DLL 로딩 순서 조작하는 새 트로이목마, 스캐빈저
- 새 트로이목마 스캐빈저 발견됨
- 기존 트로이목마와 달리 DLL 로딩 순서를 악용함
- 소프트웨어 개발사의 협조 수준은 미미
새 트로이목마가 등장해 활발히 퍼지고 있다. 이름은 스캐빈저(Scavenger)인데, 기존 트로이목마들과 다른 점들이 있다. 이에 대해 발표한 보안 업체 닥터웹(Doctor Web)에 따르면 “단순히 백그라운드에서 데이터를 훔치는 트로이목마가 아니라, 윈도의 취약점을 교묘하게 악용해 암호화폐 지갑과 비밀번호 관리자의 중요 정보를 빼돌리는 새 멀웨어”라고 한다.
캠페인은 유명 게임의 이름을 악용하는 것으로부터 시작한다. “오블리비언 리마스터(Oblivion Remastered)라는 게임이 사용자들 사이에서 인기가 높습니다. 공격자들은 악성 DLL 파일을 이 게임의 기능 강화 패치로 꾸며 퍼트렸습니다.” 보안 패치라고 하면 잘 받지 않는데, 기능을 더 해준다는 패치이니 게이머들이 주목하게 됐다고 닥터웹은 지적한다. “설치 방법도 안내돼 있었습니다. DLL 파일을 게임 폴더에 붙여넣으라는 것이었죠.”
문제는 이 DLL 파일이 실제 존재하는 윈도 DLL 파일과 이름이 동일했다는 것이다. “이름만 진짜와 같은 게 아니었습니다. 시스템에서 DLL을 로딩할 때 진짜 DLL이 아니라 바로 이 가짜 DLL이 로딩되도록 설계되기도 했습니다. 이게 가능한 건 오블리비언 리마스터 일부 버전의 DLL 로딩 순서가 그런 식으로 짜여져 있기 때문입니다.”
이런 공격법을 ‘DLL 검색 순서 하이재킹(DLL Search Order Hijacking)’이라고도 부른다. “악성 파일이 진짜 파일보다 먼저 로딩되도록 꾸미는 기법입니다. 이로써 가짜 파일이 진짜 파일인 것처럼 작동하며, 진짜 파일로 인해 생성되는 프로세스의 모든 권한을 가져갈 수 있게 됩니다.”
이 가짜 DLL은 스캐빈저였다. 스캐빈저가 실행되면 무슨 일이 일어날까? “스캐빈저2를 다운로드 받습니다. 그 후 스캐빈저3과 스캐빈저4가 차례로 설치됩니다. 스캐빈저3은 시스템 라이브러리로 위장돼 있으며, 크롬, 에지, 오페라, 얀덱스 등 크로미움 기반 브라우저의 폴더 안에 배치됩니다. 이렇게 함으로써 스캐빈저3 역시 실제 시스템 라이브러리보다 먼저 로딩됩니다.”
먼저 로딩된 스캐빈저3은 브라우저의 내부 보안 기능들을 조작하기 시작한다. 샌드박스를 비활성화 하고, 각종 플러그인을 통한 보안 기능들을 확인해 차단한다. 그 다음 인기 플러그인들이 있는지 확인하여 복사본을 생성합니다. “원본을 훼손하거나 조작하지 않습니다. 복사본을 자기들 마음대로 주무를 뿐입니다. 다만 브라우저가 원본이 아니라 복사본을 먼저 로딩하도록 꾸밉니다. 로딩된 상태에서 이 복사본들은 입력된 정보들 혹은 브라우저에 저장된 정보들을 공격자들의 서버로 전송합니다.”
이런 플러그인 조작 공격의 대상이 되는 플러그인들은 다음과 같다고 닥터웹은 보고서를 통해 알렸다.
1) 슬러시(Slush)
2) 팬텀(Phantom)
3) 라스트패스(LastPass)
4) 메타마스크(MetaMask)
5) 비트워든(Bitwarden)
스캐빈저4는 스캐빈저3와 유사한 방식으로 작동하는데, 표적이 브라우저가 아니라 암호화폐 지갑이다. 특히 엑소더스(Exodus)라는 앱을 노려 공격을 시도하며, 탈취된 정보는 역시 공격자의 서버로 전송한다. 스캐빈저2의 경우 또 다른 게임과 관련된 DLL 파일로 위장할 때도 있고, .ASI 파일로 포장될 때가 있다. 공격자들이 그때 그때 변경을 주는 것으로 보인다.
모든 스캐빈저에는 공통점이 있다. “가상기계나 디버깅 환경에서 실행되고 있는지부터 확인하고 작동하기 시작합니다. 만약 의심스러운 신호들이 발견된다면 작동을 하지 않거나 멈춥니다. 보안 분석가들의 연구를 방해하려는 것입니다.
닥터웹 측은 DLL 순서 하이재킹 공격에 취약한 소프트웨어 개발자들에게 연락을 취했지만 대부분 수정을 거부했다고 알렸다. 이는 소프트웨어 기능성과 관련되어 있기 때문인 것으로 보인다. “즉 스캐빈저 공격과 관련해서는 고칠 수 없는 문제가 내재된 소프트웨어들이 세상에 존재한다는 것이죠.” 닥터웹은 안전을 위해서 이런 프로그램들의 목록을 상세히 공개하지는 않고 있다. “지금으로서 사용자들이 할 수 있는 건 소프트웨어 다운로드 출처를 확인하고, 공식 웹사이트나 채널에서만 받는 것입니다. 업데이트도 꾸준히 하고요.”
Related Materials
- Intruders in the Library: Exploring DLL Hijacking - Palo Alto Networks Unit 42 , 2024년
- HijackLoader: Modern DLL Sideloader and Malware Loader Case Study - Red Canary , 2025년
- Detecting DLL Sideloading Techniques in Recent Malware Campaigns - Securonix Threat Research , 2024년
- New Variant of DLL Search Order Hijacking Bypasses Windows Protections - The Hacker News , 2024년
