무려 10년 간 한국과 일본 양국을 중심으로 공격을 전개해온 위협 그룹이 있다. 틱 그룹(Tick Group 또는 Tick Threat Group)이 그들이다. 2013년 해외 보안 업체에 의해 처음 알려졌던 이 그룹은 이 보다 앞선 2008년경부터 국내에서 활동한 것으로 파악된다. 그러나 주로 일본에서의 공격 사례가 알려졌을 뿐 국내 사례는 많이 알려지지 않았다. 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)가 최근 ‘틱 그룹 공격 동향 보고서’를 발표하고 주요 공격 대상과 공격 기법에 대해 상세히 밝혔다.

틱 그룹(Tick Group)은 볼드나이트(Bald Knight), 브론즈 버틀러(Bronze Butler), 니안(Nian), 레드볼드나이트(RedBaldknight) 등으로도 불리며, 지난 2013년 해외 보안 업체에 의해 처음 알려졌다. 해당 업체가 이 그룹을 ‘틱(Tick)’으로 명명했던 2014년부터 본격적인 활동이 포착됐다. 이때부터 주로 한국과 일본 기관 및 기업에 대한 공격을 시도했다. 그러나 국내에서는 이보다 앞선 2008년에 해당 그룹과 관련된 악성코드가 발견된 바 있다. 이 그룹이 무려 10년 이상 우리나라를 공격 대상으로 삼았을 것으로 짐작되는 이유다. 

무엇보다 이 그룹은 한국과 일본의 인프라 환경에 대해 상당한 정보를 파악해 공격을 전개하고 있는 것으로 보인다. 일본 공격 사례에서는 주로 일본에서 사용되는 제품의 취약점을 이용했으며, 국내에서는 취약점 공격과 더불어 국산 백신이나 보안 USB 제품을 공격한 바 있기 때문이다.

국내 공격 사례를 중심으로 틱 그룹의 공격 기법과 악성코드에 대해 살펴본다. 

주요 공격 사례

국내의 경우, 틱 그룹은 방위산업체를 비롯해 국방 및 정치 관련 기관, 에너지, 전자, 제조, 보안, 웹 호스팅, IT 서비스 업체 등 다양한 산업 분야를 공격 대상으로 삼고 있다. 주로 스피어피싱, 어도비 플래시나 MS 오피스의 취약점 공격, 워터링홀 등의 공격 기법을 사용한다. 악성코드에 가비지 데이터(Garbage data)를 추가해 분석을 방해하거나 악성파일을 생성할 때 수십~수백 메가 바이트의 길이를 가진 파일을 생성해 보안 프로그램의 우회를 시도한다.  

[표 1] 틱 그룹의 주요 공격 사례 (2013-2019)

[표 1]은 이 그룹의 활동이 처음 확인된 2013년부터 2019년 2월 현재까지 알려진 공격 사례를 정리한 것이다. 

주요 악성코드 상세 분석

틱 그룹이 사용한 악성코드 종류는 다운로더 역할을 하는 비소다운(Bisodown, 일명 Cpycat 또는 HomamDownloader)와 고파러(Gofarer), 백도어인 다서프(Daserf), 댓퍼(Datper), H도어(Hdoor), 고스트랫(Ghostrat), 넷보이(Netboy, 일명 Domino 또는 Invader), 나인제로(Ninezero, 9002), Xxmm 등 다양하다. 이 그룹이 사용한 악성코드를 기능별로 살펴보면 다음과 같다. 

1. 다운로더(Downloader) 

공격자는 공격 대상에게 업무와 관련된 내용으로 위장한 메일을 보낸다. 메일에는 PDF 또는 워드 문서 파일로 위장한 실행 파일을 첨부한다. 사용자가 문서 파일로 보이는 첨부 파일을 열면 실행 파일이 동작하고 다운로더에 의해 추가 악성코드를 다운로드 한다.

이 그룹이 사용한 다운로더 악성코드는 2014년 4월 처음 발견된 비소다운(Bisodown)과 2015년 발견된 고파러(Gofarer)가 있다. 비소다운은 2019년 현재까지 국내 기업 및 기관을 대상으로 한 공격에 여러 차례 사용되었다.  

2015년 이후 발견된 다운로더 변형은 파일 생성 시 파일 끝에 가비지 데이터를 추가해 파일 크기를 수십 ~ 수백 메가바이트에 이르게 한다. 

고파러(Gofarer) 다운로더의 디지털 서명을 확인한 결과, [그림 3]과 같이 헤루이다 일레트로닉(Heruida Electronic)이라는 업체의 인증서를 갖고 있는 것으로 나타났다. 그러나 해당 업체가 실존하는 업체인지는 확인되지 않았다.

[그림 3] 악성코드의 디지털 서명

그런데 이와 동일한 인증서로 서명된 또 다른 4개의 악성코드가 발견되었다. 이들 중 2015년 7월에 발견된 변형과 인증서가 없는 변형은 모두 일본에서 발견되었다. 아직까지 국내에서는 고파러 변형이 확인된 바 없다. 

2. 백도어(Backdoor)

백도어 기능을 가진 악성코드는 다서프(Daserf, 일명 Muirim, Nioupale, Postbot), 넷보이(Netboy, 일명 Domino, Invader, Kickesgo), 나인제로(Ninezero 또는 나인제로 9002), Xxmm(일명 KVNDM, Minzen, Murim, ShadowWali, Wali, Wrim), 댓퍼(Datper) 등이다.

다서프는 주로 파일 목록 보기, cmd.exe로 명령 수행, 파일 업로드/다운로드/삭제/실행 등의 기능을 수행한다. 2009년에 처음 발견되었으나, 국내에서 확인된 것은 2011년 4월이 처음이다. 초기에는 C 언어로 제작되었지만 2013년 이후 델파이로 제작된 변형들도 존재한다. 다서프 변형들의 크기는 대략 30~40 킬로바이트 정도이나 일부 변형은 100 킬로바이트 이상인 경우도 있다.

다서프 변형들은 버전 정보와 같은 특징적 문자열과 파일 끝에 암호화된 C&C 정보를 갖고 있다. 또한 버전 정보를 포함하고 있는데, [그림 4]에서 볼 수 있는 샘플의 버전은 1.3G다. 파일 끝 부분에는 암호화된 C&C 정보가 존재한다.

[그림 4] 버전 정보가 포함된 다서프 악성코드의 문자열

국내 공격 사례 중 지난 2011년 4월 다서프 악성코드에 감염된 시스팀에서 keyll.ee라는 파일명의 키로거가 확인되었며, 다서프에 감염된 또 다른 시스템 2개에서도 이와 유사한 키로거가 발견됐다. 다서프가 키로거를 다운로드한 것으로 보인다.

넷보이(Netboy)는 델파이로 작성된 악성코드로, 대부분의 변형들은 주요 문자열이 0x7C로 XOR 암호화되어 있다. 국내에서는 2008년에 초기 버전이 발견되었으며, 다른 변형과 마찬가지로 주요 문자열이 0xC7로 XOR 암호화되어 있었으나 DLL 파일 형태였다. 또한 해당 변형은 이후 2010년에 발견된 샘플과는 코드도 상당히 다르다. 국내에서 넷보이 변형이 가장 많이 발견된 것은 2010년으로, 이후 본격적으로 활동하기 시작했다. 

[그림 5] 넷보이 악성코드의 XOR 암호 코드

넷보이 악성코드는 explorer.exe 등 정상 프로세스에 악의적인 코드를 삽입해 키로깅, 화면 캡쳐, 프로세스 리스트, 프로그램 실행 등의 기능을 수행한다. 2013년에 발견된 변형부터 코드 중간에 가비지 데이터를 추가하는 등 분석을 방해한다.

나인제로(Ninezero)는 틱 그룹이 2012년부터 2013년 사이에 사용한 악성코드로, 통신할 때 '9002' 문자열을 전송하는 특징 때문에 ‘9002 백도어’로도 불린다. 국내에서 나인제로 악성코드가 확인된 것은 2012년이다. 약 70 킬로바이트 정도 길이를 가지며, 실행되면 DLL 형태의 실제 백도어를 생성하고 서비스로 동작한다. 안랩의 분석 결과, 일부 시스템은 넷보이에 감염된 후 나인제로에 감염된 흔적이 확인됐다.

2015년 처음 발견된 또 다른 백도어 악성코드는 [그림 6]과 같이 코드 내부에 Xxmm라는 문자열이 존재해 Xxmm라는 이름이 붙었다. 그러나 틱 그룹이 이 악성코드를 본격적으로 사용한 것은 2016년부터다. 

[그림 6] Xxmm의 특징적인 문자열

Xxmm은 크게 드롭퍼, 로더(Loader), 백도어 모듈로 구성되어 있다. 드롭퍼가 실행되면 운영체제를 확인해서 32비트 악성코드나 64비트 로더 악성코드를 생성한다. 로더가 실행되면 암호화된 백도어 악성코드를 메모리에 인젝션하여 실행한다. Xxmm 또한 가비지 데이터를 추가해 파일 길이를 50 메가바이트 ~ 100 메가바이트로 늘린다.

댓퍼(Datper)는 2015년부터 2019년 3월 현재까지 발견되고 있으며, 델파이로 작성되었다. 틱 그룹이 사용한 다른 악성코드와 마찬가지로 코드 중간에 가비지 데이터가 포함되어 있다. 댓퍼 변형에 감염된 일부 시스템에서는 키로거나 미미카츠 악성코드가 발견되기도 했다. 

3. 키로거(Keylogger) 

앞서 언급한 것처럼 2011년 4월과 5월 사이 대스퍼 악성코드에 감염된 일부 시스템들에서 keyll.exe라는 이름의 키로거가 발견되었다. 이 키로거가 실행되면 사용자가 입력하는 키 내용이 c:\windows\log.txt 파일에 저장된다. 

[그림 7] 2011년 키로거 문자열

2017년과 2018년에 비소다운 악성코드나 댓퍼 악성코드에 감염된 시스템들에서 또 다른 키로거가 발견되었다. 해당 키로거의 파일 이름은 apphelp.dll, k6.dll, linkinfo.dll 등으로, 약 40~50 킬로바이트의 길이를 갖고 있다.

[그림 8] 2017년 키로거 문자열 

주요 공격 도구 분석 

안랩에서 틱 그룹의 활동을 추적하면서 공격자가 보유한 다양한 공격 도구를 확인했다. 

1. 백신 프로그램 우회(Anti-AV)

Anti 1.0은 국내에서 널리 사용되는 국산 백신 프로그램 공격용 악성코드를 생성하는 도구이다. 2011년 5월부터 7월까지 다수의 변형이 제작되었다.

[그림 9] 국산 백신 프로그램 공격용 악성코드 생성기

[그림 10] 국산 백신 프로그램 공격 코드의 문자열​

2. 빌더(Builder) 

2011년에 제작된 엔포스(NForce)는 취약점을 공격하는 악성 PDF를 생성(build)하는 프로그램이다.  

[그림 11] 악성 PDF 생성기 엔포스

쉐도우던(ShadowDawn)은 2016년에 발견된 빌더로, Xxmm 빌더([그림 13] 참고)와 UI가 유사하다.  

3. 콘트롤러(Controller) 

틱 그룹은 다수의 콘트롤러 프로그램을 이용해 넷보이나 Xxmm 악성코드를 제작했다.  

그 중에서도 넷고스트(NetGhost)는 2014년부터 2017년까지 발견된 악성코드 생성 및 콘트롤러이다. ‘Modified From Gh0st 3.6’과 같은 문자열이 포함된 점을 봤을 때 고스트(Gh0st)을 기반으로 제작되었을 가능성이 있다. 

4. WCE (Windows Credentials Editor)

WCE(Windows Credentials Editor)는 윈도우 시스템 계정 정보를 알 수 있는 프로그램이다. 공격자는 2013년에 WCE.exe를 사용했다. 

2014년에는 64비트 WCE가 처음 발견되었으며, 2016년 6월에 발견된 64비트 WCE는 앞서 살펴본 고파러 악성코드의 디지털 서명과 같이 ‘헤루이다 일렉트로닉(Heruida Electronic)’이라는 업체의 인증서를 갖고 있다. 

5. 미미카츠(Mimikatz)

틱 그룹은 2015년부터 WCE 대신 미미카츠(Mimikatz)를 이용해 계정 정보 탈취를 시도했다. 또한 댓퍼 악성코드에 감염된 시스템에서 mi.exe, m3.exe 등의 이름을 가진 미미카츠 변형이 발견되었다.

안랩 V3 제품군에서는 틱 그룹과 관련된 악성코드를 다음과 같은 진단명으로 탐지하고 있다. 

<V3 제품군 진단명>

Dropper/Win32.Homam

Trojan/Win32.Daserf

Trojan/Win32.Datper

Trojan/Win32.Domino

Trojan/Win32.Gofarer

Trojan/Win32.Homamdown

Trojan/Win32.MalCrypted

Trojan/Win32.Netboy

Trojan/Win32.Xxmm

Win-Trojan/Injector.37100

악성 파일의 움직임을 파악할 수 있어야 

악성코드만으로 공격의 배후를 특정하기에는 한계가 있다. 그러나 틱 그룹의 경우, 일부 악성코드의 인증서 서명이 동일하거나 다서프에 감염된 시스템에서 넷 보이가 발견되거나 나인제로에 감염된 시스템에서 넷보이도 함께 발견되는 등 뚜렷한 연관성이 나타난다. 또 대다수의 악성코드가 가비지 데이터를 추가해 파일 사이즈를 늘리는 방법을 사용하고 있다는 점도 유사하다. 이는 대부분의 보안 제품이 과도하게 큰 사이즈의 파일은 수집하지 않는다 점을 노린 것이다.

물론, 일부 악성코드에서는 연관성을 파악하기 어려우며 다른 그룹의 악성코드로 알려진 비소날(Bisonal) 계열의 악성코드를 다운로드 하기도 했다. 

결국 틱 그룹에 의한 공격의 연관성을 보다 명확히 밝혀내기 위해서는 악성코드뿐만 아니라 C&C 서버 등의 특징을 확인해야 한다. 특히 목표 대상의 내부에서 악성코드가 이동한 과정, 즉 래터럴 무브먼트(Lateral movement)를 파악하는 등의 작업도 필요하다. 따라서 틱 그룹의 공격 대상인 기업 및 기관에서는 엔드포인트를 중심으로 악성 파일이 유입된 지점부터 파일의 이동 경로, 행위 및 다른 파일과의 연관관계를 상세히 파악하고 추적할 수 있는 방안을 마련해야 한다. 이와 함께 보안 업체와의 적극적인 정보 공유가 요구된다. 또한 틱 그룹이 한국과 일본을 대상으로 공격을 전개하고 있는만큼 국가 간의 공조도 이뤄져야 한다. 

안랩 시큐리티대응센터(ASEC)가 발표한 ‘틱 그룹 공격 동향 보고서’ 전문은 안랩 홈페이지에서 확인할 수 있다.

▶'틱 그룹 공격 동향 보고서’ 다운로드