악성코드 설치 방식
- 스피어 피싱 메일의 첨부파일
- 멀버타이징
- 취약점
- 정상 소프트웨어 위장, 웹사이트에 업로드
설치되는 악성코드 : 인포스틸러, 랜섬웨어, DDoS Bot, 백도어 및 RAT
백도어 : 감염 시스템에 설치되어 공격자의 명령을 받아 악성 행위를 수행하고, 이를 통해 공격자는 감염 시스템을 장악할 수 있다.
이러한 백도어 유형의 악성코드는 단독 시스템뿐만 아니라 측면 이동을 통해 네트워크를 장악하여 최종적으로 기업 내의 정보를 탈취하거나 장악한 내부 시스템들을 암호화하는 공격의 중간단계로서 사용될 수도 있다.
RAT
- 실질적으로 백도어와 동일하나, 그만의 특징이 있다.
- Remote Access Trojan / Remote Administration Tool
전자 : 감염 시스템에 대한 원격 제어 제공 -> 백도어와 유사하다
후자 : AnyDesk, TeamView 등 -> 일반/기업 사용자들이 시스템 원격 제어 목적으로 사용하는 정상 프로그램.
*Remcos RAT : 키로깅, 스크린샷 캡쳐, 웹캠 지원, 정보 탈취와 같은 악성 기능들을 포함 but "Remote Access Tool"로 혼란
원격 쉘 (REMOTE SHELL)
통신 방식에 따라 Reverse Shell, Bind Shell로 나뉨. -> 둘 다 감염 시스템의 쉘을 공격자에게 제공한다.
전달받은 쉘을 통해 해당 시스템 장악.
백도어 및 RAT(REMOTE ACCESS TROJAN)
백도어는 포괄적인 분류.
RAT 유형 = Remcos RAT, AveMaria(Warzone RAT), BitRAT, RedLine
NanoCore : 과거 빌더의 크랙 버전 공개
Gh0st RAT, Async RAT, Quasar RAT : 오픈 소스
공격자 직접 제작 백도어 : AppleSeed, PebbleDash, NukeSped 등 Kimsuky 및 NukeSped 공격 그룹에서 사용
코발트 스트라이크 / 메타스플로잇 미터프리터
침투 테스트 목적의 프레임워크.
기업/기관 네트워크 및 시스템에 대한 보안 취약점 점검 도구
- 감염 시스템 제어
- 최초 감염을 위한 다양한 형태의 페이로드 생성
- 계정 정보 탈취, 내부망 이동 -> 시스템 장악까지 단계별로 필요한 기능들을 제공한다.
APT 공격 그룹에서 이런 툴을 이용해 기업 내부 침투 및 내부망을 장악하여 기업 내부 정보를 탈취하거나 랜섬웨어를 설치한다.
원격 제어도구 악용 사례
커맨드 라인 기반인 백도어 및 RAT 악성코드들과 달리 원격 제어도구는 GUI 기반이다. (사용자 편의 중시)
감염 시스템에 설치될 경우에는 추가 악성코드 설치나 정보 탈취와 같은 악의적인 목적으로 사용될 수 있다.
- 보안 제품에 정상 프로그램으로 인식된다.
- 보안 제품의 탐지 우회 가능, GUI 환경에서 감염 시스템 제어 가능
1. AnyDesk
MS-SQL 서버에 대한 제어 획득 이후 위와 같은 파워쉘 명령이 실행된다.
공식 홈페이지에서 AnyDesk를 Silent 모드로 설치한 후 AnyDesk에 비밀번호 "wocaoybb" 설정하는 기능을 담당한다.
감염 시스템에 접속하여 비밀번호를 입력함으로써 사용자의 동의 없이 원격 제어가 가능해진다.
2. TODESK, RUDESKTOP
각각 중국, 러시아 원격 제어 도구이다.
모두 정상프로그램이나 공식 홈페이지가 아닌 다음과 같은 주소에서 다운로드 및 설치가 이루어졌다.
추가적으로 원격 제어 도구들을 설치한다.
AnyDesk 사례처럼 스크립트를 상세하게 확인할 수는 없지만, 두 제품 모두 시스템에 설치될 경우 랜덤으로 생성되는 ID와 비밀번호를 기반으로 원격 시스템에 접속이 가능하므로 유사하게 사용되었을 가능성이 높다고 한다.
3. TEAMVIEWER
SmokeLoader라는 악성코드에 의해 사용된 사례.
주로 정상 소프트웨어 크랙 및 시리얼 생성 프로그램을 위장한 유포 사이트에서 사용자가 직접 다운로드하는 방식으로 유포 중이다.
다운로더 악성코드. -> 랜섬웨어와
지원되는 플러그인들을 통해 정보 유출, 디도스 공격 등이 가능하다.
AnyDesk와 유사하게 이 또한 설치 환경에서 생성된 아이디 및 패스워드를 알아야 접속이 가능하다.
생성된 계정 정보가 GUI 윈도우에 보이는데, 이 문자열들을 탈취하기 위해 SetWindowsTextW() 함수를 후킹하여 윈도우에 보일 때의 해당 문자열들을 수집한다.
이렇게 수집한 계정 정보들은 C&C 서버에 전달되고, 공격자는 이를 이용해 감염 시스템에 원격 접속이 가능해진다.
4. AMMYY ADMIN
다양한 방식으로 악용되고 있는 대표적인 원격 제어 도구들 중 하나이다.
- 정상 유틸리티로서 악용
- 특정 버전의 소스코드가 해킹되어 공개됨 -> TA505 그룹에 의해 사용되기도 함.
- FlawedAmmyy = 공격자들이 소스코드를 커스터마이징하여 감염 시스템 제어 목적으로 사용함.
1) 스피어 피싱 메일의 첨부파일을 통해 다운로더 악성코드를 거쳐 설치됨.
2) 코발트 스트라이크 및 미미카츠 -> 내부망 장악
3) CLOP 랜섬웨어 설치 -> 공격 대상 기업의 시스템들을 암호화
부적절하게 관리되고 있는 MS-SQL 서버 대상 공격에도 사용된다.
Ammyy Admin을 포함하여 권한 상승 목적의 SweetPotato와 같은 다양한 악성코드들을 설치해서 공격한 이력이 있다.
5. VNC (Virtual Network Computing)
가상 네트워크 컴퓨팅이라고 불리는 기술.
원격으로 다른 컴퓨터를 제어하는 화면 제어 시스템.
RDP와 유사하게 원격으로 다른 시스템에 접속하여 제어하기 위한 목적으로 사용된다.
TightVNC, TigerVNC -> 상용 프로그램
AveMaria RAT, TintNuke(HVNC) -> 악성코드들도 VNC 기능 지원
TINYNUKE
2016년 부터 확인된 뱅킹 악성코드.
HVNC(HiddenDesktop/VNC), Reverse SOCKS4 프록시, 웹 브라우저 폼 그래빙과 같은 기능 포함.
그중 HVNC 기능은 AveMaria, BitEAT과 같은 다른 악성코드들에 의해 부분적으로 차용되는 방식으로 사용되고 있다.
최근에는 Kimsuky 그룹에서 사용하고 있는 악성코드.
기존의 기능들 중에서 HVNC 기능만 활성화되어 있다.
일반적인 VNC와 HVNC의 차이점 = 감염된 사용자가 자신의 화면이 제어되고 있다는 사실을 인지하지 못한다.
서버와 클라이언트 간 통신 확립 시 "AVE_MARIA" 문자열로 검증한다.
HVNC 클라이언트에서 서버로 "AVE_MARIA" 문자열을 보내면 서버에서는 이를 검증하여 해당 문자열이 맞을 경우에 HVNC 통신이 가능하다.
Kimsuky 그룹에서 사용하는 HVNC는 "LIGHT'S_BOMB" 문자열을 사용한다.
AVE_MARIA
AveMaria(Warzone RAT)는 스팸 메일을 통해 유포되는 대표적인 악성코드들 중 하나로서 C&C 서버로부터 공격자의 명령을 받아 프로세스/ 파일 작업 및 원격 쉘, 키로깅, 웹캠 제어 등 다양한 악성 행위를 수행할 수 있다.
대부분의 RAT 기들을 지원하나, 공격자 입장에서는 GUI 형태의 원격 데스크탑 기능이 필요할 수 있으므로 대부분의 RAT 들은 원격 데스크탑 기능을 제공한다.
Remote VNC 명령으로 원격 데스크탑을 제공한다. TinyNuke의 HVNC 기능을 가져와 사용하였다.
초기 통신 확립 과정에서 "AVE_MARIA" 문자열을 사용하는 특징으로 인해 원래 이름은 Warzone RAT 이지만 AveMaria라는 이름이 붙여졌다.
Remote VNC 명령 실행 -> vncdll.dll을 메모리 상에 다운로드 및 로드 -> AveMaria 프로세스에서 VNC 서버가 동작 -> 공격자는 이후 TightVNC나 TigerVNC와 같은 VNC 클라이언트로 감염 시스템에 접속하여 원격 제어를 수행할 수 있다.
TIGHTVNC
Kimsuky 그룹은 오픈소스 유틸리티인 TightVNC를 커스터마이징하여 사용하고 있다.
Reverse VNC 기능을 지원하는 점이 특징이다.
서버 모듈 tvnserver.exe와 클라이언트 모듈 tvnviewer.exe로 이루어져 있다.
일반적인 환경
원격 제어 대상에 tvnserver 설치하고 사용자 환경에서 tvnviewer를 이용해 제어 대상에 접속한다.
Reverse VNC 기능 사용
클라이언트에서 tvnviewer 리스닝 모드로 실행, 접속 대상 시스템에 서비스로 설치된 tvnserver를 이용해
controlservice 및 connect 명령으로 클라이언트의 주소를 설정하여 접속하게 할 수 있다.
Kimsuky 그룹에서는 tvnserver를 감염 환경에서 서비스 설치 없이 단독으로 Reverse VNC 기능을 사용할 수 있도록 커스터마이징한 형태이다.
단순히 tvnserver를 실행만 하더라도 C&C 서버에서 동작하는 tvnviewer에 접속하여 공격자는 감염 시스템에 대한 화면 제어가 가능해진다.
TMATE
Tmate = 터미널 공유 유틸리티
WatchDog 그룹이 악용
부적절하게 관리되고 있는 리눅스 클라우드 환경을 대상으로 XMRig 모네로 코인 마이너 설치.
Tsunami와 같은 백도어 악성코드나 Tmate 원격 제어 도구를 설치해 악용하고 있다.
설치할 경우 원격 관리 툴처럼 원격에서 감염 시스템에 접속하여 제어를 획득할 수 잇다.
tmate를 설치한 후 공격자의 API 키를 지정하고 랜덤한 문자열로 세션을 생성한다.
-k 옵션 : API 지정
-n 옵션 : 각 세션 지정
공격자의 tmate API Key = tmk-4ST6GRXU6GPUjlXHfSlNe0ZaT2
출력된 결과를 통해 공격자의 API 키는 HildeGard 계정에 포함된 것으로 추정할 수 있다.
Tmate 실행 이후 출력 결과를 보면 HildeGard 계정 및 랜덤 지정 세션 이름으로 구성된 URL을 확인할 수 있으며 해당 URL에 접속하면 제어를 획득할 수 있다.
WatchDog는 랜덤으로 생성한 URL토큰을 C&C 서버에 전송하기 때문에 공격자가 새로운 세션을 확인할 수 있다.
결론
공격자들은 초기 침투 과정을 거쳐 공격 대상 시스템을 장악하기 위해 백도어 악성코드를 설치하며, 최근에는 정상 유틸리티를 악용하는데, 이를 위해 일반적으로 다양한 사용자들이 사용하고 있는 원격 제어 도구들이 사용된다.
이를 통해 보안 제품의 진단 우회, GUI 환경에서 감염 시스템 제어가 가능하다.
의심스러운 메일의 첨부 파일 실행 지양, 외부 프로그램 설치 시 공식 홈페이지에서 구매/다운로드 권장, 계정의 비밀번호를 복잡한 형태로 사용 및 주기적 변경 필요.
참고 기술 보고서
https://asec.ahnlab.com/ko/39761/
다양한 원격 제어 도구들을 악용하는 공격자들 - ASEC BLOG
개요 일반적으로 공격자들은 스피어 피싱 메일의 첨부 파일이나 멀버타이징, 취약점, 정상 소프트웨어로 위장하여 악성코드를 웹사이트에 업로드하는 등 다양한 방식으로 악성코드를 설치한다
asec.ahnlab.com
'기술스터디' 카테고리의 다른 글
| 클라우드의 시작과 끝, 클라우드 보안 (0) | 2022.11.29 |
|---|---|
| 디지털 트윈 트렌드 - 1. 디지털 트윈의 정의와 비즈니스 적용 방안 (0) | 2022.11.19 |
| ESRC 보안 동향 보고서 - 최신 보안 동향 (0) | 2022.11.13 |
| 게임핵의 원리에 대해 알아보자 (1) - Wall Hack 편 (0) | 2022.11.06 |
| 위∙변조 사전 차단 (0) | 2022.10.01 |