핵티비스트 단체인 드래곤포스 말레이시아가 꾸준히 자신들의 활동을 이어가고 있다. 중동과 아시아 지역의 조직들을 괴롭히며 자신들의 정치적 이념을 아낌없이 펼치고 있다. 그 가운데 권한 상승 익스플로잇을 공개하기도 하며, 앞으로 랜섬웨어 활동을 할 거라고 예고하기도 했다.

[보안뉴스 문가용 기자] 드래곤포스 말레이시아(DragonForce Malaysia)라는 핵티비스트 단체가 새로운 익스플로잇을 공개했다. 윈도 서버에서 로컬 권한 상승 공격을 함으로써 로컬 분산 라우터(local distribution router, LDR) 기능들에 접근할 수 있도록 해 주는 익스플로잇이다. 동시에 랜섬웨어 공격 기능도 갖추고 있다고 발표했다.

[보안뉴스 / 7.5.] 핵티비스트 단체 드래곤포스 말레이시아, 익스플로잇 공개하고 랜섬웨어 예고

[이미지 = utoimage]

지난 6월 23일 드래곤포스 말레이시아의 텔레그램 채널에는 개념증명용 익스플로잇이 하나 올라왔다. 이를 보안 업체 클라우드섹(CloudSEK)이 다운로드 받아 분석했다. 그 결과 이 익스플로잇은 아직 CVE 번호가 부여되지 않은 취약점을 공략해 원격에서 인증 절차를 1초만에 통과하고 LDR 레이어에 접근할 수 있게 해 준다는 걸 알아냈다. LDR 레이어는 한 조직 내 다양한 로컬 네트워크를 편리하게 연결하는 데 사용된다.

드래곤포스 말레이시아는 이 익스플로잇을 활용해 인도의 기업들을 공격할 것이라고 예고했다. 이들은 지난 3개월 동안 중동과 아시아 지역의 정부 기관들과 기업들을 공격해 왔다. 보안 업체 라드웨어(Radware)의 사이버 위협 첩보 수장인 다니엘 스미스(Daniel Smith)는 “드래곤포스 말레이시아는 러시아-우크라이나 전쟁에 핵티비스트들의 관심이 쏠린 것과 달리 자신들의 활동을 꾸준히 이어가고 있다”고 말하며 “지정학적인 소란이 가장 시끄러울 것으로 기록될 2022년, 드래곤포스 말레이시아 역시 조용히 역사의 한 장을 기록할 것으로 보인다”고 설명한다.

가장 최근의 드래곤포스 말레이시아의 활동은 옵스파툭(OpsPatuk)이라는 캠페인을 통해 확연히 드러난 바 있다. 이 작전은 6월에 처음 시작됐으며, 이미 여러 정부 기관들에서 데이터 침해 사고와 디도스 사건을 일으켰다. 100개가 넘는 웹사이트들에서 변조 공격을 실시하기도 했다. “드래곤포스 말레이시아는 당분간 자신들의 이념과 정치적 사상을 표현하기 위해 각종 새로운 캠페인을 진행할 것으로 보입니다. 멀웨어까지 활발하게 개발하는 핵티비스트 단체가 소리 소문 없이 활동하고 있다는 걸 알아둘 필요가 있습니다. 지금 동부 유럽만이 문제인 것은 아니라는 겁니다.”

윈도 서버 로컬 권한 상승
보통 보안 담당자들은 원격 코드 실행 공격을 가능하게 하는 익스플로잇에 대해서는 꽤나 경계한다. 하지만 로컬 권한 상승(LPE) 익스플로잇에 대해서는 조금 마음을 놓는 편이다. 로컬 권한 상승 취약점을 익스플로잇 한 공격자는 일반적인 사용자의 자격으로 시스템에 접속해 시스템(SYSTEM) 권한에까지 도달할 수 있게 된다. 시스템 권한은 윈도 환경에서 가장 높은 권한 중 하나로, 이를 가진 자는 네트워크 내 거의 모든 데이터에 접근할 수 있게 된다. 그러므로 간과할 수 없는 익스플로잇이라고 할 수 있다.

높은 권한을 얻게 된 공격자는 다음과 같은 행위들을 자유롭게 할 수 있게 된다.
1) 시스템 내 각종 사안들을 수정할 수 있다.
2) 서비스들에 저장된 각종 크리덴셜을 훔칠 수 있다.
3) 침해된 시스템에 접속하는 다른 사용자들의 크리덴셜도 훔칠 수 있다.
4) 각종 관리자 기능을 수행할 수 있다.
5) 임의의 소프트웨어(멀웨어 포함)를 실행할 수 있다.
6) 데이터를 훔치고 백도어를 심어 공격 지속성을 확보할 수 있다.
7) 네트워크 내에서 횡적으로도 움직일 수 있게 된다.

클라우드섹의 수석 위협 분석가인 다르싯 아샤라(Darshit Ashara)가 발견하고 분석한 공격 시나리오 중 하나는 다음과 같다. “드래곤포스 말레이시아는 웹 애플리케이션 기반 취약점들은 제법 간단하게 익스플로잇 할 수 있습니다. 이를 통해 최초 침투를 성공시키고, 웹 기반 백도어를 심어두죠. 웹 서버가 호스팅된 기계는 보통 사용자 권한을 가지고 있는데요, 이 때 로컬 권한 상승 익스플로잇을 사용함으로써 더 높은 권한을 가져갈 수 있게 됩니다. 침투했는데 권한을 높일 수 없다면 사실 침투 자체가 무의미하게 되거든요. 반대로 권한을 높일 수 있으면 한 개의 웹사이트가 아니라 그 웹사이트가 호스팅된 서버 내 다른 웹사이트들까지도 침해할 수 있게 되고요.”

잘 패치되지 않는 로컬 권한 상승 취약점
레어스 컨설팅(LARES Consulting)의 엔지니어링 국장인 팀 맥거핀(Tim McGuffin)은 “로컬 권한 상승 취약점은 대부분 최초 침투와는 관련이 없는 취약점이기 때문에 대부분 조직들에서 중요하게 생각하지 않는다”고 말한다. “침투만 하지 못하게 하면 아무 소용 없는 것 아니냐,는 생각이죠. 실제 많은 기업들이 최초 침투를 막기 위해 접근 제어와 같은 부분에 많은 투자를 하는 편입니다. 하지만 침투를 100% 막을 수 있는 게 아니라면 권한 상승 취약점 역시 분명히 염두에 두어야 합니다. 이 권한 상승 때문에 피해가 실제적으로 증폭하니까요.”

보안 업체 디지털셰도우즈(Digital Shadows)의 위협 첩보 분석가인 니콜 호프만(Nicole Hoffman)은 “취약점마다 중요도가 다른 것 자체는 사실”이라고 말한다. “모든 취약점들이 익스플로잇 되는 것도 아니고, 실제 익스플로잇이 매우 어려운 취약점들도 있죠. 모든 취약점을 다 패치하고 모니터링 할 필요는 없습니다. 어떤 취약점은 급히 패치되어야 하지만, 어떤 취약점은 좀 기다려도 됩니다. 권한 상승 취약점의 경우는 ‘침투가 먼저 이뤄져야 한다’는 전제 조건이 있긴 하지만, 그 전제 조건의 성립은 전혀 어려운 것이 아닙니다.”

호프만은 “많은 기업들이 관리자급 계정을 직원들에게 제공하고 있기도 하다”는 지적을 잊지 않는다. “제가 알기로 높은 권한의 관리자 계정이 정말 필요한 사람들에게만 소수 제공되는 기업은 그리 많지 않습니다. 효율적인 업무 처리와 생산성 향상을 위해 대부분의 직원들에게 관리자급 계정이 제공되죠. 이렇게 관리자 계정이 많은 상황에서 공격자들이 로컬 권한 상승 익스플로잇을 가지고 침투하면 어떻게 될까요? 악성 행위를 숨기기에 아주 편안한 환경이 되죠. 권한도 아주 편리하게 상승시킬 수 있는 것은 물론이고요. 일반 임직원의 생산성이 올라가는 것만큼 공격자의 생산성도 올라갑니다.”

드래곤포스 말레이시아처럼 익스플로잇 코드를 공개한 것도 문제다. “다른 사이버 공격자들이 코드를 다운로드 받아 여러 가지 모양으로 수정하며 응용 공격을 이어가는 건 흔히 있는 일입니다. 심지어 공개된 코드를 기반으로 보다 고급스러운 공격 도구가 나오는 데에 긴 시간이 걸리지도 않습니다. 선배들의 도구를 받아다가 실험해보고 싶어 하는 아마추어 해커들은 셀 수 없이 많고요. 아마 이 익스플로잇 코드를 기반으로 한 스캔 행위는 벌써 대규모로 일어나고 있을 거라고 봅니다.”

드래곤포스 말레이시아, 랜섬웨어 공격자로 둔갑하려나
드래곤포스 말레이시아는 자신들의 소셜미디어 계정을 통해 랜섬웨어 공격을 실시할 것이라고 예고하기도 했다. 물론 핵티비스트의 정체성을 버리고 랜섬웨어 범죄자 집단으로 변질될 것이라는 뜻으로 보이지는 않는다. 호프만은 “대규모 랜섬웨어 공격을 예고했다고 해서 반드시 이들이 범죄자 집단으로 변할 것이라고 볼 수 없다”며 “일단 랜섬웨어를 언급함으로써 주목을 끌려 하는 것일 수 있다”고 설명한다. “사이버 범죄자들 사이에서 흔히 나타나는 홍보 전략 중 하나입니다.”

맥거핀의 경우 “핵티비스트 그룹이 랜섬웨어라는 파괴적인 전략을 이용하는 건 흔히 볼 수 없는 일”이라는 입장이다. “웹사이트를 변조하거나 디도스 공격을 하는 것과, 랜섬웨어 공격을 하는 건 차원이 다른 일입니다. 파괴력의 정도가 완전히 다르죠. 하지만 동시에 핵티비스트 단체들이라고 해서 돈이 안 필요한 건 아닐 겁니다. 자신들이 옳다고 믿는 메시지를 세상에 전파하기 위해서는 자금이 필요한 게 사실입니다. 결국 당장은 아니더라도 이들 역시 사이버 범죄 단체로 전락할 가능성이 얼마든지 있다고 봅니다.”

아샤라 역시 드래곤포스의 랜섬웨어 활용 전술을 가볍게 흘려 들을 수 없는 소식이라는 데 동의한다. “아마 이들의 본 뜻은 최대한 많은 충격을 주는 것이지, 피해를 입히고 금전적인 수익을 거두는 데 있지 않을 겁니다. 핵티비스트란 자신들의 명예와 메시지, 이념을 지키는 게 더 중요한 부류들이거든요. 차라리 파괴형 멀웨어를 사용하는 게 핵티비스트들에게는 더 어울립니다. 물론 시간이 지나면서 어떻게 변할지는 아무도 확신할 수 없겠죠.”

3줄 요약
1. 핵티비스트 단체 드래곤포스 말레이시아, 권한 상승 익스플로잇 공개.
2. 권한 상승 취약점은 ‘최초 침투’ 없이 익스플로잇할 수 없어서 간과되는 게 보통.
3. 드래곤포스 말레이시아, 조만간 랜섬웨어라는 전략 활용할 듯.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>