원격 접근 트로이 목마를 제거하는 방법

센티넬원(SentinelOne)의 시큐리티랩스(SecurityLabs) CSO인 우디 샤미르는 "원격 접근 트로이 목마(Remote Access Trojans, RAT)는 합법적인 상업적 원격 관리 도구로 위장해 합법적인 네트워크 포트를 열고 일반적인 악성코드 기법과는 전혀 다른 형태로 작업을 수행하므로 이를 탐지하기란 상당히 어려울 수 있다"고 말했다.

2015년 2월 발행한 카스퍼스키랩(Kaspersky Labs)의 보고서 <카바낙 APT: 대규모 은행 강도>에 따르면, 이런 은밀성은 카바낙(Carbanak) 악성코드 RAT(Remote Access Trojans)를 사용해 전세계 은행을 감염시키고 돈을 훔쳐 최대 10억 달러로 추산되는 금융 피해를 일으킨 공격자에게 분명 도움이 되었을 것이다.

이런 야비하고 음험하고 취약점을 악용하는 소셜 엔지니어링 악성 도구에 대처하려면 이들의 특징을 파악하고 기능을 프로파일링하고, 차단하고, 고사시키고, 눈을 가리는 방법을 알아내 쫓아내야 한다.

백오리피스(BackOrifice) 이후 많은 것이 바뀌었다
RAT는 링크, 또는 PDF와 같은 첨부파일을 사용한 피싱 공격 소셜 엔지니어링을 통해 기업에 침투하는 경우가 가장 많다.

사이포트(Cyphort) CSO 펭민 공은 사용자가 PDF를 열면 PDF 내에 내장된 코드, 매크로, 자바스크립트가 취약점을 악용해 추가 요소를 다운로드하고 표적 시스템에 악성코드를 설치한다고 말했다. 또한 사용자가 감염된 사이트를 거쳐가는 중에도 침입이 발생할 수 있다.

일반적인 RAT에는 사쿠라(Sakula), KjW0rm, 하벡스(Havex), Agent.BTZ/ComRat, 다크 코메트(Dark Comet), 에일리언스파이(AlienSpy), 헤세베르 봇(Heseber BOT), 애니멀 팜(Animal Farm), 그리고 카바낙(Carbanak)이 있다.

최근 발생한 미국 인사관리처(Office of Personnel Management, OPM) 공격에 사용된 것으로 유력시되는 RAT인 사쿠라는 미미캐츠(Mimikatz) 소프트웨어를 사용해 네트워크 관리자 비밀번호를 훔친다.

우디 샤미르는 "악성코드 개발자는 KjW0rm을 VBS로 작성해 탐지가 어렵도록 했다"고 설명했다. 하벡스 RAT는 산업용 제어 시스템(ICS)을 공격 대상으로 하며, 변형과 HTTP 및 HTTPS 통신을 사용해 활동을 은닉한다. Agent.BTZ/ComRat 역시 ICS RAT로, 전문가들은 러시아 정부가 개발한 것으로 추정한다.

샤미르에 따르면, 다크 코메트는 크립터스를 사용해 안티바이러스 도구를 회피한다. 팔로알토 네트웍스 리서치 센터의 블로그 게시물 '사이버 범죄 진단, 1부: 크립터스'에 따르면, 크립스터(Crypters)는 암호화, 난독화(obfuscation) 및 코드 조작을 결합해 기존 보안 제품으로는 탐지가 완전히 불가능하게 하는 소프트웨어 도구다.

RAT 에일리언스파이가 애플 OS X를 공격하는 만큼 애플 제품 역시 RAT로부터 자유롭지 않다. 샤미르에 따르면, OS X는 안티바이러스와 같은 전통적인 보안 제품만 사용하므로 탐지를 피하기 위해 분석 차단 기법을 사용하는 에일리언스파이는 OS X에 자유롭게 침투할 수 있다. 헤세베르 봇은 VNC(Virtual Network Computing)를 사용해 탐지를 회피한다.

애니멀 팜 스파이 집단은 다양한 은닉 요소를 갖추고 프랑스 내부에 있는 것으로 추정되는 민족 국가 집단을 기원으로 한다. 애니멀 팜은 디노(Dino), 버니(Bunny), 캐스퍼(Casper), 바바(Babar)와 같은 RAT를 사용해 외국 군사 및 정부 데이터를 수집했다. 카바낙은 금융기관 내부를 비디오로 보면서 거래를 관찰하고 돈을 빼낼 방법을 연구하는 용도로 사용됐다.

차단하고 고사시키고 눈을 가리는 방법
쓰레드 스트림(Threat Stream) 연구소 책임자인 제이슨 트로스트에 따르면, RAT를 차단하려면 운영체제 전반과 애플리케이션, 특히 브라우저와 PDF 리더, 플래시, 자바, MS 오피스에 대한 패치를 적극적으로 적용해 공격 표면을 줄여 결과적으로 공격의 성공률을 낮춰야 한다. 또한 화이트리스트를 사용해 의심스러운 무단 .EXE 및 DLL 파일 활동을 차단한다.

이렇게 하면 사용자가 RAT 및 관련 악성코드를 침입시키는 결과를 초래하는, 우발적으로 무언가를 실행하는 일을 방지할 수 있다.

대표적인 예로 동적 DNS 서비스를 사용하지 않는다면 차단한다. 트로스트는 "악성코드 운영자는 동적 DNS를 많이 사용하는 반면 기업 환경에서는 동적 DNS가 필요한 경우가 많지 않다는 사실에 착안한 약점 제어 방법"이라고 말했다.

동적 DNS를 꼭 사용해야 한다면 사용되지 않는 도메인을 모두 막는다.

트로스트는 C2 프로토콜, RAT 사용자 에이전트, 포트 443을 통과하는 암호화되지 않은 트래픽 시그니처를 포함한 RAT 활동의 알려진 네트워크 기반 시그니처를 탐지하는 IDS/IPS를 사용해 RAT를 고사시키라고 주문했다.

침입 방지 모드는 회사를 빠져나가는 RAT 트래픽을 차단할 수 있다. 트로스트는 호스트 기반 침해 지표(IOC)를 활용해 RAT를 찾고 엔드포인트를 자주 탐색하여 잠재적인 침해를 찾아야 한다고 말했다. 마찬가지로 네트워크 IOC, 그리고 기업 기기 및 시스템에서 알려진 C2 도메인, IP 주소 및 URL로 이동하는 트래픽을 찾는다.

보안 전문가들이 망분리(network segmentation)를 강조하는 데는 이유가 있다. 효과적이기 때문이다. 망분리는 경계 내의 다른 네트워크에 대한 접근을 통해서만 얻을 수 있는 정보를 RAT에서 얻을 수 없도록 한다. 이는 RAT의 작업 속도를 늦추고, 그 사이 시그니처 기반 또는 동작 기반 탐지 기법을 사용해 RAT를 찾을 수 있을 가능성이 높아진다.

사용되지 않는 포트를 차단하면서 웹 프록시와 필터링을 적용해 조직 외부로 데이터를 보내는 RAT를 탐지한다. 트로스트에 따르면 이를 통해 콘텐트 스캔과 위협 인텔리전스를 연계해 RAT를 탐지할 수 있게 된다.

마지막으로 RAT를 묶어두면서 탐지할 시간을 벌게 해주는 허니팟(honeypots)을 통해 RAT의 눈을 가린다. 그 사이 RAT는 데이터를 얻지 못하며, 속고 있다는 사실도 모른다. 알아차렸을 땐 이미 늦은 시점이다.

새로운 RAT는 정교하다. 따라서 앞으로는 자동화된 시그니처 기반 도구를 사용해서 이런 RAT를 제거하기가 점점 더 어려워질 것이다.

모든 RAT 요소, 그리고 시스템 재감염을 시도하는 코드의 모든 흔적을 찾기 위해서는 동작 기반 방법이 필요하다. 그리고 찾은 다음에는 스냅샷 백업 기술 등을 사용해 복원 지점으로 복원해야 한다.

펭민 공은 "정기적인 시스템 스냅샷을 유지해 감염 전 시점으로 복원할 수 있도록 해야 한다"고 조언했다.

철저한 방어 유지
RAT는 지속적으로 발전하는 APT의 복잡한 공격 도구 가운데 하나다. 현재 이에 대응해 동작 기반 침입 탐지 도구와 기술이 발전, 확산되고 있다. 이와 함께 다른 성숙 단계의 보안 기술 및 정책 기반 접근 방법과 연계해 신속하게 이벤트를 탐지, 효과적으로 RAT를 포위할 수 있다.

이를 통해 우리가 등을 보이거나 방심하지만 않는 한 공격은 성공하기 어렵게 될 것이다. 물론 우리는 등을 보여서도, 방심해서도 안 된다. 앞서 대비하자. editor@itworld.co.kr