다시 돌아온 굿로더, 도메인 컨트롤러 노려

유명 악성코드인 굿로더(GootLoader)가 새롭게 활동량을 증가시켰다. 보안 기업 헌트레스(Huntress)가 경고한 바에 의하면 지난 10월 27일 이후에만 세 건의 굿로더 감염 사태가 발생했다고 한다. 굿로더는 지난 3월 잠깐 급증했다가 잠잠했었다. “굿로더가 돌아온 듯 합니다.” 헌트레스의 경고다.

새로운 난독화 기법

“이번에 나타난 굿로더는 커스텀 WOFF2 폰트를 활용해 파일명을 읽기 힘들게 만들고 있습니다.” 커스텀 WOFF2 폰트를 활용했다는 건, 일반인들의 눈에 보이는 글자와 컴퓨터가 읽어들이는 값 사이에 차이를 두었다는 의미다. 예를 들어 일반인들이 h라고 인식하는 문자(혹은 그와 비슷하게 생긴 문자)가 사실은 a로 인식되게 커스터마이징 하는 식이다. 그렇게 하면 눈으로 악성 첨부파일을 걸러내는 게 힘들어진다.

그러면 이 악성 첨부파일은 어디서 피해자들을 유혹하고 있을까? 이번 캠페인의 경우, 워드프레스 기반 사이트의 댓글 기능에서다. 집(zip) 압축파일 형태로 댓글 창에 나타나 꼬리를 살랑살랑 흔든다. 폰트를 커스터마이징 했기 때문에 파일 이름은 전혀 수상하지 않다. 이에 피해자가 속아 파일을 다운로드 받은 후 압축을 풀면 악성 자바스크립트가 나타난다. 이 자바스크립트 파일은 XOR이라는 알고리즘으로 암호화 되어 있다. 

“암호화 되어 있기 때문에 집 아카이브가 멀웨어 탐지 엔진에 탐지되지 않습니다. 아카이브 안에 있는 모든 파일들이 각각 고유한 XOR 알고리즘으로 암호화 되어 있으며, 복호화 후 본래의 악성 기능을 가동시키기 시작합니다. 본래의 악성 기능이란, 백도어 설치, 원격 접속, 추가 페이로드의 다운로드 등을 말합니다.”

현재까지 어떤 피해 있었나?

이번 굿로더 캠페인 3건에서 2건은 도메인 컨트롤러를 겨냥해 벌어졌다고 한다. 최초 감염이 시작되고서 17시간 내에 도메인 컨트롤러에 접근하는 데 성공한 것으로 분석됐다. 도메인 컨트롤러는 조직 전체의 IT 인프라를 제어하는 일종의 ‘열쇠 꾸러미’에 해당한다. 따라서 도메인 컨트롤러가 침해됐다는 건 매우 심각한 사건이다. 

17시간이면 관점에 따라 빠를 수도 있고 늦을 수도 있는 시간이다. 보안 기업 맨디언트(Mandiant)가 이전에 발표한 보고서에 따르면 공격자의 침해 사실을 발견하는 데 걸리는 시간은 수십일 정도라고 하는데, 이러한 방어자 관점에서 보면 17시간은 빠른 편이라고 할 수 있다. 

반면 보안 기업 크라우드스트라이크(CrowdStrike)의 보고서에 의하면 공격자가 최초 침투 후 횡적 움직임을 시작하는 데 걸리는 평균 시간은 1~2시간이라고 한다. 이러한 공격자 관점에서 봤을 때 17시간은 느리다고 볼 수 있다. 다만 1~2시간은 횡적 움직임을 ‘시작’한 시기를 말하는 것이기 때문에 도메인 컨트롤러에 완전히 도달하는 데 걸린 시간인 17시간과는 다소 다른 맥락이긴 하다.

굿로더 설치에 성공한 공격자는 그 후 서퍼(Supper)라고 하는 백도어를 심은 것으로 조사됐다. 서퍼는 원격 셸 접근을 가능하게 하는 멀웨어로, 공격자가 피해자 네트워크를 발판으로 삼아 추가 공격을 하는 기반을 마련한다고 헌트레스는 설명한다. 그 외에 도메인 컨트롤러 관리자 계정을 새롭게 추가하기도 했다. 이는 공격 지속성 확보를 위한 움직임이라 할 수 있다.

이번에 다시 나타나기 전 굿로더는 랜섬웨어 유포와도 연루됐었다. 다양한 랜섬웨어들이 굿로더에 올라타 퍼진 건데, 이번 캠페인에서는 그러한 조짐이 아직까지 나타나고 있지 않지만 앞으로 그런 사태로 발전할 가능성은 충분하다. 

배후에는 누가?

굿로더의 제작자나 운영자에 대해서 명확히 알려진 바는 아직 없다. 다만 하이브0127(Hive0127)이라는 이름으로 알려진 공격 단체가 연루되어 있을 가능성이 높아 보인다. 굿로더는 일종의 로더이기 때문에 그 자체로 심대한 피해를 주는 것은 아니다. 굿로더가 어떤 추가 페이로드를 로딩하느냐에 따라 피해가 달라진다. 그렇기 때문에 굿로더는 여러 유형의 공격자들이 자신의 페이로드를 피해자 시스템에 전달하기 위한 수단으로 활용된다. 즉, 단일 공격 단체가 배후에 있는 건 아니라는 뜻이다.

실제 작년 9월 MS는 자체 보고서를 통해 바닐라템피스트(Vanilla Tempest)라는 해킹 단체가 굿로더를 사용해 캠페인을 벌이고 있다고 발표한 바 있다. 당시에도 공격자들은 굿로더를 통해 서퍼를 유포했었다. 그 외에도 원격 접속 도구인 애니데스크(AnyDesk)를 심은 전적도 가지고 있다. 그 후 굿로더는 잉크(INC)라는 랜섬웨어의 배포와 연루되기도 했었다.

어떻게 방어하나?

굿로더에 감염됐다는 건 대단히 많은 악영향이 있을 수 있다는 것을 뜻한다. 따라서 굿로더부터 제대로 방어한다면 피해 확산을 효과적으로 막을 수 있기도 하다. 굿로더를 막기 위해 헌트레스는 다음 몇 가지를 권장한다.

1) 굿로더를 활용한 공격자가 WinRM과 RDP를 통해 횡적 이동한 흔적이 나타났다. 따라서 이 두 가지를 통한 접근을 잠정적으로 제한할 필요가 있다.

2) 도메인 컨트롤러의 관리자 계정들을 전수 파악한다. 이전에 없던 것이 있으면 출처를 확인하고 삭제한다.

3) 공격자들은 워드프레스 댓글 기능을 악용하기 위해 광고나 검색 결과 창을 악용했다. 그러므로 워드프레스 사이트로 접속시키는 광고나 링크는 클릭하지 않는 게 안전하다.

4) 집 파일을 인터넷에서 다운로드 받았다면 압축 해제 전에 바이러스토탈 등의 서비스를 통해 검사한다. 어지간하면 이런 파일은 다운로드 받지 말고, 열어보지도 않는 게 안전하다.

5) 브라우저에서의 스크립트 실행을 제어해야 한다. 샌드박스 환경에서만 다운로드 된 파일이나 스크립트를 실행할 수 있게 한다.

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Gootloader Malware Resurfaces with 3 Advanced Evasion Tactics, Technijian, 2024년
• Gootloader | Red Canary Threat Detection Report, 2024년
• 2024 Threat Landscape Statistics – Gootloader Malware Analysis, Rapid7, 2024년
• Tracking the Evolution of GOOTLOADER Operations, Google Cloud Blog, 2024년

멀웨어에서 플랫폼으로 진화한 속골리시 주의보

💡Editor’s Pick - 2017년 처음 나왔을 때만 해도 단일 멀웨어였는데 - 이제는 대형 해커들이 대여해 쓰는 공격 인프라 - IAB로 전환하는 게 다크웹에서 유행 전 세계적으로 광범위하게 펼쳐져 있는 사이버 공격용 네트워크를 통해 랜섬웨어와 정보 탈취 멀웨어가 퍼지고 있다. 보안 기업 트러스트웨이브(Trustwave)에 따르면 이 악성 인프라는 속골리시(SocGholish)

The Tech Edge문가용 기자

어쩌면 LLM 기반 멀웨어의 시조새, ‘말터미널’ 등장

💡Editor’s Pick - LLM을 보다 적극적으로 이용하려는 멀웨어 - 공격 시점에 실시간으로 악성코드 생성 - 아직 실제 피해 사례 없어...방어자들의 학습 도구일 수도 대형 언어 모델(LLM) 기능을 내장한 악성코드의 최초 버전으로 의심되는 샘플이 발견됐다. 보안 업체 센티넬원(SentinelOne)에 의하면 이 멀웨어의 이름은 말터미널(MalTerminal)이라고 한다. “인공지능

The Tech Edge문가용 기자