2019-09-06 1. 배경 소개 최근 라이징 시큐리티 연구소는 중국을 상대로 한 두 건의 APT 공격을 포착했는데, 하나는 중국 내 여러 국가 대사관을, 다른 하나는 해외 기술 기업 대표사무소를 겨냥한 공격입니다. 사용자가 피싱 문서를 열면 공격자가 원격으로 컴퓨터를 제어하게 되어, 컴퓨터 시스템 정보, 설치 프로그램, 디스크 정보 등 내부 기밀 데이터가 도난당합니다. APT 공격은 국제적으로 유명한 '사이드와인더' 조직이 감행한 것으로 알려져 있으며, 이 조직은 파키스탄과 동남아시아 국가들에 여러 차례 공격을 감행해왔으나, 최근 두 차례의 APT 공격은 중국을 향한 경우가 많았다. 한 차례는 국방부 국제군사협력실 해외군사안보협력센터로 위장해 중국 주재 대사관 군사 무관들에게 허위 초청장을 보냈다; 다른 하나는 기술 기업의 해외 대표 사무소에 대한 공격으로, 공격자가 가짜 보안 및 기밀 유지 매뉴얼을 보냈습니다.
사진: 국방부로 위장된 피싱 문서
라이징 시큐리티 연구소의 분석에 따르면, 이 두 공격의 목표와 내용은 다르지만, 공격자들이 사용한 기술적 방법과 비교해도 정부, 에너지, 군사, 광물 등 분야에서 기밀 정보를 훔치는 주된 목적을 가진 APT 조직 '사이드와인더'와 깊은 관계를 맺고 있는 것으로 결론지어졌다. 이 공격은 가짜 이메일을 미끼로 사용해 중국 대사관 및 해외 기술 기업과 관련된 피싱 이메일을 보내고, Office 원격 코드 실행 취약점(CVE-2017-11882)을 이용해 중국 대사관 및 기술 기업과 관련된 피싱 이메일을 보내 우리나라 내 중요한 기밀 데이터, 개인정보 정보 및 과학기술 연구기술을 탈취하는 것을 목표로 했습니다. 2. 공격 과정
그림: 공격 흐름
3. 피싱 이메일 분석 (1) 미끼 문서 1. 국방부 국제군사협력실 해외군사안보협력센터가 중국 내 여러 국가 대사관 군사 무관에게 보내는 초청장으로 위장된 문서입니다.
그림: 미끼 문서
(2) 미친 문서 2의 내용은 해외 기술 회사 대표사무소의 보안 및 기밀 유지 작업 매뉴얼 개정과 관련되어 있습니다.
그림: 문서 내용
(3) 상세 분석 두 디코이 문서 모두 끝에 "Wrapper Shell Object"라는 객체를 내장하고, 객체 속성은 %temp% 디렉터리의 1.a 파일을 가리킵니다. 문서를 열면 %temp% 디렉터리에 JaveScript 스크립트가 작성한 1.a 파일이 해제됩니다.
그림: 객체 속성
이 미끼 문서는 CVE-2017-11882 취약점을 악용하여 셸코드 실행 1.a를 트리거합니다.
그림: 셸코드
셸코드 과정은 다음과 같습니다: XOR 0x12로 JavaScript 스크립트를 복호화하며, 이 스크립트의 주요 기능은 %temp% 디렉터리에서 1.a 파일을 실행하는 것입니다.
그림: JavaScript 스크립트 암호문
그림: 복호화된 JavaScript 스크립트
ShellCode는 공식 편집기의 명령줄 인자를 자바스크립트 스크립트로 변경하고, RunHTMLApplication 함수를 사용해 스크립트를 실행합니다.
그림: 명령줄 교체
그림: JavaScript 실행
3. 바이러스 분석 (1) 1.a 파일 분석 1.a는 오픈소스 DotNetToJScript 도구를 통해 생성되며, 주요 기능은 JavaScript 스크립트 메모리를 통해 .net DLL 파일을 실행하는 것입니다. 스크립트는 먼저 StInstaller.dll 파일을 복호화하고 해당 DLL에서 작업 함수의 부하를 반영합니다. 작업 함수는 들어오는 매개변수 x(매개변수 1)와 y(매개변수 2)를 복호화하며, 복호화 후 x는 PROPSYS.dll이고 y는 V1nK38w.tmp입니다.
그림: 1. 문자 내용
(2) StInstaller.dll 파일 분석 StInstaller.dll은 .NET 프로그램으로, 작업 디렉터리 C:\ProgramData\AuthyFiles를 생성한 후 작업 디렉터리 내에 PROPSYS.dll, V1nK38w.tmp, write.exe.config 3개의 파일을 해제하고, WordPad 프로그램을 시스템 디렉터리(write.exe)에 저장합니다. 그 디렉터리로 복사하세요. write.exe(흰색 파일)를 실행해 같은 디렉터리에 PROPSYS.dll(검은색 파일)를 불러오고, 악성 코드를 흰색과 검은색으로 실행하세요.
그림: 일 함수
자세한 과정은 다음과 같습니다: 1. 작업 함수의 xorIt 복호화 함수를 호출하여 작업 디렉터리 이름인 AuthyFiles와 도메인 이름 3가지 중요한 구성 데이터를 얻습니다https://trans-can.net그리고 레지스트리 키 이름을 Authy로 설정하세요.
그림: 복호화된 데이터
그림: xorIt 복호화 함수
2. 작업 디렉터리 C:\ProgramData\AuthyFiles를 생성하고, 시스템 파일을 작업 디렉터리에 복사한 후 자동 부팅 설정write.exe
그림: AuthyFiles 생성 및 write.exe
3. 작업 디렉터리에 임의로 이름 붙여진 파일 V1nK38w.tmp을 해제합니다. 4. 작업 디렉터리의 PROPSYS.dll을 해제하고, 다음에 프로그램을 불러올 파일 이름V1nK38w.tmp 업데이트합니다.
그림: 창조 PROPSYS.dll
5. 스플라이팅된 전체 URL 링크:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5파일에 V1nK38w.tmp 쓰세요. 그 후 EncodeData 함수를 사용하여 파일을 암호화합니다.
그림: 파일 생성 V1nK38w.tmp
그림: EncodeData 암호화 함수
6. 서로 다른 .NET 버전과의 호환성 문제를 방지하기 위해 write.exe.config 설정 파일을 만드세요.
그림: write.exe.config 생성
그림 :write.exe.config 내용
7. 악성 PROPSYS.dll를 호출하기 위해 C:\ProgramData\AuthyFiles\write.exe를 실행합니다.
도표: 임원 write.exe
(3) 파일 분석PROPSYS.dll DecodeData 함수를 사용하여 V1nK38w.tmp을 복호화하고 복호화 후 실행 V1nK38w.tmp을 로드합니다.
그림: 실행 V1nK38w.tmp 로딩
그림: 디코드데이터 복호화 함수
(4) V1nK38w.tmp 파일 분석V1Nk38w.tmp 주로 대량의 정보를 훔치고 실행을 위한 명령을 받는 것입니다.
그림: 주요 행동
1. 리소스에서 기본적으로 복호화된 초기 구성을 불러옵니다. 구성 내용은 URL, 업로드된 파일의 임시 디렉터리, 그리고 지정된 파일 접미사(doc, docx, xls, xlsx, pdf, ppt, pptx)의 스틸입니다.
그림: 로딩 구성
그림: 복호화된 기본 자원 정보
2. 구성은 EncodeData 함수를 사용하여 암호화되어 HKCU\Sotfware\Authy 레지스트리에 저장됩니다.
그림: 레지스트리에서 암호화된 구성 정보
3. 지정된 주소에 방문하여 파일을 다운로드하고 먼저 설정 정보에서 URL을 선택하세요. 아니면 기본 URL을 선택하세요:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
그림: 다운로드 데이터
4. 도난당한 정보를 파일에 통합하고, 파일 이름은 'random string + specific suffix'로 명명하고, 데이터 내용은 임시 디렉터리에 평문으로 저장됩니다.
사진: 정보 파일을 훔치고 있습니다
.sif 접미사가 붙은 파일은 주로 시스템 정보, 설치 프로그램, 디스크 정보 등을 저장합니다.
그림: 접미사 .sif로 저장된 정보
획득된 시스템 정보는 다음과 같습니다:
접미사는 .fls입니다.
표: 정보 기록
그림: 접미사 .fls의 저장 정보
접미사 .flc가 붙은 파일은 모든 드라이브 문자 정보와 드라이브 문자 아래 디렉터리 및 파일 정보를 기록합니다. 다음 표는 공격자가 얻고자 하는 드라이브 문자 정보를 보여줍니다:
공격자가 얻고자 하는 디렉터리 정보는 다음과 같습니다:
공격자가 얻고자 하는 파일 정보는 다음과 같습니다:
프로그램 실행 중 예외를 포착하고, .err 접미사가 붙은 파일에 예외 정보를 기록합니다.
그림: 예외를 포착하다
5. 레지스트리에 저장된 구성 데이터를 업데이트하세요: 먼저, 시스템을 탐색하여 특정 접미사와 같은 접미사를 가진 파일을 찾고, 그 다음 HKCU\Sotfware\Authy 레지스트리에서 설정 데이터를 읽고 복호화한 뒤, 발견된 파일의 이름과 경로를 설정 데이터에 추가한 뒤, 마지막으로 구성 정보를 암호화하여 레지스트리를 계속 저장합니다.
그림: 특정 접미사 파일 찾기
그림: 업로드할 문서의 경로를 기록합니다
그림: 지정된 접미사 문서 업로드
6. 레지스트리에 저장된 구성 데이터를 업데이트: 업로드된 파일의 정보를 레지스트리 구성 데이터로 업데이트합니다.
그림: 레지스트리의 복호화된 구성 정보
7. 레지스트리 구성 정보에 기록된 특정 접미사 파일의 모든 데이터 내용을 압축하여 업로드합니다.
그림: 접미사 파일 업로드
8. 스테이징 디렉터리에 sif, flc, err, fls 접미사가 붙은 파일을 업로드합니다.
그림: 업로드 파일
4. 요약
두 공격은 오래지 않은 간격으로 발생했으며, 공격 목표는 모두 중국 내 민감한 지역과 관련 기관을 대상으로 했으며, 공격의 주요 목적은 조직 내 개인 정보를 탈취하여 다음 공격 계획을 수립하는 것이었다. 최근 공개된 사이드와인더 공격 대부분은 파키스탄과 동남아시아 국가들을 겨냥했지만, 이 두 공격은 중국을 겨냥했음을 시사하며, 이는 이 그룹의 공격 대상이 변경되고 중국에 대한 공격을 강화했음을 시사한다. 올해는 우리나라 건국 70주년과 맞물려 관련 국내 정부 기관과 기업들이 이를 크게 주목하고 예방 조치를 강화해야 합니다.
5. 예방 조치
1. 의심스러운 이메일을 열거나 의심스러운 첨부파일을 다운로드하지 마세요. 이러한 공격의 초기 진입구는 보통 매우 혼란스러운 피싱 이메일이기 때문에 사용자들은 경계해야 하며, 기업은 직원 네트워크 보안 인식 교육을 강화해야 합니다.
2. 네트워크 보안 상황 인식 및 조기 경보 시스템과 같은 게이트웨이 보안 제품을 배포합니다. 게이트웨이 보안 제품은 위협 인텔리전스를 활용해 위협 행동의 궤적을 추적하고, 사용자가 위협 행동을 분석하며, 위협 출처와 목적을 찾고, 공격의 수단과 경로를 추적하며, 네트워크 위협을 해결하고, 공격된 노드를 최대한 발견하여 기업이 더 빠르게 대응하고 대응할 수 있도록 돕습니다.
3. 악성 문서와 트로이 목마를 차단하고 제거하는 효과적인 안티바이러스 소프트웨어를 설치하세요. 사용자가 실수로 악성 문서를 다운로드하면, 백신 소프트웨어가 이를 차단하고 종료하며, 바이러스 실행을 막고 사용자의 단말기 보안을 보호할 수 있습니다.
4. 패치 시스템 패치와 중요한 소프트웨어 퍼그를 적시에 완료합니다.
6. IOC 정보
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
게시됨 2019. 9. 21. 오전 9:15:59
|
|
|
