posted by 알짜 정보 岳岩 2019.08.31 07:16

2년 전부터 활동해온 멀웨어...최근 암호화폐 채굴하며 다시 등장
추적하다보니 C&C 서버의 취약점 발견돼...자가 삭제 기능 삽입해 일망타진


[보안뉴스 문가용 기자] 전 세계 85만 대 이상의 윈도우 장비를 감염시킨 악성 웜 레타덥(Retadup)이 국제 공조에 의해 무력화됐다. 여기에 참여한 기관은 프랑스국립경찰(French National Gendarmerie) 소속 사이버 범죄 대응 센터(C3N)와 미국 FBI, 보안 회사 어베스트(Avast)라고 한다.

[이미지 = iclickart]


레타덥이 최초로 공개된 건 2017년의 일이었다. 보안 업체 트렌드 마이크로(Trend Micro)가 상세한 보고서를 발표했었다. 당시 레타덥은 이스라엘의 병원들을 공격해 정보를 훔쳐내고 있었다. 그리고 수개월이 지나서 레타덥의 또 다른 변종이 나타나 남미의 공업 기관들과 정부 기관들을 공격했다. 그리고 2년이 지난 올해, 어베스트가 또 다른 레타덥 캠페인을 적발해 발표했다. 올해의 레타덥 캠페인은 암호화폐 채굴과 관련이 있었다.

어베스트의 연구원들이 레타덥을 면밀히 관찰하기 시작한 건 2019년 3월부터다. 모네로를 채굴하는 멀웨어인 XM리그(XMRig)가 새롭게 활동을 시작한 것이 계기가 됐었다. 탐지를 우회하기 위한 고급 기능을 동반했었던 당시의 XM리그를 추적하다가 레타덥을 발견할 수 있었다고 한다. 당시 공격자들은 라틴아메리카 지역 중 스페인어를 구사하는 나라에서 주로 활동하고 있었다.

레타덥은 주로 악성 LNK 파일을 연결된 드라이브들에 심음으로써 세력을 확장한다. 시스템 내 모든 드라이브들에 LNK 파일을 심는데, C 드라이브만은 예외다. 그리고 선택된 드라이브의 루트 폴더에 있는 모든 폴더들에 LNK 파일을 심어 실제 폴더처럼 보이도록 스스로를 위장한다. 여기에 속은 사용자가 LNK 파일을 클릭할 경우, 악성 스크립트가 실행된다. 그러나 XM리그가 최초로 감염되는 경로는 어베스트와 트렌드 마이크로 모두 찾아낼 수 없었다.

XM리그는 암호화폐를 채굴할 때 CPU 자원을 모두 사용하지 않는다. 어베스트의 연구원인 얀 보이테섹(Jan Vojtesek)에 의하면 “들키지 않고 최대한 오랫동안 채굴을 지속하기 위해서”라고 한다. “CPU를 다 소모하는 암호화폐 채굴 코드라면, 사용자가 ‘시스템이 평소보다 느리다’는 걸 알아챌 수밖에 없거든요. 또한 XM리그는 taskmgr.exe라는 프로세스가 실행될 때는 채굴을 그만둡니다.”

XM리그에 더해 어베스트의 연구원들은 레타덥의 인스턴스들이 스톱(Stop)이라는 랜섬웨어와 아르케이(Arkei)라는 비밀번호 탈취 멀웨어를 배포하고 있다는 것도 발견했다. 불행 중 다행이라면 스톱 랜섬웨어는 실험 중에 있는 초기 버전으로 보인다는 것이었다. “채굴 코드로 재미를 본 공격자들이 랜섬웨어로 추가 사업을 벌이려는 것으로 보입니다.” 보이테섹의 설명이다.

레타덥의 C&C 통신 인프라는 꽤나 간단한 구조였다. 보이테섹에 의하면 “너무 기초적인 구성으로 만들어져 있었고, 설계상에 오류도 있었기 때문에 감염된 장비들로부터 레타덥을 간단히 제거할 수 있었다”고 한다. 그리고 해당 오류를 통해 서버로도 거슬러 올라가 레타덥을 광범위하게 제거할 방법도 찾아냈다.

“레타덥의 C2 인프라는 대부분 프랑스에 위치해 있었습니다. 그래서 저희는 프랑스국립경찰에 연락해 연구 자료를 공유하고 레타덥 제거를 위한 작전을 제안했습니다. 물론 그러면서 저희가 발견한 방법이 확실한가를 계속해서 연구했습니다. 정말로 된다는 확신이 섰을 때, 경찰 측과 공조해 보다 면밀한 전략을 수립했고, 그 계획에 따라 작전을 실행했습니다.”

어베스트는 경찰이 검찰 측과 공조를 이뤄가는 동안 계속해서 레타덥 제거 작전을 실험하고 또 실험했다고 한다. 무력화시키면서 발생할 수 있는 위험 요소들을 전부 알아내기 위해서였고, 무고한 피해자의 데이터가 손상되거나 변질되는 일이 없도록 계속해서 확인 작업을 거쳤다.

드디어 작전 실행 일자가 7월로 정해졌고, 어베스트는 경찰과 함께 범인들의 C2 서버를 자신들이 만든 ‘감염 해제용 서버’로 교체했다. 이 서버를 통해 레타덥은 각 시스템에서 자가 삭제를 시작했다. 현재까지 이런 식으로 구출된(?) 장비는 85만 대가 넘는 상태다. C&C 서버로 연결한 인스턴스들은 전부 제거됐다.

일부 C&C 인프라는 미국에도 있었다. 프랑스 경찰은 FBI에 이와 같은 소식을 전달했고, FBI도 레타덥 제거에 나섰으며, 굉장히 많은 레타덥 인스턴스들이 사라진 상태다. 따라서 피해자들의 CPU를 소모해 암호화폐를 채굴하던 범죄자들의 행위는 상당 부분 사라졌다. 보안뉴스

3줄 요약
1. 2017년부터 활동해왔던 악명 높은 멀웨어 레타덥, 최근 국제 공조로 무력화 됨.
2. 어베스트, XM리그 뒤쫓다가 배후에 있던 레타덥 발견하고 C&C 서버의 취약점도 찾아냄.
3. 경찰과의 공조로 공격자의 서버를 ‘자가 삭제 서버’로 교체해 레타덥에 감염된 장비 85만 대가 복구됨.

댓글을 달아 주세요