DNS 탈취해 가짜 사이트로 유도··· 'DNS피오나지' 공격이 진화한다

'DNS피오나지(DNSpionage)'라고 불리는 도메인 네임 시스템(DNS) 공격의 배후 세력이 새로운 툴과 악성코드를 활용해 진화하고 있다는 분석이 나왔다.
 

지난해 11월 DNS피오나지를 발견한 시스코 탈로스(Cisco Talos)의 보안 연구원들은 최근 이 악명 높은 공격의 새로운 익스플로잇과 기능, 위협에 대해 경고했다. 

탈로스 측은 “이 공격의 배후 세력은 지속적으로 DNS피오나지 악성코드를 개량하고 있다. 감지나 탐지를 피할 새로운 공격 방법을 찾는 것이다. DNS 터널링(DNS tunneling)은 널리 사용되는 공격 기법이다. 그러나 최근의 DNS피오나지 공격 사례를 보면 이제 기업이 DNS를 일반적인 프락시나 웹로그처럼 세밀하게 모니터링해야 할 때가 도래했음을 알 수 있다. DNS는 인터넷의 ‘전화번호부’다. 이를 해킹해 조작하면 온라인에서 보는 것이 피싱 사이트인지 아닌지 알아채기 매우 힘들다"라고 설명했다.

탈로스의 보고서를 보면 DNS피오나지 공격의 첫 표적은 중동의 여러 기업과 UAE 정부 도메인이었다. 또 악성 웹사이트 2곳에 구직 관련 게시글을 올려, 매크로를 심은 마이크로소프트 오피스 문서로 공격 목표를 노렸다. 이 악성코드는 이렇게 장악한 목표와 공격자 간의 HTTP, DNS 통신 역할을 담당했다.

또한 공격의 배후 세력은 다른 DNS피오나지 공격과 같은 IP 주소를 사용해 적법한 정부 및 민간 기업 도메인의 DNS를 리디렉션했다. DNS마다 리디렉션한 도메인을 대상으로 하는 ‘Let’s Encrypt’라는 인증서를 생성했는데, 탈로스의 설명에 따르면, 이는 사용자에게 무료로 TLS(Transport Layer Security)용 X.509 인증을 제공한다.

여기서 그치지 않았다. DNS피오나지 공격 세력은 최근 C2(Command & Control)와 HTTP 및 DNS 통신을 할 수 있는 새로운 원격 관리 툴을 만들었다. 탈로스는 “공격자들은 기존까지 악성 매크로를 마이크로소프트 워드 문서에 심는 방법을 사용했다. 그런데 올 2월 말 레바논에서 발견한 새 표본에서는 엑셀 문서에 유사한 매크로를 사용했다. 이 악성코드도 C2 서버와 HTTP 및 DNS 통신을 지원하는데, 새 표본의 경우 위키피디아 대신 기트허브 플랫폼을 모방했다는 점에서 차이가 있었다. 이밖에도 새로운 기능 일부를 추가했고 디버그 모드를 없앴다”라고 설명했다.

탈로스는 C2 공격에 사용된 도메인에서 ‘이상한 점’도 발견했다. 업체는 “이전 DNS피오나지 버전은 감지되는 것을 계속 피하기 위해 적법해 보이는 도메인을 사용하려 했다. 그러나 새 버전은 ‘coldfart[.]com’ 도메인을 사용한다. 다른 APT 공격 작전보다 더 쉽게 감지할 수 있는 도메인이다. 또한 ‘정찰형’ 공격에는 예상과 달리 미국에 호스팅이 된 도메인을 사용했다"라고 설명했다.

즉, 탈로스 연구원들은 DNS피오나지에 '정찰' 단계가 추가된 것을 발견했다. 무차별적으로 모든 머신에 페이로드를 다운로드하는 대신, 특정 표적에만 설치하게 하는 별도 단계를 둔 것이다. 정찰 단계 동안에는 플랫폼에 특정적인 정보, 도메인과 로컬 컴퓨터 이름, 운영 체제 관련 정보 등 워크스테이션 환경에 대한 정보를 반환한다. 악성코드가 표적만 선별하고, 연구원이나 샌드박스는 피하도록 도움을 주는 정보다. 결국 공격 주체의 능력이 강화된 것을 알 수 있다. 이제 표적을 더 세밀하게 정할 수 있게 된 것이다.

이런 새로운 전술은 기존 DNS피오지나에 대한 대응을 강화하면서 이에 대해 다시 공격 집단이 새로운 대응에 나서고 있음을 보여준다. 탈로스는 DNS피오지나 공격에 대한 다른 보고서 몇 개에 대해서도 언급했다. 예를 들어, 미국 국토안보부는 사용자에게 비슷한 위협 활동을 경고하는 자료를 발표했다. 탈로스는 “이 위협 활동에 대한 보고가 증가하고 있는 것 외에 DNS피오지나 공격 이면의 위협 주체가 계속 전술을 바꾸고 있다는 새로운 증거를 발견했다. 결국 해킹 성공률을 높이려 시도하고 있다”라고 말했다.
 
지난 4월, 시스코 탈로스는 닷넷에서 개발된 기록이 없는 악성코드를 발견했다. 표본 분석 결과 악성코드를 만든 이는 일반 텍스트 형식으로 이름 2개를 남겨뒀다. 하나는 ‘DropperBackdoor’, 다른 하나는 ‘Karkoff’였다. 탈로스는 “크기가 작아 다른 악성코드보다 가벼우며, C2 서버에서 원격으로 코드를 실행할 수 있다. 난독화(Obfuscation)가 없어 코드를 쉽게 해체할 수 있다”라고 설명했다. 

Karkoff 악성코드는 아비라(Avira)와 어베스트(Avast) 등 2개 바이러스 백신 플랫폼을 검색해 이를 우회한다. 탈로스는 “Karkoff 관련 증거를 보면, 공격 주체의 우회 능력과 감지 회피 능력이 향상됐다. 계속 중동 지역에 초점을 맞추고 있다”라고 설명했다.

특히 탈로스는 최근 자세한 정보를 공개한 ‘Sea Turtle’과 DNS피오지나를 구분해 설명했다. ‘Sea Turtle’은 국가의 지원을 받는 해커 관련 공격이다. 목표로 한 DNS를 해킹, 계정을 탈취해 피해자가 감지하지 못하는 상태에서 요주의 네트워크와 시스템에 대한 액세스 권한을 확보한다. 이는 DNS 조작 방법에 있어 뛰어난 지식과 정보를 확보하고 있음을 의미한다.

해커는 이런 방식으로 공격 목표의 DNS를 통제해 목표가 인터넷을 통해 받는 데이터를 변경하거나 위조하고, DNS 이름 기록을 불법 변경해 사용자를 해커가 통제하는 서버로 유도할 수 있다. 물론 이 모든 과정은 사용자가 모르는 상태에서 진행된다. 탈로스는 "Sea Turtle은 주로 중동과 북아프리카의 국가 보안 조직이 주 표적이다. 특정 공격 작전의 결과를 과장할 생각은 없지만, 이러한 해킹이 성공하면서 해커 조직이 더 광범위하게 글로벌 DNS 시스템을 공격할까 우려하고 있다”라고 밝혔다. ciokr@idg.co.kr