|
[최신 바이러스 정보]
Malware/Win32.RL_Generic
최초 발견일: 2019-06-10
종 류 : 트로이목마
형 태 : 실행파일
감염/설치경로 : 파일실행, 메일, 다운로드
설 명 : Malware/Win32.RL_Generic는 위협 가능성이 존재하는 악성코드의 일반적인 진단명이며 사용자의 정보를 탈취하거나 공격자의 명령을 실행하는 등의 행위를 한다.
Trojan/Win32.Maljava
최초 발견일: 2019-06-10
종 류 : 트로이목마
형 태 : 실행파일
감염/설치경로 : 파일실행, 메일, 다운로드
설 명 : Trojan/Win32.Maljava는 Symantec에서 악성 JAVA파일을 식별하는데 사용하는 진단명으로 JAVA의 여러 보안 취약점을 이용하도록 설계되었다.
[보안TIP]
오픈소스 툴 마구 짜깁기 하는 프랑켄슈타인 공격 발견돼
[보안뉴스 문가용 기자] 시스코의
탈로스(Talos) 팀에서 새로운 사이버 공격 캠페인을 발견했다.
이 캠페인의 특징은 여러 개의 오픈소스 기술들을 결합해 만든 도구가 활용되었다는 것이라고 한다.
탈로스는 이렇게 여러 기술을 짜깁기한 도구와, 이 도구를 활용한 공격을 ‘프랑켄슈타인(Frankenstein)’이라고 부른다.
프랑켄슈타인
공격은 2019년 1월부터 4월까지 이어졌다. 목표는 많은 컴퓨터를 멀웨어에 감염시키는 것이었다. 하지만 ‘대량’으로
감염시키는 것 그 자체가 목표는 아니었다. “여러 가지 정황을 보건데, 프랑켄슈타인은 표적 공격의 일종이었습니다.”
프랑켄슈타인
공격을 감행한 자들은 기술적으로 최고 수준을 띄고 있는 것처럼 보이지는 않지만, 넉넉한 지원을 받고
있는 것이 거의 분명하다고 한다. “공격자들은 오픈소스 솔루션들에 상당 부분 의존하고 있습니다. 거기다가 분석 및 탐지 방해 도구들도 사용하며, 가상 환경 솔루션도
적극 활용합니다. 데이터를 전송할 때는 암호화를 하고요.”
이
공격에 사용되는 악성 문건들 중 샘플이 발견된 건 두 개다. 아마도 이메일을 통해 피해자에게 전달된
것으로 보인다. 두 개 중 한 개는 CVE-2017-11882 취약점을
익스플로잇 하는 것으로, 공격자들은 이를 통해 코드를 실행시켰다.
다른 하나는 사용자를 유도해 매크로를 발동시키도록 하며, 궁극적으로는 비주얼 베이직(Visual Basic) 스크립트가 실행된다.
첫
번째 공격 시나리오에서 공격자들은 명령 스크립트를 실행해 스케줄러 기능을 발동시킴으로써 공격 지속성을 확보한다. 이 때 실행되는 건 베이스64(base64)를 기반으로 인코딩
된 파워셸 명령이라고 한다.
이
시나리오에 속하는 문서들 중 일부는 마치 보안 업체 카스퍼스키(Kaspersky)가 만든 것처럼
위장되어 있었다. 또 다른 문서에는 중동 지역의 한 정부기관이 사용하는 로고가 입혀져 있으며, 경우에 따라서는 불특정 건물들의 사진이 저장되어 있는 경우도 있다고 한다.
두
번째 시나리오에서는 매크로가 활성화되자마자 분석 방지 기능 두 가지가 한꺼번에 발동된다. “먼저는
윈도우 관리 도구(WMI)에 특정 애플리케이션들이 있는지 확인하는 요청을 보냅니다. VM웨어, V박스(Vbox),
프로세스 익스플로러, 프로세스 해커, 프록몬(ProcMon), 비주얼 베이직, 피들러(Fiddler), 와이어샤크(WireShark) 등입니다. 그 다음으로는 VM웨어, V박스, Vx스트림(VxStream), 오토IT, VM툴즈, TCP뷰, 와이어샤크, 프로세스 익스플로러, 비주얼 베이직, 피들러 등이 실행되고 있는지 확인합니다.”
그리고
위에 언급된 프로세스들이 발견되면 악성 기능이 작동을 멈춘다. 그렇지 않을 경우, WMI를 호출해 시스템에 배정된 코어의 숫자를 확인합니다. 그리고 2개 이하일 경우 시스템을 빠져나갑니다.
이런
확인 작업이 끝난 이후에는 MS빌드(MSbuild)를
사용해 공격자들이 만든 .xml 파일을 실행시킨다. 이 .xml 파일은 MSBuild-inline-task라는 이름의
오픈소스 프로젝트를 기반으로 하고 있을 가능성이 높다고 탈로스 팀은 말한다. “이 파일 내에는 베이스64 기반 명령들이 암호화 된 채 저장되어 있습니다. 이 명령들이
실행되면 C&C 서버로부터 추가 페이로드가 다운로드 됩니다.”
그
다음 단계에서 실행되는 건 파워셸 엠파이어(PowerShell Empire) 에이전트다. “이 에이전트는 로컬 시스템으로부터 특정 정보를 추출합니다. 사용자
이름, 도메인 이름, 기계 이름, 공공 IP 주소, 관리자
권한 등급, 현재 실행되고 있는 프로세스, OS 버전, 보안 시스템의 SHA256 HMAC 등입니다.”
이렇게
수집된 정보는 암호화 된 채널을 통해 C&C 서버로 전송된다. 특정 사용자-에이전트 문자열과 세션 키가 이 과정에서 사용되며, 공격자들은 원격에서 에이전트와 상호작용을 해서 파일을 업로드 하거나 다운로드 한다. 또한 엠파이어 프레임워크와 호환이 되는 플러그인들도 사용한다.
“예전에는
지원을 풍부하게 받는 공격자들이 직접 공격 툴을 만들었습니다. 그러나 그렇게 할 경우, 정체가 너무 쉽게 발각되죠. 그래서 최근에는 공격자들이 오픈소스를
사용하기 시작했습니다. 그렇게 할 경우 공격자의 정체를 파악하는 게 굉장히 어려워지거든요. 공격 도구 외에 더 깊은 차원의 첩보가 필요하게 됩니다.”
탈로스의 말을 종합하면, 프랑켄슈타인 공격의 배후에는
특정 국가가 있는 것으로 보이며, 정보를 수집하는 것이 주요 목표이다. 하지만 어떤 국가가 배후에 있으며, 어떤 국가가 피해를 입고
있는지는 언급이 되지 않고 있다.
http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/
|
