슬링샷(Slingshot), 공유기로 침투하는 은닉형 악성코드
라우터(공유기) 통해 감염
최근 카스퍼스키 랩이 미크로틱이 만든 라우터에서 슬링샷이라는 새로운 악성코드를 발견했다. 아울러 미크로틱 제품에 국한된 것이 아닐 수도 있다고 밝혔다. 슬링샷은 2012년에 첫 샘플이 발견됐고 2018년에 특정될 때까지 최소 6년 동안 중동과 아프리카를 중심으로 100 대 이상의 PC를 감염시켰다.라우터는 아직까지 보안에 크게 신경을 쓰지 않아 해킹이 상대적으로 쉽고, 악성코드를 라우터에 심어 두면 잘 탐지가 되지 않아 오래 동안 잠복할 수 있다.
슬링샷은 미크로틱 라우터의 취약점을 이용해 침투하여 잠복해 있다가, 미크로틱의 공식 라우터 관리 프로그램인 Winbox Loader를 실행할 때 해당 PC를 감염시킨다.
슬링샷은 2개의 모듈로 구성되어 있는데, 'Cahnadr'은 커널 모드 모듈로 은닉 기능을 수행하고 골룸앱을 지원한다.
슬링샷은 관리자 크리덴셜을 얻는 것이 주 목적인데, 이 역할은 'GollumApp'이라는 유저 모드 모듈이 수행한다. 골룸앱은 화면 캡쳐, 네트워크 정보, 키보드 입력 내용, 암호, USB 연결 정보 등을 수집한다.
네트워크 관리자의 크리덴셜을 얻게 되면 해커는 네트워크 내의 모든 시스템과 데이터에 접근할 수 있어, 원하는 모든 것을 할 수 있다.
보안 소프트웨어의 움직임이 감지되면 악성코드를 중단하고, PC가 종료되기 직전에 작업을 완료하는 등의 회피 기동을 한다.
레긴(Regin), 은닉형 악성코드의 대명사
이처럼 장기간 탐지되지 않은 채 은닉한 악성코드로는 레긴이 유명하다. 2008년부터 활동한 것으로 추정되는 레긴은 2014년 말에야 정체가 드러났다.러시아, 사우디아라비아, 아일랜드, 멕시코, 인도 등의 인터넷 서비스 회사, 이동통신사, 정부 기관 등을 감시하는 역할을 했다.
참고 자료
댓글
댓글 쓰기