스몰타이거 악성코드, 국내 기업 중심으로 유포 중
안랩은 최근 국내 방산업체와 자동차 부품 및 반도체 제조업체를 대상으로 유포 중인 스몰타이거(SmallTiger) 악성코드에 대응하고 있다. 최초 침투 과정은 확인되지 않았지만, 공격자가 측면 이동하는 과정에서 기업 내부에 스몰타이거가 유포된 것으로 확인됐다. 스몰타이거 악성코드의 유포 과정을 자세히 알아보자.
해당 공격은 작년 11월에 최초로 확인됐으며, 공격 대상이 된 시스템에서 확인된 악성코드를 보면 김수키(Kimsuky) 그룹의 소행으로 추정된다. 하지만 내부 전파 과정에서 기업 내의 소프트웨어 업데이트 프로그램을 악용했다는 점에서 일반적인 김수키의 공격 방식과 조금 차이가 있다. 또, 최종적으로 설치된 백도어 악성코드가 과거 안다리엘(Andariel)의 공격 사례에서 확인된 두리안비콘(DurianBeacon)이었다는 점도 이색적이다.
공격자는 올해 2월부터 공격을 재개했다. 최종적으로 유포되는 악성코드도 기존 두리안비콘에서 ‘스몰타이거’로 변경됐다. 스몰타이거를 활용한 공격 사례는 최근까지도 지속되고 있다.
먼저, 두리안비콘을 이용한 사례를 간단히 살펴보자. 당시, 멀티RDP(MultiRDP) 악성코드와 미터프리터(Meterpreter)를 이용한 정황이 확인됐다. 멀티RDP는현재 실행 중인 원격 데스크톱 서비스의 메모리를 패치해 다수의 사용자가 RDP로 접속할 수 있도록 설정하는 악성코드로 분류된다. 공격자는 멀티RDP를 통해 사용자 인지 없이 감염 대상 시스템에 다른 계정으로 로그인할 수 있으며, 김수키 그룹이 주로 사용한다. 미터프리터는 침투 테스트 목적의 프레임워크인 메타스플로잇에서 제공하는 백도어 악성코드로, 코발트 스트라이크와 유사하게 명령 실행, 정보 탈취, 측면 이동 등 기업의 네트워크를 장악하기 위한 기능들을 제공한다.
[그림 1] 파워셸(PowerShell) 명령으로 설치되는 멀티RDP 악성코드
해당 시스템에서는 기업 내의 소프트웨어 업데이트 프로그램을 통해 또다른 악성코드가 설치된 사례가 함께 확인됐다. 최종적으로 설치된 악성코드는 바로 드로퍼 악성코드인 두리안비콘 RAT 악성코드였다. 두리안비콘 RAT은 안다리엘 그룹의 공격 사례에서 많이 사용됐다.
내부 전파 과정에서 최초로 설치된 악성코드는 드로퍼로, 리소스에 존재하는 3개의 파일들을 복호화해 “mozillasvcone”라는 이름의 서비스로 설치한다. “mozillasvcone” 서비스에 의해 실행된 “%SystemDirectory%\mozillasvcone.dll”는 “%SystemDirectory%\0OGPWm4uRZ0CAkHZ9o\c0FcEpj86LSNmZ5.dll” 경로에 생성된 DLL을 로드하고, RyXmqIUMXViyw6Uvkf() 함수를 호출하는 기능을 담당한다. “c0FcEpj86LSNmZ5.dll”은 “%SystemDirectory%\OQAuagarc0wDTo\mNyKQBP3vV4uX” 경로에 생성된 암호화된 데이터 파일을 읽고 복호화해 메모리 상에서 실행한다.
최종적으로 메모리 상에서 실행된 두리안비콘은 백도어 악성코드로, 고(Go) 언어로 개발됐으며, C&C서버와의 통신 과정에서 SSL 프로토콜을 사용한다.
[그림 2] 과거 버전과 최신 버전 비교
또한, 과거 버전과 동일하게 최초 접속 이후 감염 대상 시스템의 IP 정보, 사용자 이름, 데스크톱 이름, 아키텍처, 파일명을 전송한 후 명령을 대기하며 명령 전달 시 결과를 반환한다. 차이점이 있다면, 자가 삭제 및 Socks Proxy 기능을 담당하는 0x10, 0x12 항목의 명령이 추가됐다.
[표 1] 두리안비콘의 명령 목록
공격자는 최초 침투 이후 기업 내부 인프라를 장악하기 위해 두리안비콘을 조직 내부에 유포했으며, 이를 이용해 정보를 탈취했을 것으로 추정된다.
이제, 본격적으로 스몰타이거 공격 사례로 넘어가보자. 올해 2월부터 또다른 소프트웨어를 악용한 공격 사례가 발견됐다. 내부 전파 과정에서 최종적으로 DLL 포맷의 악성코드가 설치되는데, 해당 악성코드는 다운로더(DownLoader)로, C&C 서버에 접속해 페이로드를 다운로드하고 메모리 상에서 실행하는 기능을 담당한다. 안랩 분석팀은 이 다운로더 악성코드를 ‘스몰타이거’로 명명했다.
[그림 3] 공격자가 ‘스몰타이거’로 지정한 DLL 이름
공격자는 침투 과정에서 감염 대상 시스템에 미미카츠(Mimikatz)와 프록덤프(ProcDump)를 설치하기도 했으며, 이후 감염 대상 시스템의 자격 증명 정보를 탈취하기 위해 프록덤프 툴로 LSASS 프로세스의 메모리를 덤프했다. 여기서 덤프란, PC 시스템에 저장된 정보를 복사한다는 것을 의미한다.
[그림 4] 공격 과정에서 확인된 프록덤프 명령
해당 사례에서는 NirSoft의 WebBrowserPassView와 웹 브라우저 정보를 탈취하는 악성코드가 함께 확인되기도 했다. 이는 WebBrowserPassView와 유사하게 구글 크롬, 파이어폭스, 인터넷 익스플로러에 저장된 계정정보와 히스토리 정보를 추출해서 보여주는 커맨드 라인 툴이다.
[그림 5] 공격 과정에서 확인된 웹 브라우저 계정정보 탈취 악성코드
또한, 올 4월에는 “j******n.exe”라는 이름의 다운로더 악성코드가 사용됐다. 해당 악성코드는 Mshta 명령으로 C&C 서버에서 악성 자바스크립트를 다운로드해 실행한다. 다운로드된 자바스크립트는 내부에 포함된 페이로드를 “C:/Users/Public/printsys.dll:mdata” 경로, 즉, ADS(Alternate Data Stream) 영역에 생성하고, rundll32로 실행한다. 이 과정을 통해 최종적으로 스몰타이거가 실행된다.
[그림 6] ADS 영역에 스몰타이거를 설치하는 mshta 명령
이후, 5월에는 기존 C&C 서버가 아닌, 깃허브(GitHub)가 스몰타이거를 유포하는 데 사용됐다. 최종적으로 설치되는 “pk.dll”은 이전 사례와 동일하게 스몰타이거 악성코드다.
[그림 7] 깃허브에서 추가 페이로드를 다운로드하는 악성코드드
[그림 8] 악성코드가 업로드된 공격자의 깃허브 주소
정리하면, 작년 11월부터 현재까지 동일한 공격자가 최종적으로 다운로드되는 악성코드 유형과 이름만 바꿔 공격을 이어오고 있다. 따라서, 사용자는 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일은 각별히 주의해야 하며, 기업의 보안 담당자는 보안 프로그램의 모니터링을 강화하고 프로그램 보안 취약점에 대한 패치를 수행해야 한다. 또한, 운영체제(OS) 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단할 수 있도록 신경 써야 한다.
출처 : AhnLab