| 11월 | 밝혀진 거대 봇넷의 정체 - 사상 최대 규모의 사이버범죄를 적발 |
| 10일 | 2011년 11월 10일 | by TrendLabs 필리핀 |
2011년 11월 8일, 오랫동안 활동을 계속하면서 400만 이상의 봇(감염 컴퓨터)으로 형성된 거대 봇넷이 트렌드마이크로와 그밖의 많은 업계 관계자들의 협력으로 FBI와 에스토니아 경찰의 수사에 의해 폐쇄되었습니다.
FBI가 ‘Operation Ghost Click’이라고 부른 이 작전에서 뉴욕과 시카고의 데이터센터에 대해 강제수사가 실시되어 100대 이상의 C&C 서버로 형성된 인프라가 폐쇄되었습니다. 동시에 에스토니아 제2의 도시 타르투에서 이 범죄활동에 관여된 여러 멤버들이 에스토니아 경찰에 의해 체포되었습니다. 자세한 내용은 FBI 보도자료에서 확인할 수 있습니다.
이번에 폐쇄된 봇넷은 감염에 의해 ‘DNS 설정이 다른 IP주소로 변경된 컴퓨터’로 형성되었습니다. DNS 서버는 판독가능한 문자열로 구성된 도메인명을 인터넷 상의 컴퓨터에 할당된 IP주소로 변환하는 역할을 합니다. 대부분의 사용자는 계약한 인터넷 서비스 프로바이더(ISP)의 DNS 서버를 자동으로 이용합니다.
이 설정이 이른바 ‘DNS 설정을 변경하는 트로이목마형 악성코드(DNS Changer)’에 의해 사용자가 눈치채지 못하게 변조되어 사용자는 완전히 다른 DNS 서버를 이용하게 됩니다. 이들 DNS 서버는 악의적인 서드파티에 의해 설치되며 특정 도메인을 악의적인 IP주소로 바꿉니다. 그 결과, 피해를 입은 사용자는 자신도 모르게 악의적인 웹사이트로 유도됩니다.
이러한 ‘DNS Changer 봇넷’의 수법은 웹사이트 상의 광고를 악의적인 것으로 바꿔 사용자에게 나타내거나 검색엔진을 탈취하거나 다른 악성코드를 감염시키는 등 다양한 형태로 사이버범죄자들의 돈벌이에 활용됩니다.
그림1. Rove Digital에 의해 컨트롤된 IP주소 리스트
트렌드마이크로는 이 ‘DNS Changer 봇넷’에 관여하고 있는 것으로 보이는 조직의 정보를 2006년부터 파악하고 있었습니다. 그러나 법적기관을 통한 원활한 수사 실현을 위해 우리가 가진 정보의 공개는 보류하기로 했습니다.
그리고 이번에 주범 조직이 체포되었고 문제의 봇넷도 폐쇄되었기에 트렌드마이크로는 근 5년간 수집한 정보의 일부를 발표하기로 했습니다.
Rove Digital은 언뜻 보면 타르투 시에 사무실을 차린 ‘직원이 매일 출근하는 매우 평범한 IT 기업’처럼 보입니다. 그러나 그 정체는 이 사무실을 거점으로 세계적인 규모로 감염시킨 방대한 수의 봇을 컨트롤해 매년 이들 봇으로부터 막대한 금전적인 이익을 부정하게 취하는 사이버범죄 조직이었습니다.
자회사인 웹 호스팅 서비스 리셀러 Esthost는 샌프란시스코에 있는 그들의 프로바이더 ‘Atrivo’가 민간기관에 의해 운용 정지되었을 때 동시에 오프라인이 된 것이 2008년 가을에 알려졌습니다. 이와 같은 시기에 Rove Digital의 도메인 등록회사인 Estdomains도 ICANN의 지시로 인증자격을 잃었습니다. CEO인 Vladmir Tsastsin가 모국 에스토니아에서 신용카드 사기에 관한 유죄판결을 받은 것이 이유였습니다. 이러한 배경에서 ‘Esthost도 사이버범죄 관련 고객을 주로 맡고 있는 것이 아닌가’하는 의심의 목소리가 높아지면서 Rove Digital도 Esthost에서 제공되는 호스팅 서비스를 중단시킬 수밖에 없었던 것 같습니다.
그러나 그들의 사이버범죄 자체는 다른 형태로 계속되었습니다. 과거 사례에서 얻은 교훈을 활용해 Rove Digital 배후의 범죄자 조직은 ‘C&C 서버 인프라를 전세계로 분산시킨다’는 수단을 강구한 것입니다. 그래서 이때까지 Atrivo에서 호스팅되된 대다수의 서버를 뉴욕의 Pilosoft 데이터센터로 옮긴 것입니다. 물론 그들은 여기에서도 이전부터 여러 대의 서버를 보유하고 있었습니다.
그림2,3. Rove Digital의 피해자로부터 공개된 거래명세서
Esthost가 많은 사이버범죄 고객을 보유했던 것은 2008년에도 이미 알려져 있었습니다. 그러나 Esthost와 Rove Digital이 직접적으로 이러한 사이버범죄에 깊이 관여되어 있었던 사실은 알려지지 않았습니다.
트렌드마이크로는 Rove Digital이 악성코드 감염 활동뿐만 아니라 C&C 서버와 가짜 DNS 서버, 그리고 DNS Changer 봇넷을 이용한 클릭사기로 금전사취에 사용된 인프라까지 광범위하게 컨트롤하고 있었던 사실을 파악했습니다. 또한 DNS Changer 악성코드 외에도 Esthost와 Rove Digital은 가짜 보안 소프트웨어(FAKEAV)와 클릭사기 관련 악성코드 배포부터 불법 약품 판매와 그밖의 다양한 사이버범죄에 관여되어 있었던 사실도 파악했습니다(여기에서는 자세한 내용을 언급하지 않겠습니다).
이렇게 해서 과거 수 년에 걸쳐 수집된 각종 증거를 통해 트렌드마이크로는 ‘Esthost와 Rove Digital이 사이버범죄와 사기행위에 직접적으로 관련이 있는 것은 틀림없는 사실’이라고 확신했습니다. Esthost와 Rove Digital에 대한 의심은 이러한 간단하지만 명백한 사실에서 시작되었습니다.
모든 가짜 DNS 서버를 한번에 업데이트할 수 있는 백엔드 서버도 ‘dns-repos.esthost.com’에 존재했습니다. 또한 가짜 코덱에 관련된 악성코드의 백엔드 서버도 ‘codecsys.esthost.com’에 존재했습니다. ‘esthost.com’의 도메인이 해킹이라도 되지 않는 한, Esthost 자체만이 이러한 매우 암시적인 서브 도메인을 그들의 도메인명에 추가할 수 있는 것입니다. 실제로 도메인 ‘esthost.com’이 다운되었을 때 Rove Digital은 자신들이 이용하고 있는 C&C 서버에 ‘.intra’로 끝나는 프라이빗한 도메인명을 사용하기 시작했습니다. 우리는 미국에 있는 Rove Digital의 서버 1대에서 완전한 .intra의 존파일을 다운로드하는 데 성공했습니다.
그림4. Rove Digital의 CEO인 Vladmir Tsastsin
또한 2009년에는 2대의 C&C 서버에 관련된 하드디스크 드라이브의 카피도 입수했습니다. 여기에서 ‘(DNS Changer 악성코드에 감염된 사용자에 의한) 웹사이트 상의 광고 교체’도 확인되었습니다. 또한 이 하드디스크 드라이브에서 Rove Digital의 여러 직원의 것으로 보이는 SSH의 공개 키도 확인했습니다. 이 공개 키를 통해 Rove Digital의 직원은 각각 프라이빗 키로 패스워드 없이도 C&C 서버에 로그인할 수 있습니다. 그리고 서버에서 입수한 로그파일을 바탕으로 해당 C&C 서버는 Rove Digital의 타르투 시 사무실에서 컨트롤되고 있었던 것이 틀림없다고 우리는 결론내렸습니다.
또한 Rove Digital이 ‘Nelicash’라고 불리는 ‘가짜 보안 소프트웨어(FAKEAV)와 가짜 DNS의 협력 프로그램(affiliate program)’을 운영하고 있었던 사실도 파악했습니다. 우리는 이 프로그램의 FAKEAV에 관련된 인프라 부분의 스키마를 다운로드하는 데 성공했습니다. 또한 ‘Nelicash’에 사용되었던 C&C 서버에서 실제로 이 가짜 보안 소프트웨어를 구입한 피해자에 관한 데이터도 발견했습니다.
이렇게 발견한 피해 정보를 통해, 에스토니아와 미국에서 Rove Digital이 관리하고 있는 IP주소로부터 Rove Digital의 직원이 테스트로 몇 개의 주문을 실시한 사실도 확인했습니다. 이러한 점에서 틀림없이 Rove Digital 자체가 FAKEAV를 판매하는 데 직접적으로 깊이 관여한 사실을 알 수 있습니다.
또한 동일 ‘Nelicash’ 관련 C&C 서버에서 ‘2010년과 2011년에 새로운 가짜 DNS 서버의 전개에 관한 상세 계획서’도 다운로드할 수 있었습니다. 이 계획서에 따르면 ‘어떤 특정 다른 서버단으로의 리다이렉트를 위해 DNS 설정을 변경하는 새로운 악성코드’는 매일의 속도로 배포하게 되어 있었습니다. 실제로 이렇게 해서 생성된 DNS Changer 악성코드를 수 일 감시한 결과, 계획서대로 DNS 설정이 변경되는 사실도 확인했습니다.
그림5. 2010년과 2011년에 새로운 가짜 DNS 서버의 전개에 관한 상세 계획서
트렌드마이크로는 이 포스팅에서는 모두 공개할 수는 없지만 이번 건에 관해 다양한 형태의 증거를 입수했습니다. 우리가 확인한 증거를 통해 Rove Digital은 대규모 사이버범죄에 가담하고 있고 거대한 ‘DNS Changer 봇넷’에 직접 관여하고 있다는 사실을 명백히 알 수 있습니다.
트렌드마이크로는 FBI, 에스토니아 경찰, 트렌드마이크로, 그밖의 업계 관계자들의 협동으로 이 위험하고 거대한 봇넷을 폐쇄시킬 수 있었던 것을 매우 기쁘게 생각합니다. Rove Digital에 관련된 꾸준한 조사와 이러한 수사 협력관계가 있었기 때문에 이 봇넷 범죄에 관련된 용의자를 체포할 수 있었던 것은 아닐까요?
트렌드마이크로는 초기 단계에서 Rove Digital이 관여한 C&C 서버 및 백엔드 서버의 인프라를 찾는 데 성공했습니다. 그리고 2011년 11월 8일 시점까지 관련된 C&C 서버를 계속해서 감시했습니다. 한편 이번 수사에 협력한 다수의 업계 관계자들도 감염 사용자의 피해를 최소한으로 줄이면서 봇넷 폐쇄를 실현하는 데 커다란 공헌을 했습니다.
관련기사
- Trend Micro Malware Blog
Making a Million, Part One - Criminal Gangs, the Rogue Traffic Broker, and Stolen Clicks
Making a Million, Part Two - The Scale of the Threat
- Trend Micro Threat Research
A Cybercrime Hub(pdf)
트렌드마이크로 영문 블로그 ‘CounterMeasures’에서는 ‘Operation Ghost Click’의 수사에서 조사된 이번 사례의 피해에 대한 확인 방법을 소개하고 있습니다.
- Trend Micro CounterMeasures
How to check if you are a victim of Operation Ghost Click
참고기사
Esthost Taken Down - Biggest Cybercriminal Takedown in History
by Feike Hacquebord(Senior Threat Researcher)
FBI가 ‘Operation Ghost Click’이라고 부른 이 작전에서 뉴욕과 시카고의 데이터센터에 대해 강제수사가 실시되어 100대 이상의 C&C 서버로 형성된 인프라가 폐쇄되었습니다. 동시에 에스토니아 제2의 도시 타르투에서 이 범죄활동에 관여된 여러 멤버들이 에스토니아 경찰에 의해 체포되었습니다. 자세한 내용은 FBI 보도자료에서 확인할 수 있습니다.
이번에 폐쇄된 봇넷은 감염에 의해 ‘DNS 설정이 다른 IP주소로 변경된 컴퓨터’로 형성되었습니다. DNS 서버는 판독가능한 문자열로 구성된 도메인명을 인터넷 상의 컴퓨터에 할당된 IP주소로 변환하는 역할을 합니다. 대부분의 사용자는 계약한 인터넷 서비스 프로바이더(ISP)의 DNS 서버를 자동으로 이용합니다.
이 설정이 이른바 ‘DNS 설정을 변경하는 트로이목마형 악성코드(DNS Changer)’에 의해 사용자가 눈치채지 못하게 변조되어 사용자는 완전히 다른 DNS 서버를 이용하게 됩니다. 이들 DNS 서버는 악의적인 서드파티에 의해 설치되며 특정 도메인을 악의적인 IP주소로 바꿉니다. 그 결과, 피해를 입은 사용자는 자신도 모르게 악의적인 웹사이트로 유도됩니다.
이러한 ‘DNS Changer 봇넷’의 수법은 웹사이트 상의 광고를 악의적인 것으로 바꿔 사용자에게 나타내거나 검색엔진을 탈취하거나 다른 악성코드를 감염시키는 등 다양한 형태로 사이버범죄자들의 돈벌이에 활용됩니다.
그림1. Rove Digital에 의해 컨트롤된 IP주소 리스트
트렌드마이크로는 이 ‘DNS Changer 봇넷’에 관여하고 있는 것으로 보이는 조직의 정보를 2006년부터 파악하고 있었습니다. 그러나 법적기관을 통한 원활한 수사 실현을 위해 우리가 가진 정보의 공개는 보류하기로 했습니다.
그리고 이번에 주범 조직이 체포되었고 문제의 봇넷도 폐쇄되었기에 트렌드마이크로는 근 5년간 수집한 정보의 일부를 발표하기로 했습니다.
Rove Digital의 정체
악성코드 감염 활동부터 감염 컴퓨터를 봇으로 이용해 돈벌이를 하기까지 모든 단계에 관여하고 있었던 사이버범죄 조직이 바로 ‘Rove Digital’이라는 이름으로 알려진 회사입니다. 이 Rove Digital은 'Esthost' 'Estdomains' 'Cernel' 'UkrTelegroup' 그리고 그다지 알려지지 않은 소규모 더미회사를 통괄하는 ‘모회사’이기도 했습니다.Rove Digital은 언뜻 보면 타르투 시에 사무실을 차린 ‘직원이 매일 출근하는 매우 평범한 IT 기업’처럼 보입니다. 그러나 그 정체는 이 사무실을 거점으로 세계적인 규모로 감염시킨 방대한 수의 봇을 컨트롤해 매년 이들 봇으로부터 막대한 금전적인 이익을 부정하게 취하는 사이버범죄 조직이었습니다.
자회사인 웹 호스팅 서비스 리셀러 Esthost는 샌프란시스코에 있는 그들의 프로바이더 ‘Atrivo’가 민간기관에 의해 운용 정지되었을 때 동시에 오프라인이 된 것이 2008년 가을에 알려졌습니다. 이와 같은 시기에 Rove Digital의 도메인 등록회사인 Estdomains도 ICANN의 지시로 인증자격을 잃었습니다. CEO인 Vladmir Tsastsin가 모국 에스토니아에서 신용카드 사기에 관한 유죄판결을 받은 것이 이유였습니다. 이러한 배경에서 ‘Esthost도 사이버범죄 관련 고객을 주로 맡고 있는 것이 아닌가’하는 의심의 목소리가 높아지면서 Rove Digital도 Esthost에서 제공되는 호스팅 서비스를 중단시킬 수밖에 없었던 것 같습니다.
그러나 그들의 사이버범죄 자체는 다른 형태로 계속되었습니다. 과거 사례에서 얻은 교훈을 활용해 Rove Digital 배후의 범죄자 조직은 ‘C&C 서버 인프라를 전세계로 분산시킨다’는 수단을 강구한 것입니다. 그래서 이때까지 Atrivo에서 호스팅되된 대다수의 서버를 뉴욕의 Pilosoft 데이터센터로 옮긴 것입니다. 물론 그들은 여기에서도 이전부터 여러 대의 서버를 보유하고 있었습니다.
그림2,3. Rove Digital의 피해자로부터 공개된 거래명세서
Esthost가 많은 사이버범죄 고객을 보유했던 것은 2008년에도 이미 알려져 있었습니다. 그러나 Esthost와 Rove Digital이 직접적으로 이러한 사이버범죄에 깊이 관여되어 있었던 사실은 알려지지 않았습니다.
트렌드마이크로는 Rove Digital이 악성코드 감염 활동뿐만 아니라 C&C 서버와 가짜 DNS 서버, 그리고 DNS Changer 봇넷을 이용한 클릭사기로 금전사취에 사용된 인프라까지 광범위하게 컨트롤하고 있었던 사실을 파악했습니다. 또한 DNS Changer 악성코드 외에도 Esthost와 Rove Digital은 가짜 보안 소프트웨어(FAKEAV)와 클릭사기 관련 악성코드 배포부터 불법 약품 판매와 그밖의 다양한 사이버범죄에 관여되어 있었던 사실도 파악했습니다(여기에서는 자세한 내용을 언급하지 않겠습니다).
이렇게 해서 과거 수 년에 걸쳐 수집된 각종 증거를 통해 트렌드마이크로는 ‘Esthost와 Rove Digital이 사이버범죄와 사기행위에 직접적으로 관련이 있는 것은 틀림없는 사실’이라고 확신했습니다. Esthost와 Rove Digital에 대한 의심은 이러한 간단하지만 명백한 사실에서 시작되었습니다.
사이버범죄의 흔적
트렌드마이크로는 2006년, DNS Changer 네트워크(봇넷)에 관련된 여러 C&C 서버가 ‘Esthost.com’의 서브 도메인에 존재하는 것을 확인했습니다. 예를 들면 다른 가짜 DNS 서버에 관련된 IP주소가 DNS Changer 악성코드 내에서 하드코드화되어 있고 그 호스트가 ‘dns1.esthost.com’에서 ‘dns52.esthost.com’으로 되어 있었습니다. 1부터 52까지 숫자가 삽입되어 52개의 도메인명이 사용되고 있는 것을 알 수 있습니다.모든 가짜 DNS 서버를 한번에 업데이트할 수 있는 백엔드 서버도 ‘dns-repos.esthost.com’에 존재했습니다. 또한 가짜 코덱에 관련된 악성코드의 백엔드 서버도 ‘codecsys.esthost.com’에 존재했습니다. ‘esthost.com’의 도메인이 해킹이라도 되지 않는 한, Esthost 자체만이 이러한 매우 암시적인 서브 도메인을 그들의 도메인명에 추가할 수 있는 것입니다. 실제로 도메인 ‘esthost.com’이 다운되었을 때 Rove Digital은 자신들이 이용하고 있는 C&C 서버에 ‘.intra’로 끝나는 프라이빗한 도메인명을 사용하기 시작했습니다. 우리는 미국에 있는 Rove Digital의 서버 1대에서 완전한 .intra의 존파일을 다운로드하는 데 성공했습니다.
그림4. Rove Digital의 CEO인 Vladmir Tsastsin
또한 2009년에는 2대의 C&C 서버에 관련된 하드디스크 드라이브의 카피도 입수했습니다. 여기에서 ‘(DNS Changer 악성코드에 감염된 사용자에 의한) 웹사이트 상의 광고 교체’도 확인되었습니다. 또한 이 하드디스크 드라이브에서 Rove Digital의 여러 직원의 것으로 보이는 SSH의 공개 키도 확인했습니다. 이 공개 키를 통해 Rove Digital의 직원은 각각 프라이빗 키로 패스워드 없이도 C&C 서버에 로그인할 수 있습니다. 그리고 서버에서 입수한 로그파일을 바탕으로 해당 C&C 서버는 Rove Digital의 타르투 시 사무실에서 컨트롤되고 있었던 것이 틀림없다고 우리는 결론내렸습니다.
또한 Rove Digital이 ‘Nelicash’라고 불리는 ‘가짜 보안 소프트웨어(FAKEAV)와 가짜 DNS의 협력 프로그램(affiliate program)’을 운영하고 있었던 사실도 파악했습니다. 우리는 이 프로그램의 FAKEAV에 관련된 인프라 부분의 스키마를 다운로드하는 데 성공했습니다. 또한 ‘Nelicash’에 사용되었던 C&C 서버에서 실제로 이 가짜 보안 소프트웨어를 구입한 피해자에 관한 데이터도 발견했습니다.
이렇게 발견한 피해 정보를 통해, 에스토니아와 미국에서 Rove Digital이 관리하고 있는 IP주소로부터 Rove Digital의 직원이 테스트로 몇 개의 주문을 실시한 사실도 확인했습니다. 이러한 점에서 틀림없이 Rove Digital 자체가 FAKEAV를 판매하는 데 직접적으로 깊이 관여한 사실을 알 수 있습니다.
또한 동일 ‘Nelicash’ 관련 C&C 서버에서 ‘2010년과 2011년에 새로운 가짜 DNS 서버의 전개에 관한 상세 계획서’도 다운로드할 수 있었습니다. 이 계획서에 따르면 ‘어떤 특정 다른 서버단으로의 리다이렉트를 위해 DNS 설정을 변경하는 새로운 악성코드’는 매일의 속도로 배포하게 되어 있었습니다. 실제로 이렇게 해서 생성된 DNS Changer 악성코드를 수 일 감시한 결과, 계획서대로 DNS 설정이 변경되는 사실도 확인했습니다.
그림5. 2010년과 2011년에 새로운 가짜 DNS 서버의 전개에 관한 상세 계획서
트렌드마이크로는 이 포스팅에서는 모두 공개할 수는 없지만 이번 건에 관해 다양한 형태의 증거를 입수했습니다. 우리가 확인한 증거를 통해 Rove Digital은 대규모 사이버범죄에 가담하고 있고 거대한 ‘DNS Changer 봇넷’에 직접 관여하고 있다는 사실을 명백히 알 수 있습니다.
트렌드마이크로는 FBI, 에스토니아 경찰, 트렌드마이크로, 그밖의 업계 관계자들의 협동으로 이 위험하고 거대한 봇넷을 폐쇄시킬 수 있었던 것을 매우 기쁘게 생각합니다. Rove Digital에 관련된 꾸준한 조사와 이러한 수사 협력관계가 있었기 때문에 이 봇넷 범죄에 관련된 용의자를 체포할 수 있었던 것은 아닐까요?
트렌드마이크로는 초기 단계에서 Rove Digital이 관여한 C&C 서버 및 백엔드 서버의 인프라를 찾는 데 성공했습니다. 그리고 2011년 11월 8일 시점까지 관련된 C&C 서버를 계속해서 감시했습니다. 한편 이번 수사에 협력한 다수의 업계 관계자들도 감염 사용자의 피해를 최소한으로 줄이면서 봇넷 폐쇄를 실현하는 데 커다란 공헌을 했습니다.
관련기사
- Trend Micro Malware Blog
Making a Million, Part One - Criminal Gangs, the Rogue Traffic Broker, and Stolen Clicks
Making a Million, Part Two - The Scale of the Threat
- Trend Micro Threat Research
A Cybercrime Hub(pdf)
트렌드마이크로 영문 블로그 ‘CounterMeasures’에서는 ‘Operation Ghost Click’의 수사에서 조사된 이번 사례의 피해에 대한 확인 방법을 소개하고 있습니다.
- Trend Micro CounterMeasures
How to check if you are a victim of Operation Ghost Click
참고기사
Esthost Taken Down - Biggest Cybercriminal Takedown in History
by Feike Hacquebord(Senior Threat Researcher)