블로그 이전했습니다. https://jeongzero.oopy.io/
라이플캠페인 보고서 개인요약
본문 바로가기
보안/Reversing

라이플캠페인 보고서 개인요약

JeongZero 2020. 5. 5.
728x90

(2017 사이버 위협 인텔리전스 보고서를 보고 개인적으로 요약,정리한 자료입니다. 문제가 될시 바로 삭제하겠습니다) 

 

1. 개요

  • 2013년 3월 20일 방송과 금융사를 마비시킨 사이버테러부터 올해 ATM 악성코드까지 모드 같은 해킹 조직 소행이라는 분석 결과가 나왔다.

 

  • 금보원에선 '2017 사이버 위협 인텔리전스 보고서'를 내고 2013년 부터 2017년까지 국내 금융, 국방, 대기업, 보안기업을 노린 8건의 사이버 공격을 '라이플 캠페인'으로 명명했다. 금보원은 국내 IT와 업무 환경을 사전에 파악해 한국을 표적한 특정 위헙 그룹을 프로파일링 했다.

 

프로파일링이란? 어떤 개인의 심리적, 행동적 특성을 분석함으로써 특정 상황이나 영역에서의 행동을 예상하는 것을 가리킨다. 또한 사회인구학적 특성을 포함한 여러 변수에 의해 특정한 하위 그룹으로 분류하는 것을 가리킨다

 

<해당 TI 보고서> 

 

  • 해당 보고서는 금보원에서 악성코드와 명령&제어(C&C) 서버 등 공통점을 근거로 국내에서 발생한 사이버 공격 8건을 한 개의 작전으로 분석했다. 군사작전 등에서 기밀 유출에 대비하거나 작전명에 의미를 부여해 임무와 지령을 명확히 할 때 코드명을 사용한다고 한다. 사이버테러 역시 작전명(캠페인)이 존재한다.

 

  • 금보원은 다년간 복수의 침해사고 및 악성코드들의 연관성을 추적해 동일한 공격자에 의한 일련의 행위임을 확인했다. 위협그룹을 프로파일링 하기 위한 시작점이 된 악성코드 샘플의 PDB 경로에 다음과 같이 rifle이라는 문자열이 포함됬기 때문에 코드명을 라이플이라고 명명지었다.

     

    <PDB 패스에 공통적으로 나타나는 rifle 문자열> 

    E:\Data\My Projects\Troy Source Code\tcvp1st\rifle\Release\rifle.pdb

     

     

[공격 7건 중 2건에 액티브X 동원돼]

 

  • 라이플 캠페인은 금융보안원이 지난 2015년부터 올해(2017년) 상반기까지 알려진 국내 금융, 국방, 방산, 대기업, 대북단체, 보안업체 대상 주요 침해사고를 가리킨다. 그 주요 배후는 앞서 한국과 미국 수사기관이 북한의 사이버공격조직이라 판단한 라자루스 그룹, 그와 관련이 있는 또다른 해커조직인 블루노로프 그룹안다리엘 그룹 총 3조직으로 추정됐다.

 

  • 이들은 2013년 3월 방송, 금융, ISP회사 사이버테러 '다크서울' 이후 공격 7건에 개입했다. 2015년 11월 방산업체 표적공격(XEDA), 2016년 2월 'I사' 소스코드·코드서명인증서 탈취(INITROY), 5월 통신·방산업체 내부자료 탈취(GHOSTRAT), 8월 작전계획 등 국방기밀 탈취(DESERTWOLF), 9월 국방관련 사이버테러(BLACKSHEEP), 2017년 3월 ATM 카드정보 탈취(VANXATM), 5월 특정기업 침투 시도(MAYDAY) 등 사례다.

 

  • 보고서는 공격을 수행한 조직이 대상에 침입 또는 침입 후 내부 전파를 위해 제로데이 취약점을 활용했다고 봤다. 국내에서만 널리 이용되는 액티브X 컨트롤 솔루션이나 에이전트 형태로 다수의 PC에 설치되는 기업용SW의 제로데이 취약점을 이용했다고 분석했다. 국내 기업 운영 환경에 대한 높은 이해를 바탕으로 관련 SW의 취약점을 찾기 위해 IT 기업을 공격대상으로 선택하기도 했다고 평했다.

 

 

<자료 : 금보원> 

 

  • 분석된 사례 7건 중 비교적 최근에 확인된 BLACKSHEEP과 MAYDAY, 2건의 공격과정에 액티브 X 기술이 동원됐다.

  1. 블랙 쉽

    블랙쉽은 2016년 8월 I사 웹암호화 솔루션의 액티브X 컨트롤 업데이트 기능이 악용된 악성코드 유포 사건이다. 방위산업관련 업체 대상 공격으로 수행됐다. 앞서 I사 소스코드가 유출돼 해당 업데이트 검증절차를 통과하는 악성코드가 제작됐다. 이어 악성코드 유포지 서버에 정상 업데이트와 동일한 절차가 구성됐다. 유포지 서버 접속시 악성코드가 자동 다운로드되게끔 만들어졌다. 

     

  1. 메이데이

    메이데이는 2017년 5월 금융회사 내부망 침투를 위해 노동조합 홈페이지를 통해 진행된 워터링홀 공격이다. 외부 호스팅서비스를 이용하는 노조홈페이지가 침해된 뒤 M사 리포팅솔루션의 액티브X 제로데이 취약점을 이용한 악성코드 유포가 진행됐다. 내부 직원이 침해된 홈페이지 접속시 취약한 액티브X 설치 여부를 확인하면 악성코드가 감염되게끔 만들어졌다. 

 

 

  • 금보원은 한국을 토린 공격 그룹을 라자루스, 블루노로프, 안다리엘로 구분했다. 글로벌 보안 기업은 3.20부터 소니픽처스 해킹사건을 일으킨 그룹을 라자루스로 명명했다. 미국 FBI는 라자루스가 북한 사이버 공격 조직이라고 밝혔다.

 

  • 라자루스는 지난 6월 세계에 피해를 입힌 워너크라이 랜섬웨어 배후로 지목됐다. 금융보안원은 최근 라자루스 그룹 공격에 변화가 나타났으며 세부 해킹 조직으로 나눠졌다고 분석했다. 이 중 하나가 글로벌 금융회사를 공격하는 블루노로프이며 나머지 하나는 국내를 주로 타겟으로 활동하는 안다리엘이다

  1. 블루노로프

    블루노로프는 2016년 2월 알려진 방글라데시 중앙은행 스위프트 부정거래 사고를 일으켰다. 블루노로프는 주로 해외에서 활동했는데 올해 1월 국내 금융사 망분리 취약점을 이용해 내부망에 악성코드를 감염시켰다. IT 개발 기업을 대상으로 스피어피싱과 웹셀 공격을 한 후 내부에 침투하려는 시도가 발견됐다. 

     

  1. 안다리엘

    라자루스의 또 다른 세부조직은 안다리엘이다. 안다리엘은 3·20 사이버테러에서 발견된 악성코드와 유사한 점이 있다. 최근에는 새로운 형태 악성코드를 개발해 추적을 피한다. 안다리엘은 주로 국내 기업과 정부기관 공격에 집중한다. 이들은 엑티브엑스나 에이전트 형태로 설치되는 국내 IT제품 제로데이 취약점을 발견해 활용한다. 해당 취약점을 발견하기 위해 개발업체를 공격한다. 안다리엘은 라자루스 블로노로프와 악성코드에서 유사점이 발견되지만 새로운 공격 방식을 수행한다. 금보원은 2014년 전후로 라자루스 그룹이 조직을 분리해 활동하는 것으로 판단했다. 

 

 

<자료 : 금융보안원> 

 

  • 금보원은 안다리엘과 블루노로프 그룹이 국내 금융권 공격 시 공조하는 정황을 포착했다. 블루노로프는 주로 글로벌 금융회사를 공격했는데 최근 한글 문서 취약점을 이용한 악성코드를 만들어 공격을 수행한다. 안다리엘은 과거 주로 내부 주요 자료를 탈취하거나 파괴 등 사이버테러를 수행했는데 최근 외화벌이 사이버 범죄도 수행한다. ATM 해킹 후 카드정보를 블랙마켓에 판매하고 사행성 게임 해킹 악성코드를 개발했다.

 

 

 

 

2. 라이플 캠패인

 

  • 2015년 ADEX 스피어피싱(XEDA 오퍼레이션)에 이용된 악성코드에서 동일한 PDB 문자열 및 유사한 기능이 발견되었고 2016년 초 발견된 S사 DRM 모듈로 위장한 악성코드에서도 동일한 코드 패턴이 확인되었다.

 

  • 악성코드 정적분석 과정에서 확인된 동일한 코드 패턴이었으며 난독화된 문자열을 변환하는 코드였다. 공격자는 악성코드 분석 난이도를 어렵게 하고, 송수신 데이터 보호 등을 목적으로 고유의 은닉 기법을 사용하는데, 잘 알려진 암호화 알고리즘을 이용하기도 하지만, 상대적으로 가벼운 비트연산이나 치환 방식을 이용하기도 한다. 발견된 변환 코드 역시 XOR 연산에 기반을 두었고 앞으로 언급될 다양한 침해사고와 관련된 악성코드에서 공통적으로 확인되었다.

<XOR 변경 형태 : 39f40f691136c390af78c27499bf202036bbdd6e8f34b8b8e2e87143481f565a>

 

 

 

 

[악성코드 특징 추출 방법]

  • 악성코드를 특정하기 위한 방법은 악성코드별 특징을 추출하여 공통점을 찾아내는 방식이 이용된다.
    1. 단순 문자열 추출
    1. API 호출 횟수 및 순서
    1. 부분별 해시의 유사도 계산
    1. 등등

     

  • 일반적인 악성코드 특징에 따른 분류와 함께 최근에는 바이너리 및 문자 패턴 매칭을 지원하는 도구인 YARA를 사용하여 악성코드를 프로파일링 하는 것이 일반적이다

YARA YARA는 악성코드를 분석하여 간단한 고유 문법을 가진 탐지정책(Rule)을 생성해, 동일한 탐지정책에 부합하는 악성코드를 찾을 수 있게 해준다. 단순 문자열부터 파일의 오프셋, 가상 메모리 주소 등의 지정, 정규표현식, 엔 트로피 등을 이용하여 유사한 악성코드를 발견할 수 있다.
 

 

 

[악성코드 프로파일링 절차]

 

  • 금보원은 YARA를 이용하여 다음과 같은 절차로 악성코드 중심의 프로파일링을 수행한다
    1. 최초 악성코드가 식별됨
    1. 초동 및 상세분석을 진행하여 해당 악성코드 고유의 패턴을 찾음
    1. 그 후 거기에 맞는 탐지정책을 작성
    1. 다음으로 작성된 탐지정책의 정확도 판단 및 유사한 악성코드 식별을 위해 자체 보유하고 있는 악성코드 데이터베이스 및 바이러스 토탈 인텔리전스 서비스에 탐지정책을 적용
    1. 해당 결과를 가지고 작성한 탐지정책을 수정함
    1. 4, 5 단계를 반복적으로 수행하여 탐지정책의 정확성을 향상시키고 유사 악성코드를 지속적으로 발견함

 

  • 한편, I사 코드서명 인증서 도용(INITROY) 악성코드가 사용한 C&C 서버에서 TCP 포트 3511에 대한 대규모 스캔 흔적이 발견되었다. 또한 당시 금융보안원 관제 기록에도 INITROY의 C&C 서버로부터 국내 수십여 개 금융회사를 대상으로 수행된 3511포트에 대한 포트 스캔 공격이 확인되었다. 이후 해당 포트는 GHOSTRAT 오퍼레이션에서 공격 대상 기업 내부로 침투하기 위해 사용된 M사 자산관리 솔루션의 취약 포트로 확인되었다.

 

  • 이처럼 악성코드와 C&C 서버, 공격자가 이용한 취약점 등을 토대로 일련의 사고에 대한 연관성을 분석할 수 있게 된다. 금융보안원은 사고 이미지가 확보되지 않은 경우에는 주로 악성코드의 특징 위주로 프로파일링 하여 캠페인을 식별하였다.

 

 

[TTP 프로파일링]

 

  1. 전략(Tatics)
    • 라이플 캠페인에 포함된 오퍼레이션의 공격대상은 금융, IT기업, 대기업, 방위산업체, 국방 등 전 분야에 걸쳐있긴 하나 최종 목표는 국방이나 금융과 같은 핵심 기반시설을 목표로 한다.

     

    • 공격대상에 대한 철저한 조사를 통해 공격 대상의 IT 인프라 환경 및 인사 현황까지 파악하는 등의 치밀한 사전 작업을 수행한다. 이렇게 파악한 정보로 취약점을 찾아내 공격을 진행하고, 악성코드 파일 이름을 공격대상에서 사용하는 소프트웨어의 실행파일과 동일하게 선택하기도 한다.

     

    • 사전 작업이 완료된 이후, 내부 진입에 성공하게 되면 추가 악성코드를 지속적으로 침투시켜 내부 주요 직원 PC 및 서버를 찾아 추가 공격을 수행한다. 그 과정에서 상당량의 내부 정보를 수집 및 탈취하여 공격 대상 내부 환경을 다각도로 분석하고, 최종적으로 내부 기밀 탈취 및 업무를 마비시키는 등의 작업을 수행하게 된다.

     

  1. 기술(Techniques)
    • 공격대상에 침입하거나 침입 후 내부 전파를 위해 제로데이 취약점을 활용하였다. 특히 국내에서만 널리 이용되는 액티브엑스 컨트롤 솔루션의 취약점이나, 에이전트 형태로 다수의 PC에 설치되는 기업용 SW의 제로데이 취약점을 이용하였다. 국내 기업 운영 환경에 대한 높은 이해를 바탕으로 관련 SW의 취약점을 찾기 위해 IT 기업을 공격대상으로 선택하기도 한다.

     

    • 침입에 성공하여 거점을 확보한 후에는 보통 내부에서 외부로 설정한 리버스터널링을 통해 내부를 공격한다. 대부분의 연결은 상용 VPN 서비스(Private Internet Access)를 이용하여 실제 공격자의 IP를 추적하는 것은 어렵다. 다만 VPN 소프트웨어의 오류로 인해 실제 IP가 노출되는 경우가 종종 있다.

     

    • 거점에는 공격자가 개발한 RAT나 백도어를 설치하는 경우가 일반적이며 윈도우 환경에서는 공격을 위한 계정(SQLAdmin 등)을 추가한 후 RDP(Remote Desktop Protocol) 연결을 하는 등의 수법을 자주 이용한다.

       

      RDP란? 말 그대로 원격을 할 수 있도록 도와주는 프로토콜이다. MS가 개발한 프로토콜이며 다른 PC에 그래픽 사용자 인터페이스를 제공한다. 주변에서 흔히 사용하고 있는 팀뷰어, MSTSC 등의 원격 프로그램 또한 이 프로토콜 통신을 한다 (디폴트 포트 : 3389) 하지만 이런 RDP는 해커들에게 아주 유용한 도구로 사용된다. RDP는 랜섬웨어를 위한 최고의 공격 벡터가 되었다고 볼 수 있으며, 사용자 네트워크에 침투하여 권한을 상승하고 각종 자료를 탈취하는 등 보안을 위협하는 범죄 용도로 악용되고 있다.

     

    • 웹쉘 또는 특정 취약점을 이용하여 C&C 서버를 확보한 후 FRP 프로그램(파일질라 등)을 설치하여 감염 PC로부터 데이터를 탈취한다. 이 후 취합된 데이터를 2차 C&C로 전송하게 되고 해당 데이터는 1차 C&C에서 삭제한다.

     

  1. 절차(Procedures)
    • 안다리엘 그룹이 사이버테러를 주로 수행하는 만틈 전형적인 APT 공격의 흐름을 따른다. 내부 침투 이후 내부 정보를 치밀하게 수집하여 유용한 자료를 선별하여 탈취한다. 다만 최근에는 조기 탐주 능력의 향상과 위협그룹의 목적 변화 등의 요인으로 인해 5단계 '파괴'까지 진행되는 경우는 확인되지 않지만, 지속적으로 MBR 파괴형 악성코드를 테스트 하고 있는 정황은 확인되고 있다.

     

 

[오퍼레이션 분석]

악성코드 프로파일링을 토대로 복수의 오퍼레이션(침해사고)을 추적할 수 있고, 각 오퍼레이션을 분석하는 과정에서 동일한 C&C 서버나 취약점을 활용하는 등의 오퍼레이션간의 연관성이 확인되기도 했다. 2015년 하반기부터 7건의 오퍼레이션에서 안다리엘의 개입을 확인할 수 있었으며, 공격대상은 국내의 금융, 국방, IT 솔루션 개발업체 등이었다. 

 

  • DARKSEOUL
  • XEDA
  • INTROY
  • GHOSTART
  • DESERTWOLF
  • BLACKSHEEP
  • VANXATM
  • MAYDAY

 

 

3. 악성코드 프로파일링

[라이플 트랜스폼]

 

  • 안다리엘 그룹은 특정 문자열 변환(인코딩/디코딩)을 위한 특수 함수를 자체 제작하여 사용하고 있다. 각 함수의 특징에 따라 모듈명을 명명하는데 안다리엘에 의해 수행된 대부분의 공격에서 아래의 디코딩 함수들이 사용되었다. 각각희 함수에 의해 디코딩된 결과는 또다른 디코딩 함수의 입력 값으로 이용되기도 한다.

 

  • 예를 들어, SUBS 트랜스폼에 의해 디코딩된 문자열이 XOR 트랜스폼에 입력되어 최종 문자열이 만들어지기도 한다 (SUBS 트랜폼에 대해서는 뒤에 설명함)

 

  1. XOR 트랜스폼
    • XOR 트랜스폼은 XOR 연산을 이용하여 디코딩과 인코딩에 모두 사용된다. 인코딩된 문자열을 디코딩하여 평문 형태의 문자로 바꾸기도 하고 C&C 통신 직전 감염 PC 정보 등을 인코딩하여 C&C 서버로 전송하기도 한다.
    • 총 4개의 초기 키 값이 사용되는 특징을 갖고 있으며 아래는 IDA로 해당 함수를 수도코드로 변환 시킨 결과이다

    해당 XOR 트랜스폼 함수를 C언어로 포팅한 것이다. 해당 프로그램을 이용하여 악성코드에서 이용된 문자열을 인코딩/디코딩 해볼 수 있다. 

     

     

     

    • 비슷한 시기에 발생한 오퍼레이션에서는 동일한 XOR 키 값을 재사용하는 특징이 있었다. 따라서 XOR 키 값 역시 주요한 프로파일링 요소가 된다. 현재까지 발견된 XOR 키 값 리스트는 아래과 같다.(1바이트 키 값은 제외)

     

     

    • 각 오퍼레이션에서 처음 사용된 고유의 XOR 키 값도 있지만 기존 오퍼레이션에서 사용됐던 키 값이 재사용되기도 했다. 다음은 사용된 XOR 키 값을 기준으로 작성된 오퍼레이션 연관도이다. 일부 GHOSTART의 키 값은 VANXATM과 DESERTWOLF에서 재사용 되었으며 GHOSTART에서 사용되지 않은 DESERTWOLF 고유의 키 값은 각각 VANXATM과 BLACKSHEEP 오퍼레이션에서 재사용 되었다.

       

       

     

  1. FE 트랜스폼

    FE 트랜스폼은 XOR 트랜스폼과 유사한 코드 패턴을 갖고 있으나 비트 연산 부분에서 다소 차이가 있다. 

     

     

     

  1. S 트랜스폼

     

    • S 트랜스폼은 그림과 같이 'S^'로 시작하는 문자열에서 S^를 제외한 문자열을 추출하는데 사용된다. 글미에서 보는 바와 같이 'S^'뒤에 오는 문자열은 악성코드에서 사용될 WinAPI이거나 기타 필요 문자열(추가 생성 파일 경로, 추가 악성코드 파일명 등)이다.

     

    • S 트랜스폼을 수도코드로 보면 'S^'로 시작하는 문자열에 대해 앞 두개의 문자들을 제외한 나머지 문자열을 반환하게 된다.

     

     

  1. SUBS 트랜스폼
    • SUBS 트랜스폼은 내부에 저장되어 있는 문자 치환 테이블(Substitution Table)을 이용하여 특정 문자로 치환한 후 Shift, OR 연산을 이용하여 최종 문자열을 생성한다. 아래 그림은 디코딩 대상 문자열을 SUBS 트랜스폼 함수로 전달하는 코드 부분이다.

       

      전달된 문자열은 아래 그림에 있는 SUBS 트랜스폼 함수를 통해 1차 디코딩 문자열로 변환되며 이는 XOR 트랜스폼 함수로 전달되어 최종 평문 문자열로 변환된다. 

       

      SUBS 트랜스폼 함수를 파이썬으로 포팅하여 악성코드에서 사용된 인코딩된 문자열을 빠르게 디코딩 할 수 있다. 아래 코드에서 subsTable은 디코딩시 해당 함수에서 사용하는 문자 치환 테이블이며 SUBS 트랜스폼을 이용하는 모든 악성코드에서 발견되므로 유사 악성코드 수집에도 이용할 수 있다 

       

      • 문자열 치환 테이블

         

        SUBS 트랜스폼 함수 동작과정을 살펴보면 초기 입력 값으로 들어오는 문자열(예: 978FF5eqF2YM0l+4)은 디코딩 문자 치환 테이블(데이터 타입: WORD) 내부 좌표이다. 첫번째 문자 9는 10진수로 57(0x39)이며 치환테이블의 데이터 타입이 word(2bytes)이므로 위의 파이썬 스크립트의 치환 테이블에서는 114(57*2)번째 값을 의미한다.  

         

        즉, 0x3D 이다. 이와 같은 과정을 통해 치환 테이블로부터 추출한 값을 이용해 SAR, SHL, OR 연산 등을 수차례 거쳐 최종 디코딩 문자열이 생성되게 된다. 최종 결과 값은 아래 그림과 같으며 XOR 트랜스폼에 해당 값을 입력 할 경우 최종 평문이 생성된다. 

         

         

         

    [RAT 서버 모듈]

    RAT(Remote Administrator Tools)란? 원격 관리 프로그램으로 공격대상의 컴퓨터를 서버로 삼아 외부에서 공격자가 클라이언트로 접속, 원격으로 컴퓨터를 조종할 수 있도록 하는 악성코드이다. 설치 후엔 해커에게 자동으로 연결되거나 해커가 원할 떄 언제든 접속할 수 있도록 해주고, 컴퓨터의 통제권을 해커에게 넘겨준다

     

    1. Type A
      • GUI 형태의 RAT 서버 모듈로 감염 에이전트를 대상으로 파일 전송 및 명령 실행 등이 가능하다. RAT 서버 Type A에는 RAT 클라이언트 Type A가 연결된다. 서버 모듈에서는 기본적으로 연결된 클라이언트를 대상으로 시스템 명령어 실행이 가능하다

         

      • 또한 upload 명령어를 통해서 서버에서 클라이언트로 원하는 파일을 전송 및 실행할 수 있다

       

    1. Type B
      • RAT 서버 Type B에는 클라이언트 Type B가 연결되며, Type A와 달리 GUI 인터페이스를 지원하지 않는다. 실행결로의 conf.ini 파일을 읽어 에이전트에 명령을 내리는 형태로 동작한다. 해당 파일은 아래와 같은 형태로 원하는 명령어를 지정한 후에 클라이언트가 실행한 결과를 전송하는 방식이다.

         

[RAT 클라이언트 모듈]

  1. Type A
    • 서버 Type A와 연결되는 클라이언트 모듈로 감염되는 경우 서버로 '컴퓨터이름*****사용자이름' 형식의 정보를 전송한다.

       

       

      에이전트는 뮤텍스를 사용해 중복실행을 방지하며, 시작 프로그램 경로에 자가 복제를 하여 감염 PC가 재부팅되더라도 에이전트가 동작할 수 있도록 되어있다. 

     

    • 에이전트가 정상적으로 동작하면 하드코딩된 C&C IP로 443포트 접속을 시도한다. 방화벽 우회를 목적으로 임 의의 포트가 아닌 잘 알려진 포트 중 하나인 443포트를 사용한 것으로 추정된다. 마스터로부터 전달받은 명령 을 실행하고 나면 그 결과를 마스터로 전송하고 로컬 임시경로에는 파일로 저장한다.

       

       

  1. Type B
    • RAT 서버 Type B와 연결되는 에이전트이다. Type A와 마찬가지로 하드코딩된 C&C IP에 접속한다. 각 에이전트는 '컴퓨터이름_사용자이름'으로 구분된다.

       

       

      에이전트에는 switch case 형태로 10여개의 명령어가 구성되어 있고 원격에서 명령어 코드를 수신해 정해진 명령만 실행되도록 되어 있다. 

       

       

  1. Type C

     

    • RAT 클라이언트 Type C의 서버 프로그램은 확보하지 못한 상태로 서버와의 통신 내용을 상세히 분석할 수는 없 으나 Type C 코드를 통해 일부 통신 방식을 확인할 수 있었다. 서버로부터 수신하는 명령어와 기능은 아래와 같다.

       

       

 

 

[공개 RAT]

  • 안다리엘은 자체 개발 RAT 외에도 인터넷에 공개된 RAT 프로그램을 수정하여 공격에 활용한다. Aryan, Xtreme RAT, Chost RAT, F.B.I RAT와 같이 소스코드가 공개된 프로그램을 이용한다.

 

  • 이외에도 공격자가 다운로드 받은 RAT 소스코드는 수십 종에 이르며 추후 공격에 지속적으로 활용할 것으로 예상된다. Ghost RAT의 경우 '문자렬', '통보문현시'와 같은 국내에서 자주 쓰지 않는 단어로 작성된 한글화 프로그램이 발견되기도 했다.

 

 

 

 

[키로거]

 

  • 현재시간, 윈도우 타이틀, 클립보드 내용과 발생하는 키보드 키 입력 이벤트를 수집 후 XOR 트랜스폼을 통해 암호화한 후 수집된 내용을 파일에 기록하는 키로거이다.

 

  • 로그파일명은 아래 그림과 같이 키로거 코드 내에 암호화된 상태로 하드코딩 되어 있고, Base64 디코딩 후 생성된 이진 데이터 값(암호문)을 SUBS 트랜스폼을 사용해 복호화하면 평문 파일명을 얻을 수 있다. 이 로그파일은 C:\Windows\System32 아래 생성되어 수집된 정보를 저장한다.

 

 

  • 키로거는 감염자가 입력한 키 값을 XOR 트랜스폼을 이용하여 암호화하고, 생성된 이진 데이터 값을 Base64 알고리즘으로 인코딩하여 최종 암호문을 생성한다

 

[웹쉘]

 

  • C&C 서버로 이용된 대학연구실이나 중소기업 홈페이지 등에서는 여러 종의 웹쉘 프로그램이 발견되었다. 그중 404 오류페이지로 위장한 “404 Not Found Shell V” 웹쉘의 경우에는 GHOSTRAT, VANXATM, MAYDAY 오퍼레이션에서 같이 발견 되었는데, 웹쉘을 이용하기 위해 설정된 비밀번호가 동일하게 설정된 상태였다.

 

 

 

 

4. 연관성 분석

 

  • 앞서 살펴본 오퍼레이션들을 TTP 및 악성코드 프로파일링 결과를 토대로 살펴보면 오퍼레이션별 연관성을 확인할 수 있다. 각 오퍼레이션에서 일부 언급하였듯이 동일한 C&C 서버의 활용동일한 트랜스폼이 포함된 악성코드의 이용 등이 확인 되었으며 이러한 연관성을 토대로 동일한 공격자의 캠페인으로 확인할 수 있다.

     

  • 공통적으로 모든 오퍼레이션에서 문자열 변환을 위한 안다리엘 고유의 트랜스폼이 발견되며, 각 오퍼레이션별 트랜스폼 모듈 사용 비교포는 아래와 같다

     

     

 

  • 서로 다른 오퍼레이션(INITROY-XEDA-GHOSTRAT, BLACKSHEEP-DESERTWOLF, GHOSTRAT-VANXATM)에서 동일한 C&C 서버가 이용되었으며, DESERTWOLF, VANXATM 오퍼레이션에서는 동일한 키로거 프로그램과 XOR 키가 동일한 트랜스폼이 확인되었고, GHOSTRAT, VANXATM, MAYDAY 오퍼레이션에서는 접속 비밀번호까지 동일한 웹쉘 프로그램이 발견되기도 했다.

 

  • INITROY 오퍼레이션에서 이용된 C&C 서버에서는 GHOSTRAT 오퍼레이션에 이용된 자산관리솔루션 취약점을 공격하기에 앞서 대규모 포트스캔을 수행하여 공격 대상을 선별하기 위한 흔적이 확인되었다.

 

  • 공격에 이용된 취약점 중 INITROY의 경우 I사에서 탈취된 코드서명 인증서가 이용되었고, N사 정보유출방지 솔루션 취약점을 이용해 I사 내부 공격이 진행되었으며, BLACKSHEEP에서는 또다른 I사 및 N사 취약점 공격코드가 동일한 유포지에서 발견되었다. 그런가하면 VANXATM 오퍼레이션의 침해된 내부서버에서 BLACKSHEEP 관련 유포지에 접근을 시도한 기록이 확인되었다.

 

 

 

 

5. 최근 동향

 

  • 안다리엘 그룹은 과거에는 주로 공격 대상 내부의 주요 자료를 탈취하거나 파괴하는 등의 사이버테러에 목적을 두고 있었으나, 최근에는 외화벌이를 위한 사이버 범죄 행위도 적극적오르 수행하고 있는 것으로 추청된다

 

[사행성 게임 해킹 악성코드]

  • 최근 탐지된 악성코드 샘플 중, 최초 탐지시 ProcessClean.exe라는 파일명으로 바이러스토탈에 업로드된 해당 샘플은 XOR 트랜스폼과 SUBS 트랜스폼을 사용한다. 샘플 실행시 아래와 같이 “프로세스 클린"이라는 프로그램을 설치하는 것으로 보이나 백그라운드에서는 온라인 포커 게임 해킹 기능을 수행하는 악성코드 설치를 시도한다.

 

  • 악성코드는 특정 게임이 설치되어 있는지 확인한다. 설치되어 있을 경우 추가 악성코드를 생성하여 실행시키며 해당 악성코드는 감염자의 패를 볼 수 있는 기능을 수행 하는 것으로 추정된다

 

 

[블루노로프와 공주 및 코드 업데이트]

  • 최근 안다리엘과 블루노로프 그룹이 국내 금융권 대상 공격시 공조를 하고 있는 듯한 모습이 포착되고 있다. 2016년까지 블루노로프 그룹은 국내를 대상으로 특별한 공격을 수행하지 않았던 반면, 2017년부터는 블루노로프 그룹의 공격이 자주 발견되고 있다. 또한 안다리엘과 블루노로프가 동일한 기업을 대상으로 공격하는 정 황도 확인되었다.

 

  • 최근에는 블루노로프가 한글 문서의 취약점을 이용하여 고유의 악성코드를 생성하고 실행시키는 공격이 식별되는 등 현재 두 개의 그룹이 국내 대상 공격에 집중하고 있는 것으로 판단된다.

 

  • 또한 안다리엘은 최근 고유의 문자 변환 함수에 대한 업데이트를 진행한 것으로 확인된다. 최근 안다리엘이 제작하고 유포한 것으로 추정되는 악성코드에서 XOR 트랜스폼 함수 코드가 다소 변형된 것을 확인할 수 있었으며 금융보안원은 해당 코드에 대한 탐지룰도 작성하여 추후 있을 유사 공격에 대비하고 있다.

 

728x90
저작자표시

'보안 > Reversing' 카테고리의 다른 글

Bindiff 상세 기능 조사  (0) 2020.05.05
리버싱 기초 with 어셈블리종류  (0) 2020.05.05
RTL 기법 파헤치기  (8) 2019.05.19
스택의 구조  (2) 2019.05.10
인텔 8086 메모리 구조  (0) 2019.05.10

'보안/Reversing' 관련글

티스토리툴바