CCleaner 악성코드 배포 사태와 관련하여 Axiom이라고 부르는 중국에 본거지를 두고 과거 서방 업체를 공격한 사이버 스파이 조직의 소행으로 추정되는 것으로 보인다고 합니다. (*보안업체마다 부르는 이름이 달라 APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72, AuroraPanda 등의 여러 이름로 불리고 있음)
1. 먼저 과거 공격 사례와 유사한 코드가 발견되었습니다. Kaspersky Lab의 Constin Raiu가 최초로 발견하여, Cisco Talos에서도 이같은 내용을 찾을 수 있었다고 확인했습니다. Cisco Talos의 Craig Williams은 Bleeping Computer에 보낸 이메일을 보내며 문제의 조직이 배후에 있다고 확실히 말할 수는 없지만, 적어도 같은 코드를 볼 수 있었다고 전했습니다.
2. 또한 Cisco Talos 팀에서는 C&C 서버의 데이터베이스를 포함한 파일을 입수했다고 합니다. C&C 서버는 변조된 CCleaner가 설치된 호스트로부터 수집된 정보를 받는 곳으로 여기에는 컴퓨터 이름, 설치된 소프트웨어 목록, 실행 중인 프로세스 목록, 처음 3개의 네트워크 인터페이스 주소, 그리고 개별 컴퓨터를 식별하는 고유 ID가 저장되어 있었다고 합니다. Cisco 연구원들은 자체 테스트 장비를 이용하여 이 데이터베이스가 믿을 수 있는 것인지 확인했다고 합니다.
3. 여기서 나온 파일을 분석한 결과 CCleaner 악성코드와 관련하여 처음에 알렸던 내용이 잘못되었다는 것을 알게 되었다고 합니다. 첫 보고에 따르면 다른 악성코드를 내려받아 실행시킬 수 있는 payload 기능이 있었지만 사용되지 않았다고 했으나, 분석 결과 전세계에서 20대의 컴퓨터가 감염된 것으로 나타났습니다. 여기에 중국이나 러시아 회사는 없었습니다.
4. Cisco Talos는 공격자가 도메인 이름을 바탕으로 공격 목표를 골랐다고 전했습니다. 여기에는 아이러니하게도 시스코도 포함되어 있었고, 그 밖에 싱텔, HTC, 삼성, 소니, 가우셀만(Gauselmann), 인텔, VMWare, O2, 보다폰, 링크시스, 엡손, MSI, 아카마이(Akamai), DLink, 오라클(Dyn), 그리고 마이크로소프트와 구글 (Gmail)도 있었습니다.
5. C&C 서버 데이터베이스에는 두 개의 메인 테이블이 있었다고 합니다. 하나는 첫 번째 악성코드인 Floxif에 감염된 모든 유저의 정보를 담고 있었고, 다른 테이블에는 두 번째 악성코드에 감염된 모든 컴퓨터를 기록하고 있었습니다. 첫번째 테이블에는 70만 대가 넘는 컴퓨터에 대한 정보가 있었고 두 번째 테이블에는 중복 내용을 제거하면 20대의 정보가 기록되어 있었습니다. 이 두 테이블에는 9월 12일부터 9월 16일 사이의 기록만 있었다고 합니다. 여기에 대해 Williams는 9월 12일 이전의 정보는 지워졌을 가능성이 있다며, 서버에서 가져갈 수 있는 정보 양을 제한하려는 의도가 있었던 것으로 보인다고 말했습니다.
6. 또한 또다른 백도어를 시스템에 남겼을 가능성이 있어, 감염된 CCleaner를 설치했던 유저들은 단순히 제거를 하는 것에서 그치지 말고 8월 15일 이전 백업한 환경으로 복원하거나 시스템을 재설치할 것을 권장하고 있습니다.
* 관련 자료
(1) Bleeping Computer
(2) Cisco Talos
http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html
ccleaner 에 악성 코드에 심어져서 배포되었다는 건 알겠는데
서버가 해킹되서 변조된 파일이 대신 다운로드 된 건가요?
아니면 다른 파일들을 받아서 썼다는 건가요?
1. 공식 홈페이지에서 배포되는 CCleaner 설치 파일에 악성코드가 심겼고
2. 거기에 심긴 악성코드가 컴퓨터에 설치되면 또다른 서버에서 다른 악성코드를 받아오는 역할을 함
현재는 여기까지가 밝혀진 내용이고,
그리고 이게 끝인지 아닌지 지금 보안업체들도 확신할 수가 없어서, CCleaner v5.33을 설치했던 유저들은 포맷하고 윈도우를 다시 설치하거나 예전에 고스트 같은 걸 이용해 백업해둔 게 있다면 예전 상태로 복원할 것을 추천하고 있는 상황입니다. 정교하고 복잡해서 분석이 어렵답니다.
64비트는 문제 없겟져?