종 스텔스 기능이 주요 특징.
2. 스텔스 기능이 워낙 많아 탐지하기가 쉽지 않은데, 그렇다고 완벽한 건 아님.
3. 아직까지 남미의 은행들이 주요 표적이 되고 있으나 멀웨어는 빠르게 국경을 넘나든다는 특징을 가지고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>