2024-03-29 18:30 (금)
이란 해킹그룹, DoH를 정보유출 채널로 사용해 탐지 무력화시켜
상태바
이란 해킹그룹, DoH를 정보유출 채널로 사용해 탐지 무력화시켜
  • 페소아 기자
  • 승인 2020.08.05 17:19
이 기사를 공유합니다

Oilrig로 알려진 이란 해킹 그룹이 공개적으로 처음 알려진 DoH 프로토콜을 공격에 사용한 공격자가 되었다.

카스퍼스키의 멀웨어 분석가인 빈센테 디아즈는 지난주 웹미나에서 Oilrig가 올해 5월에 그들의 공격에 새로운 도구를 더하는 변화에 대해서 설명해 주목을 끌었다.

분석가에 따르면, Oilrig 운영자들은 해킹된 네트워크에 그들의 침입중 일부로 DNSExfiltrator이라 불리는 새로운 유틸리티를 사용하기 시작했다.

DNSExfiltrator는 깃허브에서 이용 가능한 오픈소스로 데이터를 퍼널링하고 비표준 프로토콜 안에 숨겨서 은밀한 통신 채널을 만든다. 이름에서 알 수 있듯이 이 도구는 기존 DNS 요청을 사용하여 두 지점 간에 데이터를 전송할 수 있지만 최신 DoH 프로토콜을 사용할 수도 있다.

디아즈는 APT34라고도 알려진 Oilrig은 DNSExfiltrator를 사용해 내부 네트워크에서 데이터를 측면으로 옮기고 외부로 유출시켰다.

Oilrig는 DoH를 유출 채널로 사용해 도난 당한 데이터를 이동하는 동안 활동이 탐지되거나 모니터링되는 것을 피했다.

DoH 프로토콜은 현재 두 가지 주요 이유로 이상적인 유출 채널이다. 첫째 모든 보안 제품이 모니터링 할 수 있지 않은 새로운 프로토콜이다. 둘째 DNS는 평문이지만 이것은 기본적으로 암호화되어 있다.

한편 카스퍼스키는 Oilrig가 5월 공격작업에서 DoH를 통해 코로나 바이러스 관련 도메인으로 데이터를 유출했다고 밝혔다.

Oilrig는 DoH를 사용하는 기록된 첫 APT이지만, 첫 멀웨어 작전은 Godlua이다. 중국 보안 기업 치후360의 네트워크 위협 헌팅 부서인 Netlab에 따르면, Lua 기반 리눅스 멀웨어 변종인 Godlua는 2019년 7월 DDoS 봇넷의 일부로 DoH를 최초로 수행한 것으로 나타났다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★