꼰머의 보안공부

본 게시글은 책 <악성코드 분석 시작하기> 의 내용을 정리한 글 입니다.

1. 악성코드란

- 악의적인 행위를 하는 코드로, 실행 파일, 스크립트, 코드, 또는 다른 유형의 소프트웨어 형태가 될 수 있음

> 컴퓨터 연산 방해
> 개인, 비즈니스, 재무 데이터를 포함한 민감 정보 훔치기
> 표적 감시
> 스팸 이메일 보내기
> 분산 서비스 거부(DDoS, Distributed-Denial-of-Service) 공격 참여
> 컴퓨터에 있는 파일을 잠근 후에 대가(Ransom) 요구하기

- 악성코드의 분류

- 악성코드 분석의 목적

> 악성코드 분석이란 악성코드의 행위를 연구하는 것

> 목적은 악성코드의 동작을 이해한 후 탐지하고 삭제하는 방법을 파악하는 것

- 악성코드 분석 종류

- 악성코드 출처

> 분석을 수행하기 위한 악성 코드 샘플이 필요
> 악성코드 분석을 위해 악성코드 샘플을 얻을 수 있는 출처 모음
> Hybrid Analysis : https://www.hybrid-analysis.com/
> KernelMode.info : https://www.kernelmode.info/forum/
> VirusBay : https://beta.virusbay.io/
> Contagio malware dump : https://contagiodump.blogspot.com/
> AVCaesar : https://avcaesar.malware.lu/
> VirusShare : https://virusshare.com/
> theZoo : https://virusshare.com/

1. Malvertising(멀버타이징)

- Malware(악성코드)와 Advertising(광고)의 합성어로 악성 광고를 의미

- 사용자를 속이기 위해 가짜 사이트로 리다이렉션하는 등 광고를 악용한 해킹 기법

- 상대적으로 보안이 취약한 광고 서버를 해킹하거나 악성 광고를 게시하여 공격에 활용

2. 상세내용 [1]

- 연구원들이 Google에 slack 검색한 결과 광고가 가장 먼저 표시되었음

> 해당 광고가 누구에 의해 게시되었으며, 이전에 게시한 광고 내역을 확인할 수 있음

> 연구원들이 이를 확인한 결과 홍콩 소재 의심스러운 광고주에 의해 게시됨을 확인

- 확인된 광고를 클릭하면 정상적인 Slack 공식 웹사이트의 가격 페이지로 리디렉션

> 공격자들은 도메인을 구매한 후 악용하기 위해 정상적인 도메인처럼 보이도록 하기위해 과정을 거침

- 며칠 후 연구원들이 해당 광고 페이지에 재접속한 결과 서로 다른 두 개의 페이지가 표시

> URL은 slack-windows-download[.]com로 동일하나 표시되는 페이지가 다름을 확인

> 악성 기능이 없는 정상 페이지 또는 다운로드 기능이 포함된 악성 페이지 표시

- 해당 페이지에 도달하는 네트워크 트래픽을 캡처

> 여러 사이트로 리다이렉션 시켜 인터넷 환경, 클릭율 등을 확인해 서로 다른 페이지로 접속시키는 것을 확인

① 클릭의 정당성을 판단하는 ClickGuard 링크를 광고로 등록 : 악성 사이트에 대한 탐지를 못하도록(또는 어렵게) 하기위한 목적

② 사용자가 클릭한 페이지 또는 위치 등을 분석하는 ClickTracker 연결 : 악성 사이트에 대한 탐지를 못하도록(또는 어렵게) 하기위한 목적

③ 사용자 클릭 환경 등을 확인해 정상 사이트 또는 악성 사이트로 연결

> 즉, 사용자가 광고를 클릭할 경우 여러 리다이렉션 및 확인을 거쳐 정상 또는 악성 사이트로 리다이렉션

- 광고 클릭 지양, 다운로드 시 도메인 및 파일 해시 확인, 백신 최신화, 로그인 폼 의심 등 기본 보안 수칙 준수 필요

3. 참고

[1] https://www.malwarebytes.com/blog/news/2024/08/fraudulent-slack-ad-shows-malvertisers-patience-and-skills

1. 개요

- 최근 복사-붙여 넣기 기법을 활용한 ‘ClickFix’라 불리는 새로운 공격 발견 [1]
- 가짜 팝업 메시지의 버튼을 클릭하면 악성코드 또는 악의적 프로그램이 다운로드 되는 형태

2. 주요내용

2.1 ClickFix

- 유명 서비스를 위조해 문서나 페이지 내 긴급한 오류가 발생했다는 팝업 텍스트 상자를 표시
> 사용자를 속이기 위해 MS Office 문서나 Google Meet 등 유명 서비스를 위조해 페이지 내 팝업 표시
> 사용자가 직접 PowerShell(powershell.exe)이나 Windows 명령 프롬프트(cmd.exe)를 통해 실행하라는 메시지가 표시되며, "How to fix" 등의 버튼을 클릭하면 악의적 명령이 복사

2.2 악성 VBS 스크립트

- hxxps://googiedrivers[.]com/fix-error 파일에 VBScript가 포함되어 있으며 총 4개의 행위 수행

2.3 결론

- 과거와 달리 웹 브라우저 보안이 강화되면서 웹 브라우저 취약점을 이용한 악성코드 배포가 어려워짐
> 사용자가 직접 다운로드 및 실행할 수 있는 형태로 점차 진화
> 사용자는 PowerShell(powershell.exe) 또는 명령 프롬프트(cmd.exe)에서 명령을 실행하도록 요청하는 팝업 주의할 필요

- 또한, 여러 정보 탈취 멀웨어를 다운로드 및 실행하는 형태
> 하나의 멀웨어가 탐지 및 제거되어도 다른 멀웨어를 사용해 지속 정보 수집
> 수집된 정보가 2차 피해로 이어질 수 있음

3. 참고

[1] https://blog.criminalip.io/2024/10/07/clickfix-fake-error-messages/
[2] https://www.boannews.com/media/view.asp?idx=133771&page=1&kind=1

1. 개요

- 한국과 중국 사용자를 대상으로 정상 애플리케이션으로 위장한 UULoader 유포 정황 확인 [1]
> DLL 파일 내 내장된 프로그램 데이터베이스(PDB) 파일에 중국어 문자열이 있다는 점에서 UULoader로 명명 
- UULoader는 Gh0stRAT이나 Mimikatz와 같은 멀웨어를 유포하는데 사용되는 로더

2. 주요내용

- UULoader는 File Header Stripping을 통해 정적 탐지 회피
> File Header Stripping: 파일의 헤더 정보를 제거하는 작업
> 해당 작업을 통해 탐지를 회피하거나 분석을 어렵게 만듦

- UULoader의 핵심 파일은 cab 파일 안에 압축되어 있음
> cab 파일은 헤더가 제거되어 있음 (File Header Stripping)
> exe 파일, dll 파일, 난독화된 최종 페이로드, 미끼 파일, M 파일, Z파일이 포함

- UULoader가 실행되면 .msi CustomAction를 사용해 폴더를 생성
> 폴더 경로: C:\Program Files(x86)\Microsoft Thunder
> 해당 폴더에 위 악성 파일이 포함되어 있음

※ .msi CustomAction: Windows Installer 패키지(.msi 파일)에서 사용되는 사용자 정의 동작을 의미

- msi 파일에 의해 vbs 스크립트 실행
> Microsoft Thunder 폴더를 Windows Defender 예외 등록
> Microsoft Thunder 폴더 내 파일을 실행하여 최종 페이로드 로드 및 미끼 파일 실행
> vbs 스크립트는 악의적인 기능을 감추기 위해 합법적으로 보이는 여러 액션이 존재

- 최종적으로 Gh0stRAT 또는 Mimikatz 등 다양한 해킹 도구를 유포하는 것으로 보임
> Gh0stRAT: 공격자가 원격으로 대상 컴퓨터에 접근하여 정보를 탈취할 수 있도록 설계된 악성 프로그램
> Mimikatz: Windows 시스템의 메모리에서 해시된 비밀번호를 추출하고, Kerberos 티켓, NTLM 해시 등을 덤프하는데 사용

3. 참고

[1] https://cyberint.com/blog/research/meet-uuloader-an-emerging-and-evasive-malicious-installer/
[2] https://thehackernews.com/2024/08/new-uuloader-malware-distributes-gh0st.html?m=1
[3] https://boannews.com/media/view.asp?idx=132149&page=1&kind=1

1. 개요

- 동아시아와 한국을 대상으로 악성코드가 유포되는 정황이 확인
- SW 취약점 또는 악성코드가 포함된 크랙 버전을 통해 유포
- C2 서버와 통신하며 추가 명령을 수행하거나 사용자 정보를 탈취

2. 주요내용

2.1 Velvet Ant [1]

- 중국 해킹 그룹 China-Nexus와 연류된 공격자가 약 3년 동안 동아시아에 위치한 익명의 조직을 대상으로 장기간 공격

- 공격자는 EDR이 설치되지 않고 로깅이 제한된 시스템을 표적으로 삼는 등 레거시 운영 체제를 노림

> 또한, 피해자 환경에 이미 배포된 원격 접속 트로이목마 PlugX를 활용

> PlugX는 2008년부터 중국 국가 후원 공격 그룹에서 사용되었으며, 감염된 시스템에 대한 원격 액세스를 제공하도록 설계

> 공격에는 인터넷에 직접 액세스할 수 있는 엔드포인트에 설치되어 민감 정보를 유출하는 버전과 C2 구성 없이 레거시 서버에만 배포되는 두 가지 버전이 사용

- C2 구성 없이 레거시 서버에 배포된 PlugX의 경우 F5 BIG-IP 장치를 이용해 역방향 SSH 터널 생성

> SSH 터널을 이용해 C2 서버와 통신하여 원격 명령을 수신하고 지속성을 확보

> 공격에 활용된 F5 BIG-IP 제품들은 지원이 종료된 제품

- 공격 과정은 다음과 같음

① 악성코드는 1시간에 한 번씩 C2 서버를 폴링

② 공격자는 C2 서버와 연결

③ 역방향 SSH 터널 생성 및 원격 명령 전달

④ PlugX에 감염된 내부 파일 서버(내부 C2 서버로 사용)와 연결

⑤ PlugX 추가 배포

2.2 미상의 중국 국가 후원 해킹 그룹 [4]

- 미상의 중국 해킹 그룹이 2020년부터 아시아 국가의 통신 사업자를 공격

> 대상 기업의 네트워크에 백도어를 설치하고 자격 증명을 도용하려고 시도

2.3 NiceRAT 악성코드를 설치하는 봇넷 [6]

- Windows나 MS Office 라이선스 확인 도구, 게임용 무료 서버로 위장한 악성코드 NiceRAT를 국내 사용자를 대상으로 지속적 유포

> NiceRAT는 Python으로 작성된 오픈 소스 프로그램

> 지속성 유지를 위해 디버깅 방지 감지, 가상 머신 감지, 시작 프로그램 등록 등의 작업

> api.ipify[.]org에 접속하여 시스템의 IP 정보를 수집 및 이를 이용하여 위치 정보 수집

> 시스템 정보, 브라우저 정보, 암호화폐 정보 등을 수집하여 Discord를 C2로 활용해 유출

3. 참고

[1] https://www.sygnia.co/blog/china-nexus-threat-group-velvet-ant/
[2] https://thehackernews.com/2024/06/china-linked-hackers-infiltrate-east.html
[3] https://www.boannews.com/media/view.asp?idx=130670&page=6&kind=1
[4] https://symantec-enterprise-blogs.security.com/threat-intelligence/telecoms-espionage-asia
[5] https://thehackernews.com/2024/06/chinese-cyber-espionage-targets-telecom.html
[6] https://asec.ahnlab.com/en/66790/
[7] https://thehackernews.com/2024/06/nicerat-malware-targets-south-korean.html

1. 개요

- 보안 업체 Kaspersky, 새로운 보안 도구 KVRT (Kaspersky Virus Removal Tool) 무료 공개
- 리눅스 플랫폼에서 바이러스를 찾아 삭제하는 기능 제공

2. 주요내용

- 최근 XZ Utils라는 백도어가 리눅스 생태계를 크게 위협
> Linux 시스템이 본질적으로 위협으로부터 안전하다는 일반적인 오해를 증명 

- Kaspersky, 새로운 보안 도구 KVRT 무료 공개
> 실시간으로 멀웨어를 막아내는 도구는 아님
> 64비트 시스템만 지원하며 작동하려면 인터넷 연결이 필요
> 실행을 위해 루트 권한 필요하며, GUI, CLI 지원
> 스캔을 통해 이미 세상에 알려진 멀웨어나 익스플로잇을 탐지 및 치료
> 사용자는 매번 바이러스 백신 데이터베이스를 다운로드해야 함
> 삭제 또는 치료된 악성 파일의 복사본은  '/var/opt/KVRT2024_Data/Quarantine'(루트 사용자용)에 저장
> Linux 배포판, Red Hat Enterprise Linux, CentOS, Linux Mint, Ubuntu, SUSE, openSUSE, Debian 등에서 작동 확인

3. 참고

[1] https://www.boannews.com/media/view.asp?idx=130306&page=1&kind=1
[2] https://www.bleepingcomputer.com/news/software/kaspersky-releases-free-tool-that-scans-linux-for-known-threats/
[3] https://www.kaspersky.com/blog/kvrt-for-linux/51375/
[4] https://www.kaspersky.com/downloads/free-virus-removal-tool

1. 개요

- 최근 국내 WebLogic 서버를 공격 및 장악해 z0Miner 악성코드를 유포하는 정황이 포착

- 정보 탈취 또는 랜섬웨어를 설치할 수 있어 웹로직 서비스 점검 필요

2. 주요 내용 [1]

2.1 z0Miner [2]

- 2020년 Tecnet 보안팀에 의해 처음으로 소개된 마이너 악성코드 (암호 화폐 채굴 봇넷)

- 국내외 보안이 취약한 서버인 Atlassian Confluence, Apache ActiveMQ, Log4J 등을 대상으로 마이너 악성코드를 유포

- CVE-2020-14882, CVE-2020-14883을 악용해 WebLogic 서버 공격

2.2 악성코드 배포

- 취약한 WebLogic 서버를 장악한 뒤 악성코드를 배포하는 다운로드 서버로 악용

> Miner 및 네트워크 도구, 공격에 필요한 스크립트 등

> 악용된 서버는 모두 서버 정보와 Tomcat의 구체적인 버전을 노출

3. 대응방안

① 웹로직 서버 최신 버전 유지

② 관리되지 않는 포트 및 서버 점검

③ 백신 등 안티바이러스 S/W 최신 버전 유지

④ 침해지표 등록 및 모니터링

4. 참고

[1] https://asec.ahnlab.com/ko/62166/
[2] https://s.tencent.com/research/report/1170.html
[3] https://nvd.nist.gov/vuln/detail/CVE-2020-14882
[4] https://testbnull.medium.com/weblogic-rce-by-only-one-get-request-cve-2020-14882-analysis-6e4b09981dbf
[5] https://attackerkb.com/topics/sb4F8UT5zu/cve-2020-14882-unauthenticated-rce-in-console-component-of-oracle-weblogic-server/rapid7-analysis
[6] https://nvd.nist.gov/vuln/detail/CVE-2020-14883
[7] https://pentest-tools.com/vulnerabilities-exploits/oracle-weblogic-remote-command-execution_123
[8] https://pentest-tools.com/blog/detect-exploit-oracle-weblogic-rce-2020
[9] https://github.com/theralfbrown/WebShell-2/blob/master/jsp/SJavaWebManageV1.4.jsp
[10] https://github.com/NS-Sp4ce/CVE-2021-21972/blob/main/payload/Linux/shell.jsp

[11] https://github.com/fatedier/frp

[12] https://www.boannews.com/media/view.asp?idx=127363&page=4&kind=1

1. 개요

- 북한 배후 해킹그룹 김수키(Kimsuky)에서 국내 보안 프로그램으로 위장한 악성코드 유표 정황 포착

- Go 언어 기반 인포스틸러로, 국내 보안기업의 보안 프로그램 설치파일로 위장

- 시스템 정보, 브라우저 정보, AV 설치 목록 등을 탈취하며, GPKI 정보 또한 탈취를 시도

- 악성코드에 파일에 포함된 문자열을 따 '트롤스틸러(Troll Stealer)'로 명명

2. 주요내용 [1]

- 악성코드는 국내 특정 웹 사이트 접속시 연결되는 보안 프로그램 다운로드 페이지로부터 유포

> SGA Solutions의 보안 프로그램 설치 파일(TrustPKI, NX_PRNMAN)로 위장

> 악성코드는 정상 인스트롤러와 악성코드를 드랍 및 실행하는 Dropper

> 악성파일은 모두 원래 인증서인 “SGA Solutions”가 아닌, 유효한 “D2innovation Co.,LTD” 인증서로 서명

2.1 실행 흐름

① Mutex  생성 및 자가 삭제

- 중복 실행 방지를 위한 Mutex 생성

- %Temp% 하위 경로에 자가 삭제를 위한 BAT 스크립트 파일 생성 및 실행

② 파일 Dropper

- 정상으로 위장하기 위해 SGA Solutions 정상 설치파일을 Desktop 경로에 설치 및 실행

- Troll Stealer와 감염 이력을 확인하기 위한 파일을 드랍

③ Troll Stealer 설치

- rundll32.exe 프로세스를 통해 실행하며, 감염 이력 확인을 위한 파일명이 Export 함수로 호출

> 감염 이력 확인을 위한 파일이 존재하는 경우에만 악성 행위 수행

> 자체적으로 중복실행 방지를 위한 Mutex 생성 (Dropper Mutex와 다른 값)

> 분석 방해를 위해 VMProtect 패킹

④ 구성 데이터 설정

- 감염된 시스템의 MAC주소, 디렉터리 경로 수집 후 악성행위 수행을 위해 Config 임시 파일 생성

> Config 내에는 C2 서버 주소 등의 정보가 포함

> Config 파일 암호화 후 C2 서버 전송 및 파일 삭제

⑤ 정보 수집

- 감염된 시스템 내 정보를 탈취 및 암호화 후 C2 서버로 전송

- 특히, C드라이브 내 GPKI(Government Public Key Infrastructure) 폴더 탈취 시도가 확인

> 행정전자서명인증서인 GPKI는 국내 행정 및 공공기관 등의 정부에서 사용하는 전자적 정보 [2]

> 행정전자서명의 진위를 검증할 때 사용되는 공인인증서

> 일반 PC에서는 사용되지 않고, 공무를 위해 사용되는 PC에 설치되는 것이 일반적

> 공공에 설치된 PC 등을 타겟으로 한 캠페인으로 평가됨

⑥ 파일 암호화

- C2 서버로 데이터 전송 전, 데이터를 암호화

> RC4와 RSA-4096 알고리즘을 조합하여 데이터를 암호화

> 하드코딩된 PKCS#1의 DER로부터 RSA 공개키 파싱을 수행

> 랜덤 RC4 키 값을 생성하여 탈취 데이터 암호화

> RSA 공개키를 이용해 RC4 암호화 키 암호화

⑦ C2 통신

- C2 통신을 위해 12개의 필드로 구성된 60바이트 크기의 구조를 사용

> 통신 목적과 전송하는 데이터 유형에 따라 각 필드 값을 다르게 설정

> 데이터를 구조에 맞게 구성한 후 바이너리 내 하드코딩된 4바이트 Key를 사용해 XOR 및 Base64 인코딩

> 인코딩 결과는 "a=[Encoded_Data]" 형식으로 C2 서버에 전송

※ 데이터 탈취 => 파일 암호화(RC4+RSA) => 통신 구조체 인코딩(XOR+Base64) => a 파라미터로 전달

⑧ 자가 삭제

- 악성행위 수행 후 자가삭제를 위해 .tmp 디렉토리에 PS1 파일 생성

> PS1 파일은 악성 DLL 및 스스로를 삭제

※ 분석 보고서에서 침해지표 제공 [1]

3. 참고

[1] https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-35b3cd961f91
[2] https://www.gpki.go.kr/jsp/certInfo/certIntro/eSignature/searchEsignature.jsp
[3] https://www.boannews.com/media/view.asp?idx=126703&page=1&kind=1