“멀티‑스텝 웜 추적 패턴: 공격자·피해자·공동 관점에서 블라스터 변종 분석”

📝 Abstract

The number of malware variants is growing tremendously and the study of malware attacks on the Internet is still a demanding research domain. In this research, various logs from different OSI layer are explore to identify the traces leave on the attacker and victim logs, and the attack worm trace pattern are establish in order to reveal true attacker or victim. For the purpose of this paper, it will only concentrate on cybercrime that caused by malware network intrusion and used the traditional worm namely blaster worm variants. This research creates the concept of trace pattern by fusing the attackers and victims perspective. Therefore, the objective of this paper is to propose on attackers, victims and multistep, attacker or victim, trace patterns by combining both perspectives. These three proposed worm trace patterns can be extended into research areas in alert correlation and computer forensic investigation.

💡 Analysis

**

1. 연구 배경 및 필요성

• 악성코드 변종 급증: AV‑Test 자료에 따르면 매년 신규 악성코드 샘플이 기하급수적으로 증가하고 있으며, 변종은 보안 솔루션 회피를 위해 짧은 시간 내에 생성된다.
• 기존 연구의 한계: 대부분의 공격 패턴 연구가 공격자 관점에만 초점을 맞추어, 피해자 로그에서 나타나는 증거를 충분히 활용하지 못한다.
• 본 연구의 차별점: 공격자·피해자·멀티‑스텝(공격자↔피해자) 관점을 동시에 고려함으로써, ‘누가 진짜 공격자이고 누가 피해자인가’를 명확히 구분할 수 있는 새로운 추적 프레임워크를 제시한다.

2. 실험 설계 및 데이터 수집

• 강점: 동일 실험 환경에서 공격자와 피해자 양쪽 로그를 동시에 확보함으로써, 로그 간 상관관계를 정량·정성적으로 검증 가능.
• 제한점: 실험에 사용된 OS가 Windows XP에 국한되어 최신 운영체제(Windows 10/11, Linux)에서의 변종 행동 차이를 반영하지 못한다.

3. 제안된 추적 패턴

1. 공격자‑전용 패턴

   • 포트 사용: OPEN TCP 135 → OPEN TCP 4444 → OPEN‑INBOUND UDP 69 (TFTP)
   • 프로세스 생성: Event ID 592 (tftp.exe, msblast.exe)
   • 네트워크 흐름: 공격자 IP → 피해자 IP (Outbound)

2. 피해자‑전용 패턴

   • 포트 감지: OPEN‑INBOUND TCP 135/4444, OPEN UDP 69 (수신)
   • 시스템 이벤트: Event ID 7031 (RPC 서비스 비정상 종료), Event ID 1074 (시스템 재부팅)
   • IDS 알림: “TFTP Get” on UDP 69, source = 피해자, dest = 공격자

3. 멀티‑스텝(공격자↔피해자) 패턴

   • 연쇄 감염: 초기 피해자(A)가 공격자 역할을 수행해 다른 호스트(B)를 감염 → B가 다시 공격자 역할 수행.
   • 로그 연계: A의 OPEN‑INBOUND 로그 ↔ B의 OPEN 로그가 시간 순서대로 매칭됨.
   • 시나리오 재현: Sahib → Yusof 감염 과정에서 확인된 “백도어 열림 → TFTP 전송 실패 → 재시도” 흐름.

4. 학술적·실무적 기여

• 통합 추적 모델: 공격·피해자 관점을 동시에 고려한 3‑레벨 패턴 프레임워크는 기존 단일 관점 모델보다 포렌식 조사 시 증거 연쇄(chain of evidence) 를 명확히 연결한다.
• 경보 상관관계: IDS 알림과 호스트 로그를 매핑함으로써 오탐(false positive) 감소와 실시간 대응에 활용 가능한 규칙을 도출한다.
• 멀티‑스텝 감염 시나리오: 감염된 호스트가 다시 공격자가 되는 “재전파” 메커니즘을 정량화함으로써 네트워크 전파 모델링에 새로운 변수(감염 후 공격 행동)를 제공한다.

5. 한계 및 개선점

6. 향후 연구 방향

1. 다중 OS·플랫폼 적용 – Linux, macOS, 모바일 OS에 대한 웜 변종 로그 수집 및 패턴 도출.
2. 실시간 탐지 엔진 – 제안된 3‑레벨 패턴을 기반으로 SIEM 시스템에 규칙 기반/AI 기반 탐지 모듈 구현.
3. 대규모 시뮬레이션 – 클라우드 기반 가상 네트워크에서 수천 대의 호스트를 대상으로 멀티‑스텝 감염 시나리오 재현, 전파 속도와 방어 효과 분석.
4. 법적·윤리적 프레임워크 – 포렌식 증거로서 로그 패턴의 법적 신뢰성을 검증하고, 개인정보 보호와의 균형을 연구.

**

📄 Content

요즘 악성코드에 의해 발생하는 인터넷 위협 사례가 급격히 증가하고 있다. 트로이목마, 바이러스, 웜으로 구성된 악성코드는 전 세계 인터넷 사용자들을 위협하고 수십억 달러에 달하는 손실을 초래하고 있다. AV‑test.org이 보고한 바와 같이 악성코드 변종의 기하급수적인 증가는 매우 우려스러운 상황이다[1]. 이는 최근 몇 년간 새로 발견된 악성코드 샘플 수가 지속적으로 증가하고 있음을 보여주는 그래프(그림 1)에서 확인할 수 있다.

그림 1. 악성코드 수의 지속적인 증가[1]
보고서에서 제시된 악성코드 수는 누적값이 아니라, 특정 기간에 새롭게 식별된 변종만을 의미한다. 즉, 이전에 발견된 변종은 포함되지 않는다.

이는 고유한 악성코드가 소수에 불과하다는 뜻이 아니다. 동일한 악성코드에 대해 수많은 변종이 존재한다. 변종은 보안 도구를 회피하기 위해 종종 만들어지며, 예를 들어 웜은 1시간 이내에 다른 변종으로 변이될 수 있다[2]. 이러한 변이 과정은 보안 솔루션이 위협을 탐지하기 어렵게 만든다.

이러한 이유로 인터넷 공격에 대한 연구는 중요한 연구 분야가 되었다. 인터넷 공격에 대한 연구는 특히 효과적인 보안 도구를 개발하여 사용자를 공격 위협으로부터 방어하는 데 필수적이다. 인터넷 위협과 관련된 데이터를 수집하는 일은 보안 연구자들에게 비교적 일반적인 작업이며, 수집된 데이터를 통해 공격 패턴을 분석함으로써 공격의 근본 원인과 영향을 파악할 수 있다. 공격 패턴은 포렌식 분야에서 증거를 수집·추적하는 조사자에게도 유용한 지침이 된다[3]. [4]에 따르면 공격의 해부학은 공격자와 피해자 양측의 관점을 포함한다.

이러한 과제를 해결하고자 본 논문은 공격자, 피해자, 그리고 다단계(공격자/피해자) 관점을 모두 아우르는 추적 패턴(trace pattern) 을 제안한다. 본 연구는 다양한 OSI 계층의 로그를 조사하여 공격자와 피해자 로그에 남는 흔적을 식별하고, 진정한 공격자와 피해자를 밝히기 위한 추적 패턴을 구축한다. 연구 범위는 전통적인 웜, 특히 블라스터 웜(Blaster worm) 변종에 의한 악성코드 네트워크 침입에 국한한다.

일반적으로 악성코드는 바이러스, 웜, 트로이목마로 구분된다[5]. 본 연구에서는 [6]에서 정의한 전통적인 웜, 즉 블라스터 웜에 초점을 맞춘다.

블라스터 웜은 RPC DCOM 취약점을 이용한 공개 익스플로잇을 사용해 피해자의 시스템에 시스템 수준 쉘을 획득한다[7]. 웜은 먼저 TCP 135 포트가 열려 있는 호스트를 탐색하고, 각 호스트에 동시에 연결 시도를 보낸다. 대상 호스트를 찾으면 Windows 버전을 확인한 뒤 RPC DCOM 익스플로잇을 전송해 TCP 4444 포트에 시스템 수준 쉘을 바인딩한다. 목표 시스템이 성공적으로 장악되면, 웜은 TFTP(UDP 69)를 이용해 msblast.exe 실행 파일을 전송한다. 이 실행 파일에는 공개 DCOM 익스플로잇에 사용되는 페이로드와 TFTP 기능이 모두 포함되어 있다. 파일 전송이 완료되거나 20초가 경과하면 TFTP 서버는 종료되고, 웜은 피해자에게 추가 명령을 내려 msblast.exe 를 실행한다[8]. 실행 파일이 정상적으로 다운로드되면, 감염된 호스트는 다시 새로운 감염 주기를 시작하고, 웜은 계속해서 IP 주소를 순회하며 전파한다.

추적(trace) 은 특정 상황이나 현상의 원인·근원을 찾는 과정으로 정의되며, 패턴(pattern) 은 그 상황이 발생하는 규칙적인 방식을 의미한다[9]. 추적 패턴은 범죄 현장에서 발견된 증거를 추적하는 조사자에게 필수적인 도구이다. 컴퓨터 범죄 관점에서 이러한 추적은 디지털 장치 전반에 존재한다. 흔적은 로그인·로그아웃, 웹 페이지 방문, 문서 접근, 파일 생성, 그룹 소속 등 다양한 활동 기록을 포함한다. 흔적 데이터는 주로 로그 파일에 저장되며, 포트, 동작, 프로토콜, 출발지·목적지 IP 주소와 같은 선택된 속성을 중심으로 기록된다.

로그 데이터를 분석하면 피해자와 공격자를 식별할 수 있다. 공격 패턴을 추적 패턴 형태로 표현하면 범죄가 어떻게 수행되는지 파악하는 데 도움이 된다. 공격 패턴은 공격자 관점에서 정의된 패턴으로, 공격 수행 방식, 방어에 적용 가능한 보안 패턴, 그리고 공격 발생 후 추적 방법을 기술한다[10].

공격 패턴은 공격 목표와 전략을 체계적으로 서술함으로써 방어와 추적에 필요한 정보를 제공한다. 따라서 포렌식 조사자는 공격 패턴을 활용해 증거를 탐색하고, 네트워크 포렌식 정보를 구조화된 방식으로 수집·표현할 수 있다. 이는 조사 단계에서 수집해야 할 구성 요소를 결정하고, 데이터 우선순위를 정하며, 각 구성 요소의 위치를 파악하고 데이터를 수집하는 과정을 지원한다[11].

다양한 연구자들이 attack pattern 을 다르게 정의하고 있다. 예를 들어, [12]는 공격 패턴을 일반적인 공격 단계의 연속으로 보며, [13]은 공격 단계, 목표, 전제조건·후조건을 포함하는 개념으로 정의한다. [14]는 공격 패턴을 소프트웨어 취약점을 이용한 익스플로잇을 생성하는 공격자의 접근 방식으로 보고, 버퍼 오버플로우나 구조적 약점을 이용한 공격 방법을 포괄하는 프레임워크라고 설명한다.

비록 정의는 다소 차이가 있더라도, 모든 연구자는 공격 패턴 이 잠재적인 공격으로부터 시스템을 보호하는 데 핵심적인 역할을 한다는 점에 동의한다. 소프트웨어 개발자는 공격 패턴을 통해 자신의 제품이 어떻게 공격당할 수 있는지 이해하고, 사전 방어 조치를 설계한다. 네트워크 관리자와 엔지니어 역시 공격 패턴을 분석해 네트워크에 대한 잠재적 위협을 파악하고, 취약점을 차단한다.

[12]·[13]·[14]는 공격자의 관점에서 공격 패턴을 제시하고, [10]·[11]은 공격 수행 방식·목표·방어·추적 방법을 다룬다. 그러나 이들 연구는 모두 피해자 관점 을 배제하고 있다. 따라서 본 연구는 공격자·피해자·다단계(공격자/피해자) 관점을 모두 포함한 추적 패턴 을 제안하여, 공격이 어떻게 수행되었는지와 그 결과가 무엇인지를 명확히 밝히고자 한다.

다단계 관점은 [15]의 연구를 기반으로 하며, 진정한 공격자와 피해자를 구분하는 데 목적이 있다. 다단계 공격은 일련의 공격 단계가 순차적으로 수행되는 과정으로, 각 단계는 이전 단계가 성공적으로 완료되어야만 진행된다. 일반적인 흐름은 스캔 → 침입 → 도구 설치 → 내부 스캔 이다[16].

다음 절에서는 본 연구에서 사용한 실험적 접근 방법을 소개한다. 실험은 네트워크 환경 구축 → 공격 활성화 → 추적 패턴 로그 수집 → 추적 패턴 로그 분석 네 단계로 진행되며, 각 단계는 그림 2에 요약되어 있다.

네트워크 환경은 MIT Lincoln Lab이 제시한 시뮬레이션 설정[17]을 그대로 차용했으며, CentOS와 Windows XP만을 사용해 실험 환경을 구성하였다. 네트워크 토폴로지는 그림 3과 같다. 두 개의 스위치, 하나의 라우터, 세 대의 서버(IDS Arowana, IDS Sepat, NTP 서버)와 일곱 대의 피해자 머신, 한 대의 공격자 머신으로 이루어져 있다. 모든 서버는 CentOS 4.0, 나머지 호스트는 Windows XP를 실행한다.

공격자는 Tarmizi 라는 이름의 머신이며, 블라스터 변종을 이용해 공격을 수행한다. 실험은 인간의 개입 없이 1시간 동안 자동으로 진행되어, 공격자와 피해자 각각의 로그를 수집한다.

각 호스트는 개인 방화벽 로그, 보안 로그, 애플리케이션 로그, 시스템 로그, 그리고 Wireshark 로그를 생성한다. IDS 머신은 알림 로그와 tcpdump 로그를 만든다. 수집된 로그는 각 피해자·공격자 머신에서 분석되며, Wireshark·tcpdump 파일은 특정 호스트 간 트래픽을 검증하는 데 사용된다.

추적 패턴 로그 분석 과정에서는 공격자와 피해자 머신이 생성한 로그를 검토한다. 목표는 선택된 로그에 남은 흔적을 관찰함으로써 피해자·공격자·다단계(피해자/공격자) 추적 패턴을 식별하는 것이다. 분석 결과는 제5절에서 제시할 웜 추적 패턴 을 구성하는 데 활용된다.

실험 전 과정에서 생성된 모든 로그를 수집했으며, 이를 기반으로 공격 시나리오를 도출하였다. 시나리오 분석 결과, Tarmizi 가 블라스터 웜을 활성화했고, 포트 135, 4444, 69를 이용해 대부분의 호스트를 감염시켰다. 단, Yusof 와 Selamat 은 포트 135와 4444는 열렸지만, 포트 69를 통한 악성 코드 전송에 실패해 감염되지 않았다. 이후 감염된 호스트 중 Sahib 가 Yusof 를 대상으로 추가 공격을 수행했다.

추적 패턴 분석의 목적은 피해자·공격자·다단계(피해자/공격자) 추적 패턴을 구성하는 것이다. 분석에 사용된 로그는 호스트 로그(개인 방화벽, 보안, 시스템, 애플리케이션)와 네트워크 로그(IDS 알림)이다. 앞서 도출한 시나리오를 바탕으로, 각 로그에서 나타나는 지문(fingerprint) 을 추출해 추적 패턴을 만들었다.

분석 대상은 Sahib 와 Yusof 를 피해자로, Tarmizi 를 공격자로 설정하였다(그림 3). 추적 작업은 먼저 피해자 로그를 검토한 뒤, 공격자 로그를 순차적으로 살펴보는 방식으로 진행되었다. 네트워크 로그는 호스트 수준 추적을 보완하는 역할을 수행한다. 다음 절에서는 피해자·공격자·다단계(공격자/피해자) 추적 패턴에 대한 상세 분석 결과를 제시한다.

1) 피해자 측 추적 패턴

피해자 호스트와 네트워크 로그에서 추출된 데이터는 그림 5에 요약되어 있다. 주요 증거는 개인 방화벽 로그, 보안 로그, 시스템 로그, 애플리케이션 로그에 존재한다.

• 개인 방화벽 로그: 포트 135 TCP, 4444 TCP, 69 UDP가 기록된다. 이는 [7], [18], [19]에서 밝혀진 바와 같이 블라스터 웜이 시스템 수준 쉘을 획득하기 위해 이용하는 취약 포트이다. 해당 포트는 원격 호스트가 로컬 호스트에 코드를 실행하도록 하는 인터프로세스 통신 메커니즘을 제공한다[20]. 로그에 나타나는 Source IP와

이 글은 AI가 자동 번역 및 요약한 내용입니다.