LightNeuron, 이메일 변조하는 악성코드
Microsoft Exchange 노리는 최초의 악성코드
ESET의 연구팀이 교묘한 backdoor를 발견했다. 마이크로소프트 익스체인지를 구동하는 메일 서버를 감염시키는 악성코드로, 최소 2014년부터 발각되지 않은 채 활동해 왔다. 이셋은 악명 높은 해커단 Turla의 소행으로 보고 았다.LightNeuron이라는 이 악성코드는 윈도우 버전 뿐만 아니라 리눅스 버전도 있는 것으로 추정된다. 리눅스 버전은 샘플은 발견되지 않았지만, 코드 분석 결과 존재하는 것으로 판단됐다. 이셋이 확인한 사례는 3건인데, 브라질, 동유럽, 중동에 포진해 있었다.
Transport Agent 악용
라이트뉴론은 MS Exchange의 기능인 트랜스포트 에이전트라는 프로그램을 이용했다. 이 독창적인 방법으로 오랫동안 잠복할 수 있었다.트랜스포트 에이전트는 신뢰도 등급에서 스팸 필터 등의 보안 프로그램과 동급으로 작동한다. 따라서 의심 받지 않고, 해당 서버를 통하는 모든 이메일에 접근할 수 있었다.
이렇게 해서 어떠한 이메일이든 읽고 변조할 수 있다. 아예 새 메일을 작성해 보낼 수도 있다. 또한 원래 수신인이 읽지 못하도록 차단할 수도 있다.
이메일을 통해 해커의 명령을 받고, 중요한 문서를 유출하는 것이 핵심 임무이다. 다른 악성 행위도 가능할 것이다. 허위 정보를 퍼뜨린다거나 피싱 사이트로 향하는 링크를 보내고, 중요한 알림을 받지 못하도록 차단하는 것 등을 생각해 볼 수 있다.
백도어 기능
라이트뉴론은 해커의 명령에 따라 여러 작업을 수행하는 백도어 기능을 한다. 실행 파일을 만들어서 실행 시키기, 파일 삭제, 파일 유출, 명령 프롬프트(cmd.exe)를 통한 명령어 실행 등을 할 수 있다. 사실상 메일 서버를 완전히 장악한 셈이다.스테가노그래피 활용
해커의 명령은 이메일로 전달된다. pdf나 jpg 형식의 첨부 파일 속에 steganography로 숨겨져 있는 명령을 추출하여 실행한다. 스테가노그래피는 보안 프로그램에서 탐지하기 어렵다.스테가노그래피는 정상 파일 속에 다른 내용을 삽입하는 것이다. 비밀 메시지를 전달하거나, 기밀 정보를 유출하는 데 주로 사용된다. 숙주(정상 파일)의 변형을 초래하면 안되므로, 하나의 파일에 많은 내용을 넣을 수는 없어서, 잘게 쪼개서 여러 파일에 나누어 심는다. 또한 단독으로 실행될 수가 없기 때문에, 숨겨진 내용을 추출할 악성코드 등 다른 수단이 필요하다.
참고 자료
댓글
댓글 쓰기