ATM에서 돈 훔치기 위해 신종 루트킷으로 공격하는 해킹 그룹

Article

ATM에서 돈 훔치기 위해 신종 루트킷으로 공격하는 해킹 그룹 - 데일리시큐

ATM에서 돈 훔치기 위해 신종 루트킷으로 공격하는 해킹 그룹

데일리시큐, 길민권, 2022.03.23 00:03

 

---

Resurch

▶ 루트킷(Rootkit)

- 시스템에 전반적으로 접근할 수 있는 root를 쉽게 얻을 수 있게 하는 kit

- 이를 통해 해킹 시 사용자는 해킹당하고 있음을 알지 못하게 됨

- 해커가 설치한 악성코드가 백신이나 PC 사용자에게 발각되지 않도록 숨겨주는 역할

- 커널에서 작동하므로 탐지 및 분석이 어려움

- 침입자는 먼저 암호를 크래킹하거나 취약점을 찾아내어 사용자용 접근 권한을 획득한 뒤, 컴퓨터에 루트킷을 설치함

​

▶ 백도어

- 정상적인 인증 절차를 거치지 않고 컴퓨터와 암호 시스템 등에 접근할 수 있도록 하는 방법

- 시스템 설계자, 혹은 관리자에 의해 남겨진 시스템적인 보안 허점을 말함

- 시스템에 최단 기간에 침입 가능하며, 관리자가 아무리 안전하게 관리하려고 해도 시스템에 침입이 가능해짐

​

▶ 백도어의 종류

패스워드 크래킹 백도어

: 유닉스 시스템에 접속하기 위한 최초의 백도어로 사용하지 않는 계정을 탐색하여 패스워드를 어려운 계정으로 바꿈

커널 백도어

: 커널은 유닉스 시스템이 운용되는 핵심으로서, 라이브러리에서 사용되었던 같은 방법, MD5 체크섬을 우회하도록 만들어짐

네트워크 트래픽 백도어

: 일반적으로 사용하지 않는 네트워크 포트를 사용하여 시스템에 침입하므로 관리자들이 이를 간과하기 쉬움

: 이외 TCP 셸 백도어, UDP 셸 백도어, 라이브러리 백도어 등이 있음

 

 

---

Summary

- 오라클 솔라리스 시스템을 타깃으로 한 신종 루트킷을 유포하는 공격 정황

- 목적은 ATM의 스위칭 네트워크를 해킹해 무단으로 현금을 인출하려는 목적

- 이들은 높은 수준의 OPSEC을 포함하고, 증거를 없애고 대응을 방해하기 위해 다양한 악성코드, 유틸리티, 스크립트를 활용함

- 백도어 SLAPSTICK과 TINYSHELL 사용

→ 미션 크리티컬 시스템에서 원격 접속 권한을 얻거나 rlogin 또는 telnet, SSH를 통한 셸 실행 및 파일 전송에 사용함

- TINYSHELL 백도어를 숨기기 위해systemd(SYSTEMD), NCSD(name service cache daemon), ATD(name service cache daemon)와 같은 다른 서비스로 위장함