새 봇넷 멀웨어가 등장했다. 저그에카라는 이름의 멀웨어로, 여러 가지 기능을 가지고 있다. 아직 꼬리가 다 잡히지 않았고, 계속 강력해지고 있는 것으로 보아, 조만간 성가신 위협이 될 것으로 전망된다.

새로운 봇넷 멀웨어가 발견됐다. 이름은 저그에카(Zergeca)로, 고 언어로 작성되었으며 디도스 공격을 하기 위해 개설된 것으로 의심된다. 보안 연구팀인 치안신 엑스랩(QianXin XLab)에서 처음 발견해 분석 보고서를 발표했다. 이 멀웨어의 C&C 서버에 ootheca라는 문자열이 있는 것을 알아냈는데, ootheca는 곤충의 알주머니를 뜻한다. 이 때문에 연구원들은 유명 PC 게임인 스타그래프트의 저그(Zerg)를 떠올렸고, 두 단어를 합성해 저그에카(Zergeca)라는 이름을 만들어 붙였다고 한다.

저그에카는 단순 디도스 봇넷이라고 하기에는, 기존 봇넷 멀웨어들이 가지고 있지 않았던 기능들을 포함하고 있는 것으로 분석됐다. “여섯 가지 유형의 디도스 공격을 실시할 수 있으며, 프록시, 스캔, 자가 업그레이드, 공격 지속, 파일 전송, 리버스 셸, 민감 정보 수집 등의 기능도 탑재하고 있습니다. 다양한 DNS 레졸루션 방법들을 지원하고 있기도 한데, 그 중에서도 DOH를 가장 선호하는 것으로 보입니다.” 저그에카의 인프라에는 두 가지 버전의 미라이(Mirai) 봇넷 역시 호스팅 되어 있었던 것으로 나타났다. 미라이 봇넷으로 어느 정도 경험을 쌓은 뒤 저그에카를 만들어 활용한 것으로 의심된다고 한다.

저그에카의 공격 인프라에서 발견된 것들
엑스랩 측은 저그에카를 추적하면서 결국 공격용 C&C 서버에 도달할 수 있었고, 거기서부터 여러 가지 공격 도구를 발견할 수 있었다. “다양한 종류의 도구들이 발견됐습니다. 앞서 말한 미라이 봇넷과 저그에카 봇넷 페이로드는 물론 스캐너와 다운로드까지 있었거든요. 이 도구들을 통해 최소 2023년 9월부터 활동을 시작한 것으로 분석됐습니다. 먼저 텔넷, HTTP, 속스4(socks4)와 같은 프로토콜을 스캔하는 것부터 시작했습니다. 그 다음 작년 10월부터 올해 4월까지는 다운로더와 가장 많이 사용됐는데, 먼저는 미라이를 확산시키는 결과를 낳았습니다.” 4월 말부터는 공격자들이 저그에카 봇넷 페이로드를 퍼트리기 시작했다.

“저그에카는 주로 텔넷의 약한 비밀번호들을 대입하여 뚫어내는 식으로 전파됐습니다. 즉 텔넷 프로토콜을 운영하되 약한 비밀번호로 보호하는 사용자들은 위험에 노출되었다는 뜻입니다. 거기에 더해 예전부터 잘 알려진 취약점을 익스플로잇 하는 사례도 있었습니다. CVE-2022-35733은 꽤나 최근 취약점이고, 그 외에 CVE-2018-10562, CVE-2018-10561, CVE-2017-17215, CVE-2016-20016이 익스플로잇 됐습니다.”

스캔 후 미라이, 미라이 후 저그에카라는 순서대로 공격을 실시한 해커들은 올해 6월 캐나다, 미국, 독일에 집중하는 모습을 보여주었다. 이 세 지역의 기업과 기관들이 디도스 공격에 가장 많이 노출됐는데, 이 때 저그에카 공격자들이 가장 많이 사용한 건 액플러드(ackFlood)라는 디도스 공격 기법이었다. 다만 세 지역 외에도 피해가 있었고, 액플러드 외 다른 디도스 공격 기법도 활용됐다.

저그에카, 무엇을 어떻게 노렸나
엑스랩 측에서 확보한 저그에카의 샘플은 총 네 개이고, 그 네 개 모두 x46-64 아키텍처 기반의 리눅스 플랫폼들을 노린 것으로 분석됐다. 하지만 샘플에 포함된 문자열 중에 ‘안드로이드’나 ‘윈도’ 같은 것들도 있었기 때문에 조만간 다른 플랫폼들도 같이 노릴 것으로 예상되고 있다. 지금은 저그에카를 염려해야 할 게 리눅스 운영자들이지만, 곧 다른 OS 운영자들도 안심하지 못할 단계에 이를 수 있다는 뜻이다.

저그에카가 구사하는 디도스 공격의 주된 기법은 다음 여섯 가지인 것으로 정리됐다.
1) http플러드(httpFlood, httpPPS)
2) 신플러드(synFlood)
3) 액플러드
4) 푸시플러드(pushFlood)
5) 레스트플러드(rstFlood)
6) 푸시OVH플러드(pushOVHFlood)
여기에 더해 마인크래프트 게임이 디도스 공격에 당하는 사례도 있었다.

http플러드 공격은 HTTP 요청을 피해자 서버에 잔뜩 보내서 마비시키는 것이다. 신플러드는 최초 연결 요청(SYN)을, 액플러드는 TCP ACK 패킷들을 다량으로 전송하여 피해자 서버에 과부하를 일으키는 것이다. 푸시플러드는 각종 요청을 넘치도록 전송하는 공격 기법인데, 주로 ACK 패킷들이 활용된다. 레스트플러드는 RST 패킷을 공격에 활용하는 것이고 푸시OVH플러드는 대형 클라우드 업체인 OVH클라우드(OVHCloud)와 관련이 있는 공격이다.

“저그에카 봇넷의 배후에 있는 공격자들은 실력이 뛰어난 것처럼 보입니다. 특히 각종 탐지 기술을 회피하거나 분석을 방해하는 데에 일가견이 있습니다. 이들은 UPX 패키징, XOR 암호화, C&C 서버 활용에 있어 DoH 기법 접목하기 등 추적을 방해하기 위해 여러 겹의 기술을 사용하기도 했습니다.” 그렇다는 건 이들이 숨은 상태에서 여러 가지 실험을 진행하고 있을 가능성이 높다는 뜻이다. 실제로 엑스랩에서도 “더 발전된 모습의 저그에카가 조만간 발견된다 하더라도 놀랍지 않을 것 같다”고 썼다.

“여기까지 밝혀낸 건 저그에카의 기본 사항일 뿐입니다. 이들은 계속해서 발전하고 있고, 새로운 전략을 이리 저리 실험하고 있습니다. 한 디도스 봇넷에 여섯 개나 되는 공격 기법이 탑재되는 건 그리 흔한 사례가 아닙니다. 가장 효과적인 것 하나를 찾고 있는 듯합니다. 이 실험이 끝나면 보다 강력한 공격이 본격적으로 시작될 것으로 예상합니다.”

[출처 : 보안뉴스]