해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
 

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
  ▒   [해커대학 - hackers college]   ▒  

작성자: 해커즈뉴스
장르: 이슈
2019/2/9(토)
조회: 98
서비스형 봇넷 카이요신을 통해 보는 해커 문화의 변화  
서비스형 봇넷(botnet as a service)과 소셜 미디어 마케팅이 만나면 무슨 일이 벌어질까? 굉장히 빠르게 퍼지는 위협이 탄생한다. 최근 등장한 카이요신(Cayosin)이라는 봇넷이 바로 이런 위협에 속한다. 선배 봇넷들의 장점들을 다량으로 흡수했을 정도로 강력한 것이, 광범위하게, 낮은 가격으로 판매되고 있으니 말이다.

[이미지 = iclickart]


디지털 마케팅 회사인 퍼치(Perch)는 지난 달 고객 관련 자료를 분석하다가 이전에 없던 문자열들을 발견할 수 있었다. 시그니처를 찾던 퍼치의 수석 위협 분석가인 폴 스콧(Paul Scott)은 리눅스 멀웨어와 관련된 레딧 포럼에서 카이요신에 대한 정보를 찾아냈다. 이미 출처가 공개된 다양한 소스코드를 짜깁기해서 만들어진 멀웨어라는 것이었다. “이런 힌트를 가지고 추적을 이어가다보니 큐봇(Qbot), 미라이(Mirai)를 비롯한 여러 봇넷 멀웨어를 합쳐놓은, 프랑켄슈타인 같은 놈이더군요. 새로운 괴물을 누군가 만들어낸 것입니다.”

그리고 이 괴물은 여러 사람에게 대여되는 형태로 존재하고 있다. 그리고 정상적인 상업 행위를 통해 마케팅 되고 있다. “대여업자들은 원래 봇넷의 지점들을 대여하거나 계정을 기반으로 한 정액제 사업을 벌이고 있었습니다. 지점 하나 당 5달러 정도밖에 하지 않았을 정도로 쌌어요. 그런데 카이요신이 점점 커지고 기능도 다양해지면서 가격이 올랐습니다.”

카이요신의 놀라운 점은 다크웹 포럼에서가 아니라 일반 소셜 네트워크를 통해 광고되고 있다는 것이다. 가장 먼저 카이요신 공격자가 마케팅을 실시한 플랫폼은 유튜브다. 동영상을 통해 카이요신이 어떤 식으로 작동하는지를 보여준 것. “그리고 그 영상 및 설명글을 통해 공격자들이 운영하는 인스타그램 계정이 드러납니다. 이 인스타그램에서 거래가 이뤄지는 것 같더군요.”

해당 인스타그램 사용자의 이름은 언홀더블(unholdable)이다. 이 계정을 통해 올라온 글들과 영상들은 온통 카이요신 봇넷을 어떻게 자리를 확보하고, 어떻게 이를 활용하며, 어떻게 소스코드를 구입해 사용하는지에 관한 것이다. “이 계정을 쭉 훑다보면 카이요신 및 여러 비슷한 해킹 툴들이 어떤 과정을 통해 개발되고 향상되었는지 알 수 있습니다.”

그 말은 추가 멀웨어들이 이 계정을 통해 드러나기도 했다는 것이다. “대표적인 것이 요와이(Yowai)입니다. 봇넷 멀웨어 중 하나로 보안 업체 트렌드 마이크로(Trend Micro)가 공개한 바 있습니다. 해당 인스타그램 계정 운영자들은 카이요신만이 아니라 다양한 멀웨어들을 마케팅하며, 고객 지원과 상담까지도 실시하고 있었습니다. 정식 상업 행위와 다름이 없었습니다.”

스콧은 실험 삼아 해당 영상이나 소개글, 링크를 클릭해보았다고 한다. 그러자 회신이 왔다. “우리 서비스에 대한 피드백을 부탁드린다는 내용이었습니다. 그 외에도 여러 방향으로 ‘가짜 구매’ 및 접선을 시도했는데 정말 고객 지원의 노하우가 풍부하다는 걸 알 수 있었습니다. 마케팅과 홍보 방향만 봐도 그 혹은 그들이 단순한 해커가 아님을 알 수 있습니다. 인스타그램이나 유튜브 홍보를 보면 판매자의 메시지가 분명하거든요. 누구나 명확히 자기가 어떤 서비스를 구매할 수 있는지 알 수 있습니다.”

카이요신은 현재도 계속해서 진화하고 있다. 특히 새로운 시스템을 감염시키는 능력과 배포되는 페이로드의 측면에서 꾸준한 발전이 이뤄지고 있다. 스콧은 “굉장히 많은 취약점들에 대한 익스플로잇이 패키지 되어 있다”고 설명한다. “카이요신은 현재 리눅스 웹 서버, 사물인터넷 장비, 라우터 등에서 취약점들을 수없이 찾아내며 익스플로잇 합니다.”

이렇게 기능이 발전하니 사업적 성공도 따라왔다. “단순히 기능이 좋아지고 해커들 사이에 입소문이 나서 사업이 확장하는 게 아닙니다. 사업적으로 만난 고객들의 필요를 파악하고, 그것을 충족시키다보니 봇넷이 커지고, 그렇게 필요가 만족되니 고객이 느는 것이더군요. 실제적인 서비스를 제공하는 것입니다. 이것이 해킹 세상에서는 정말 중요합니다. 왜냐하면 아무리 좋은 툴이라도 방어하는 자가 익숙해지면 무용지물이 되거든요. 늘 새로워져서 방어하지 못하도록 만드는 게 진짜 서비스고, 그것을 실제로 사업적으로 하는 게 바로 이 카이요신입니다.”

그렇다면 고객들은 카이요신을 어디에 사용할까? “원래는 디도스 공격이 가장 주된 목적이었습니다. 그런데 여기에 여러 가지 기능들이 덧붙기 시작했습니다. 민감한 정보를 빼내는 기능, 크리덴셜을 훔치는 기능 등입니다.” 

하지만 스콧은 “진짜 위협은 이 봇넷이 프랑켄슈타인이라는 것이 아니고, 계속해서 진화한다는 것도 아니”라고 말한다. “오히려 이러한 새로운 사업적 모델이 더 큰 위협입니다. 최근 세대들은 소셜 미디어를 굉장히 능숙하게 다루고, 이를 악성 사업을 행하고 고객들에게 친밀하게 다가가는 데 활용할 줄 압니다. 파급력이 크죠. 소셜 미디어까지 이런 젊은 세대들의 공격 인프라로까지 편입되는 겁니다. 다크웹에서 양지로 나오고 있다는 게 이런 현상의 핵심이고, 진정한 위협입니다.”

3줄 요약
1. 최근 나타난 봇넷 카이요신, 소셜 미디어 통해 광고되고 퍼지고 있음.
2. 고객 서비스 측면에서 매우 능숙. 고객과 함께 커가는 봇넷. 사업적으로도 성장, 위협이라는 측면으로도 큰 존재감.
3. 사이버 공격자들의 악성 행위들, 점점 양지로 나오는 중.

  이름   메일   관리자권한임
  내용 입력창 크게
                    답변/관련 쓰기 폼메일 발송 수정/삭제     이전글 다음글    
번호장르제 목작성일
8823 사건사고    미국 보안업체 “중국 해커, 노르웨이 비스마 해킹’ 2019/02/11
8822 이슈    해킹 그룹의 기묘한 이름들, 누가 누가 붙이나 2019/02/10
8821 이슈    서비스형 봇넷 카이요신을 통해 보는 해커 문화의 변화 2019/02/09
8820 이슈    중국의 사이버 공격 단체 APT10, 해외 지적재산 퍼간다 2019/02/09
8819 이슈    스위스 정부 "새 전자투표 시스템 해킹 성공하면 상금" 2019/02/09
8818 이슈    랜섬웨어·계정탈취…"해킹, 남의일 아냐" 2019/02/08
8817 사건사고    해커 "링크드인, 1억명 이상 사용자정보 해킹했다" 주장 2019/02/08
8816 사건사고    중국, 노르웨이 하이테크 업체 해킹 스파이활동 일환 2019/02/08
8815 사건사고    롯데 모바일결제, 해킹 여부 수사 착수...하이마트·백화점서 카드 도용 사고 2019/02/08
8814 이슈    中 정보기관, 이번엔 다국적기업 해킹…기업기밀 노려 2019/02/08

 
목록