adsense_in_article_test


중국에서 사업하려면 악성코드 의무 설치?(2) - 골든스파이 IT/잡담

지난번에 작성했던 "중국에서 사업하려면 악성코드 의무 설치? - 골든헬퍼/골든스파이"에서 이어지는 글.

골든스파이(GoldenSpy) 악성코드에 대한 좀 더 구체적인 조사 결과 찾았다. 이 악성코드를 발견한 보안업체 트러스트웨이브(Trustwave)의 블로그다. 아래의 링크에서 확인할 수 있다.

The Golden Tax Department and the Emergence of GoldenSpy Malware

주요 내용을 일부 정리해 보자면 아래와 같다.


...
고객사는 미국, 호주, 영국에서 정부 사업에 참여하고 있었으며 최근에 중국에 사무실을 열었다.
...
우리는 매우 이상한 행동을 보이며 중국 도메인에 시스템 정보를 보내고 있는 실행 파일을 발견했다. 고객사와 논의한 결과, 이 실행 파일은 중국의 거래은행에서 의무적으로 설치해야 한다고 요구했던 세금 소프트웨어의 일부임이 밝혀졌다. 고객사의 중국 사무실 개소 이후 해당 지역의 중국 은행에서 세금 납부를 위하여 "Aisino Corporation"의 "Golden Tax" 사업부에서 제작한 "Intelligent Tax" 패키지를 설치해야만 한다고 요구했던 것이다.

이 소프트웨어는 세금 관련 기능을 정상적으로 제공하고 있었으나, 동시에 백도어(backdoor)를 설치하여 공격자가 원격에서 윈도우 명령어를 실행하거나 실행 파일을 전송하여 실행할 수 있게 만들었다. 한마디로, 시스템 레벨 권한을 가진 실행 파일이 세금 계산과는 전혀 무관한 원격의 지령서버와 연결하며 기업 네트워크에 들어와 있었던 것이다. 우리는 이 파일이 악성코드라고 간주하기에 충분한 성질을 지니고 있다고 판단했다. 이후 우리는 관련 파일들을 역공학했으며(reverse-engineered) 골든스파이(GoldenSpy)라고 명명했다.

골든스파이는 "Chenkuo Technology"라는 회사의 디지털 서명이 되어 있으며, 서명에 포함된 제품 설명은 "인증된 소프트웨어 버전 업그레이드 서비스"라고 되어 있다(문자열 "认证软件版本升级服务"). 그러나 세금 소프트웨어는 이미 별도의 업그레이드 서비스가 정상동작하고 있으며 이 서비스는 골든스파이와 전혀 무관하게 동작한다.

골든스파이는 다수의 비정상적인 성질을 보인다.

  - 골든스파이는 동일한 실행 파일을 2개 설치하며 둘 다 자동실행된다. 둘 중 하나의 실행이 중지되면 나머지 하나가 재실행한다. 게다가 파일 삭제를 탐지하여 만약 삭제가 이루어지면 새 버전을 다운로드하여 실행한다. 따라서, 한번 설치되면 제거하기가 상당히 어렵다.
 
  - Intelligent Tax의 제거(uninstall)가 이루어져도 골든스파이는 제거되지 않고 남는다.
 
  - 골든스파이는 세금 소프트웨어 설치가 완료된 후 2시간이 지난 이후에야 다운로드/설치되며, 몰래 설치되어 사용자에게 아무런 알림을 해주지 않는다.
 
  - 골든스파이는 세금 소프트웨어의 네트워크(i-xinnuo.com)에 접속하지 않으며, 다른 골든스파이 변종 악성코드들과 연관된 별도의 도메인(ningzhidata.com)에 접속한다. 지령 서버 접속을 최초 3회 실행한 후, 네트워크 보안기술에 의한 탐지를 피하기 위해 접속 시간을 무작위로 바꾼다.

  - 골든스파이는 시스템(SYSTEM) 레벨 권한으로 동작하므로 임의의 소프트웨어를 마음대로 실행할 수 있다. 추가적인 악성코드를 실행할 수 있을 뿐만 아니라 새로운 사용자 생성과 권한 상승 등 윈도우 관리도구에도 접근할 수 있다.
 
이러한 요소들로부터 골든스파이는 시스템 전체를 정체불명의 공격자에게 원격으로 개방하는 강력한 백도어라는 결론을 내릴 수 있다.
...
이번 골든스파이 작업(campaign)은 2020년 4월에 시작되었으나, 사이버 위협 관련 정보에 대한 분석 결과, 골든스파이와 유사한 악성코드는 이미 2016년 12월부터 존재했던 것으로 파악되었다. 한편, Chenkuo Technology는 2016년 10월에 Aisino와 빅데이터 관련 사업을 한다는 명목으로 협력관계를 체결했다. 골든스파이가 나타나기 2개월전이다. 골든스파이를 이용해서 빅데이터 수집이 가능한 것은 분명하다. 트러스트웨이브는 2016년부터 골든스파이의 활동이 실제로 있었는지에 대한 정보는 없으며 최초로 활동을 감지한 것은 2020년 4월이다. 이 악성코드의 활동범위, 목적, 배후조종자 등에 대한 정보 역시 현재 없는 상태다. Chenkuo 또는 Aisino에서 이 악성코드에 얼마나 관여했는가에 대한 정보 역시 현재 없다.
...
트러스트웨이브는 Chenkuo와 Aisino에 골든스파이 발견 사실을 통보했으며, 이 게시물을 작성한 시점에 두 회사 모두 이와 관련하여 회신하지 않았다.





덧글

  • tvair 2020/09/01 11:11 # 삭제 답글

    게시물 잘 보고갑니다 좋은 하루되세요
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.



통계 위젯 (화이트)

179516
2895
2275637

2019 대표이글루_IT

B-Side