오늘은 이번 주 주요 정보보안 관련 기사들을 정리하고 요약해보겠다. 원래는 일요일에 해야 할 소재이지만, 앞으로에 대한 고민이 조금 더 필요할 것 같아 부득이하게 오늘 이 포스팅을 하는 것을 양해바란다. 오는 주말에는 이러한 고민이 결실을 맺었으면 좋겠다.
1. 2021년 1월 첫째 주 가장 많이 발견된 악성코드 TOP 5 (보안뉴스, 권준 기자 - 2021.01.18)
안랩 ASEC 분석팀에 따르면, 2021년 1월 첫째 주에 가장 많이 발견된 악성코드는 ‘Glupteba’라고 한다. 이 악성코드는 해당 기간에 집계된 표본 중 25.2%를 차지하였으며, 정상 프로세스로 위장하며 루트킷 드라이버를 가져온 뒤 최종적으로는 XMR 코인 마이너와 SMB를 통한 전파를 위해 이터널블루를 설치한다고 한다.
전체 표본 중 13.9%로 2위를 차지한 악성코드는 ‘AgentTesla’이다. 이 악성코드는 악성 메일을 통해 pdf, xlsx, dwg(Auto CAD 도면 파일) 등의 문서파일로 위장하여 유포되며 사용자 정보를 탈취한다.
이어서 ‘BeamWinHTTP’, ‘Formbook’, ‘Smoke Loader’가 각각 3, 4, 5위를 차지했으며 각 악성코드는 원치 않는 프로그램을 강제로 설치하거나(BeamWinHTTP), 사용자 정보를 탈취하거나(Formbook), 공격자가 강제로 원격조종을 하게 만드는 기능(Smoke Loader)을 수행한다.
2. 애플, 여론 악화되자 몰래 삽입했던 자사 앱 특전 기능 삭제해 (보안뉴스, 문가용 기자 - 2021.01.18)
애플은 MacOS Big Sur에서 탑재했던 ‘ContentFilterExclusionList’ 기능을 삭제했다는 소식이다. 해당 기능은 애플의 50여 개 퍼스트 파티 앱들에 한해 어플리케이션 방화벽 또는 VPN에서 사용되는 NEFilterDataProvider를 우회할 수 있게 해주었다.
이 기능으로 인해 해당 앱들을 통해 발생하는 트래픽을 방화벽으로 확인할 수 없게 되어 많은 보안 전문가들의 반발과 우려가 있었고, 애플은 그로 인해 조용히 해당 기능을 삭제했다고 한다.
3. 솔라윈즈 공격자들이 공략한 건 신뢰·클라우드 설정·365 인기 (보안뉴스, 문가용 기자 - 2021.01.20)
솔라윈즈 공급망 공격이 발생한지도 벌써 한 달도 더 넘었지만, 피해 규모는 꾸준히 불어나가고 있는 중이다. 미국의 보안 업체 멀웨어바이츠(MalwareBytes) 또한 솔라윈즈 공격으로 인해 메일 시스템 중 일부에 공격자가 침투한 피해를 입었다는데, 이 기업은 솔라윈즈의 고객사가 아니었다고 한다.
해당 기사 내에서는 솔라윈즈 공격자들이 유포한 악성코드 중 레인드롭(RainDrop)이라는 새로운 악성코드가 발견되었다고 되어있는데, 추후 기사(이 글의 4번 기사)를 통해 레인드롭은 기존에 발견된 티어드롭(Teardrop)과 동일한 악성코드라고 정정되었다.
미국의 보안 업체 파이어아이(FireEye)는 솔라윈즈 공격의 세부 사항을 공개하였으며 피해 여부를 확인할 수 있는 도구를 깃허브를 통해 무료로 배포하였다.
파이어아이를 비롯한 다수의 보안 업체 및 보안 전문가들은 솔라윈즈 공격자들이 마이크로소프트 365나 애저 등의 유명 클라우드 서비스를 겨냥하여 공격하였으며, 그 이유로 코로나 대유행으로 인한 클라우드 서비스 이전의 가속화, 해당 서비스들의 높은 인기(유명세), 미흡한 보안 설정, 안전하지 않은 데이터 처리 등을 지목하였다.
4. 솔라윈즈가 코발트 스트라이크가 되기까지, MS가 밝혀내 (보안뉴스, 문가용 기자 - 2021.01.21)
마이크로소프트는 자사의 블로그에 솔라윈즈 공격에 대한 상세 분석 보고서를 게시하였다. 해당 보고서에는 공격자들이 정상 프로세스에 코발트 스트라이크(Cobalt Strike) 사의 모의 해킹 도구들을 주입한 방법이 포함되어 있다.
보고서에 따르면, 우선 솔라윈즈 업데이트 파일로 위장한 솔로리게이트(Solorigate, 파이어아이에서는 SunBurst로 지칭)가 공격자와 통신을 시작하면, 이어서 레인드롭(Raindrop, 파이어아이에서는 Teardrop으로 지칭)이 추가로 감염된다. 이 레인드롭 악성코드를 통해 코발트 스트라이크 사의 모의 해킹 도구가 설치된다고 한다.
공격자들은 Event Triggerd Execution(이벤트 발동 실행)이라는 기법을 레인드롭을 감염시키는 트리거로 사용하였다고 한다. 특정 프로세스가 호스트 내에서 실행될 때에만 악성코드가 동작하게끔 만든다.
공격자들은 솔라윈즈의 프로세스가 시작될 때마다 Image File Execution Option(IFEO, 이미지 파일 실행 옵션) 레지스트리를 생성하게 만들었는데, 해당 레지스트리를 통해 악성 Visual Basic 스크립트를 실행하여 정상 프로세스에 코발트 스트라이크 사의 DLL 파일을 주입한 후 IFEO 레지스트리 값을 삭제한다고 한다.