Hugh_휴 님의 블로그

뉴스25. 검색 수익화 솔루션 가장... 백신 제거해 2만5000개 시스템 위협 노출 본문

뉴스 클리핑

뉴스25. 검색 수익화 솔루션 가장... 백신 제거해 2만5000개 시스템 위협 노출

Hugh_휴 2026. 4. 21. 09:00

기사 요약:

검색 수익화 기업 드래곤 솔루션이 정상 업데이트 경로를 악용해 전 세계 2만 5천여 대의 시스템 권한을 장악하고 백신 기능을 무력화했으나, 보안 기업 헌트리스의 '싱크홀링' 작전으로 추가 확산이 저지되었다.

 

1. 드래곤보스솔루션(Dragon Boss Solutions)사가 정상적인 소프트웨어 업데이트 경로를 악용하여 운영체제의 최상위 권한(SYSTEM)을 탈취한 뒤 악성 스크립트를 배포했다.

 

2. 공격에 사용된 스크립트는 실행 중인 백신 프로그램을 강제 종료하고 보안 서비스를 삭제했으며, 호스트 파일을 변조하여 백신의 업데이트와 재설치까지 차단했다. 미국을 중심으로 전 세계 약 2만 5,000개 이상의 시스템이 노출되었으며, 특히 대학, 에너지 인프라, 정부 기관 등 국가 주요 자산이 다수 포함되어 있다.

 

3. 보안 기업 헌트리스는 공격자가 미처 등록하지 않은 도메인을 먼저 점검해 가짜 서버로 연결하는 '싱크홀링' 작전을 펼쳐 해커의 지령을 무력화했다.

개인 의견:

보안 기업 헌트리스의 대응 방식은 매우 인상적이며, 해커가 아직 확보하지 않은 도메인을 먼저 등록하여 악성 트래픽을 가짜 서버로 유도하였으며. 이는 현대 보안 기술이 단순히 방어에 머무르지 않고, 공격자의 심리와 다음 수를 예측하는 방법을 사용한다는 것을 볼 수 있었다.

 

 

<공격과정>

  • 침투 및 준비: 사용자가 드래곤보스(Dragon Boss) 사의 프로그램(PUP)을 설치하면, 내부적으로 RaceCarTwo.exe라는 실행 파일이 가동된다. 이 파일은 업데이트를 위해 Update URL(C2 서버)에 접속하며, 만약 이 서버가 차단될 경우를 대비해 Fallback URL이라는 예비 서버를 통해 공격 명령을 계속 유지한다.
  • 위장 및 권한 탈취: 공격자는 setup.msi 파일을 이미지 파일(.gif)인 것처럼 위장하여 배포한다. 윈도우 정상 프로그램(msiexec.exe)이 이 파일을 실행하는 과정에서 운영체제 최상위 권한인 SYSTEM 권한을 탈취하며, 악성 스크립트 실행을 돕는 발사대 역할의 라이브러리(PowerShellScriptLauncher.dll)가 함께 작동한다.
  • 명령어 구성: 스크립트 실행 직전, !_Strings라는 별도의 파일에서 실제 공격에 필요한 명령어와 설정값들을 불러온다. 이는 보안 프로그램의 감시를 피하기 위해 본체(스크립트)와 공격 내용(문자열)을 분리해 둔 지능적인 수법이다.
  • 백신 무력화: 준비가 끝나면 3가지 파워쉘 스크립트가 실행된다. 현재 켜진 백신을 즉시 종료·삭제하는 ClockRemoval.ps1, 재부팅 시에도 백신을 다시 죽여 확인사살하는 ClockRemoval-WmiBoot.ps1, 그리고 윈도우 디펜더가 공격 경로를 검사하지 못하게 만드는 DefenderExclusions.ps1이 시스템 방어막을 완전히 해체한다.
  • 지속성 확보: 마지막으로 해커는 자신들이 쫓겨나지 않도록 5개의 예약 작업(5x Scheduled Tasks)을 등록하여 백신 삭제 명령을 무한 반복시키며, WMI 이벤트에 악성 코드를 심어 컴퓨터를 켤 때마다 공격이 자동으로 시작되는 '좀비 PC' 상태를 완성한다.

 

<용어정리>

  • SYSTEM 권한: 윈도우 운영체제에서 일반 사용자나 관리자보다 높은 최상위 권한입니다. 이 권한을 얻으면 백신 삭제 등 시스템의 모든 기능을 완벽히 통제할 수 있습니다.
  • 싱크홀링(Sinkholing): 해커의 서버로 가는 트래픽을 보안 업체가 만든 가짜 서버로 유도하여 해커의 명령이 전달되지 않게 차단하는 방어 기법입니다.
  • 호스트(Hosts) 파일: 인터넷 주소를 입력할 때 컴퓨터가 가장 먼저 찾아보는 주소록.
  • WMI 이벤트 구독: 윈도우 관리 도구(WMI)를 이용해 특정 조건에서 악성코드가 자동 실행되도록 설정해두는 공격 방식입니다.
  • WMI: 윈도우 내부의 모든 상태를 관리하고 제어하는 '만능 관리 도구’.

뉴스 링크: https://www.boannews.com/media/view.asp?idx=143232&page=1&kind=4

'뉴스 클리핑' 카테고리의 다른 글

뉴스27. 앤트로픽의 방관 속 기하급수적으로 번지는 ‘MCP’ 공급망 보안 위협  (0) 2026.04.23
내 개인정보가 35달러?... 노드VPN, 다크웹 ‘개인정보’ 가격표 공개  (0) 2026.04.22
뉴스24. 카스퍼스키 “진짜 영상 튼 가짜 회의실”… 북한 ‘블루노로프’ 수법 분석  (0) 2026.04.17
뉴스.23 AI 기반 사기 수법이 구글 디스커버를 악용해 공포 조장 광고와 사기를 유포하고 있습니다.  (0) 2026.04.16
뉴스.22 “내 모든 정보를 바탕으로 AI로 만든 캐리커처”, 디지털 사기 위험에 노출될 수 있어  (0) 2026.04.15
'뉴스 클리핑' Related Articles more