암호화 철저하게 활용하는 멀웨어, Reddit 통해 소통

애플 패치 내놨으나 해적판 소프트웨어 통해 빠르게 확산 중

[보안뉴스 문가용] 백신 제작업체인 닥터웹(Dr.Web)은 지난 9월 29일 Mac.BackDoor.iWorm 멀웨어를 기반으로 한 대규모 봇넷을 발견했다. 여기에는 18,519개의 고유 IP주소로부터 컴퓨터가 연결되어 있는 것으로 드러났다.

Mac.BackDoor.iWorm 멀웨어는 C++와 루아로 개발되었으며 암호화를 굉장히 빈번하게 사용한다. 이 멀웨어를 최초로 실행하면 설정 데이터를 별도 파일에 저장하고 /Library 폴더 안에 있는 내용을 읽어들이는 시도를 한다. 설치된 애플리케이션들 중 멀웨어가 우회해야 할 것들을 파악하기 위해서다.

“우회해야 할 애플리케이션이나 디렉토리를 발견하지 못하면 시스템 쿼리를 사용해 맥 OS X 계정의 홈 디렉토리가 어디인지 찾아냅니다. 그런 후에 설정파일을 점검하고 활동을 계속하기 위해 필요한 코딩을 직접 삽입하죠. 다음으로는 감염된 컴퓨터의 포트를 개방해서 외부와의 연결을 구축합니다. 원격 사이트에 요청을 보내 컨트롤 서버 목록을 받아내고 그 서버에 연결한 후 추가 명령을 기다리죠.”

C&C 서버의 주소를 얻어내기 위해 멀웨어는 현재 날짜를 파악해서 그 값을 요일로 환산한다. 그런 후에 MD5 해시 기능을 그 값에 적용해서 reddit.com으로 쿼리를 보낸다. “MD5_hash_first8은 현재 날짜로부터 산출한 MD5 해시 값 중 첫 8바이트에 해당하는 값입니다.”

“요청을 받은 reddit.com은 vtnhiaovyd라는 계정이 올린 minecraftserverlists라는 포스팅의 댓글 형태로 봇넷 C&C 서버의 목록이 포함되어 있는 웹 페이지와 범죄자들이 개설한 포트 값을 되돌려줍니다. 서버 목록은 5분 간격으로 반복해서 검색됩니다. 사실 봇은 목록상에 있는 첫 29개의 주소 중에서 하나를 무작위로 골라낸 후 쿼리를 보냅니다. 그렇게 연결이 완성되면 Mac.BackDoor.iWorm 멀웨어가 예외 목록에 그 사이트가 포함되어 있는지를 재차 확인하고요.”

이게 그렇다고 Reddit의 존재 해악을 증명하는 건 아니라고 보안 전문가인 그래함 클룰리(Graham Cluley)는 설명한다. “레딧에서 이런 일이 벌어진다고 레딧을 없애라고 주장하는 건 잘못된 일입니다. 레딧이 없어지면 트위터나 또 다른 플랫폼을 활용하겠죠. 범죄 행위가 벌어지는 계정을 없앤다고 해서 근본적인 문제가 해결되는 것도 아니고요. 해커들 입장에서는 그저 새로 계정을 하나 파면 그만입니다.”

닥터웹에 따르면 이번 백도어 멀웨어는 /Library/Application Support/JavaW 디렉토리 내에서 언팩된다고 한다. 특별히 생성된 p-list 파일을 사용하면서 com.JavaW 애플리케이션인 것처럼 위장한 채로 /Library/LaunchDaemons/를 통해 자동으로 시작하기까지 한다고. “Mac.BackDoor.iWorm은 암호화를 철저하게 사용합니다. 이 멀웨어는 시작과 동시에 암호화를 위한 콘텍스트를 먼저 시작하고 제로 오프셋에서 2 바이트를 작성합니다. 이는 나중에 암호를 푸는 스트링의 열쇠로서 활용되죠.”

감염된 시스템이 주로 발견된 지역은 현재까지 미국, 캐나다, 영국으로 밝혀졌다. “물론 맥킨토시 컴퓨터가 최초로 감염된 사례는 아닙니다. 또한 2012년에는 6십만 대의 맥킨토시가 플래시백(Flashback) 웜에 한꺼번에 감염된 사례도 있었죠. 다만 그런 사건이 있은 후에도 맥 사용자들 사이에서 ‘우리는 안전하다’는 정서가 팽배해 있다는 것 자체는 짚고 넘어가야 합니다. 맥킨토시든 윈도우를 사용하는 시스템이든 최소한 백신 정도는 설치하고 사용해야 합니다.”

이에 따라 애플은 현지 시각으로 주말 동안 OS X의 업데이트를 발표했다. 동시에 Mac.BackDoor.iWorm 멀웨어의 새로운 국면 또한 발견됐다. 더파이럿베이(The Pirate Bay)가 이번 iWorm 사태의 배후에 있는 정황을 포착한 것이다. 보안 전문가인 토마스 리드(Thomas Reed)는 자신의 블로그를 통해 iWorm 설치파일을 해적판 포토샵 설치 패키지에서 발견했음을 밝혔다. “제가 해적판 포토샵을 설치하려고 했을 때 제일 먼저 화면에 뜬 것은 관리자 암호를 묻는 창이었습니다. 입력했더니 어도비의 공식 설치 마법사처럼 보이는 화면이 나오더군요. 하지만 이미 멀웨어는 그 뒤에서 다 깔린 상태였습니다. 암호를 입력하는 순간 iWorm이 깔린 것이죠.”

아직 평범한 트로이목마 이상의 기능을 발견하지 못하고 있어 맥 사용자 커뮤니티와 보안 전문가들 사이에서는 이런 저런 이야기가 오가고 있는 상태다. 다만 XProtect라는 맥킨토시 기초 안티멀웨어 시스템이 Mac.BackDoor.iWorm를 막는 데에 여전히 효과를 발휘하고 있다는 의견이 제시되고 있으며, 특히 최근 업데이트를 하면 plist 파일이 설치되는 걸 막을 수도 있다고 한다. 또 다른 편에서는 Mac.BackDoor.iWorm에는 그런 기본 방어책을 우회할 수 있는 기능도 가지고 있다고 하는데, 아직 정확히 밝혀진 바는 없다.

맥 사용자들이 감염여부를 스스로 확인하려면 /Library/Application Support/JavaW 폴더로 들어가서 iWorm 설치파일이 생성한 폴더가 존재하는지 점검해야 한다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>