Endpoint Protection

한국의 시스템을 노리는 듀저(Duuzer) 백도어 트로이 목마 

10-26-2015 09:01 AM

south-korean-header.jpg

시만텍은 현재 활동 중이며 Backdoor.Duuzer라는 이름으로 탐지되는 백도어 트로이 목마가 한국을 공격하고 있음을 확인했습니다. 이 악성 코드 공격이 한국만 노리는 건 아니지만 한국의 제조업체를 집중적으로 공격해 왔습니다. 듀저는 정교하게 설계된 보안 위협으로, 감염된 시스템에 대해 공격자가 원격으로 액세스할 수 있도록 할 뿐 아니라 추가로 파일을 다운로드하고 데이터를 유출합니다. 가치 있는 정보를 노리는 숙련된 공격자가 개발한 것이 분명해 보입니다.

듀저의 배후에 있는 공격자가 한국에 있는 더 많은 기업과 기관을 공격하기 위해 W32.BrambulBackdoor.Joanap이라는 두 보안 위협까지 유포하고 있다고 볼 만한 증거도 있습니다. 브램블(Brambul)과 조납(Joanap)은 감염된 시스템에 추가 페이로드를 다운로드하고 탐색 작업을 수행하는 데 사용되는 것으로 보입니다.

듀저: 지능형 백도어 보안 위협
듀저는 현재 실행 중인 보안 위협으로, 표적 공격을 통해 유포되고 있습니다. 아직 이 악성 코드의 정확한 유포 방식은 알려지지 않았지만 스피어피싱 이메일 또는 워터링홀 공격을 통해 전파되는 것 같습니다.

이 트로이 목마는 32비트 및 64비트 시스템 모두에서 작동하도록 설계되었습니다. 또한 감염시킨 시스템이 Virtual Box 또는 VMWare를 사용하여 생성된 가상 시스템인지 여부를 탐지하고, 그러한 가상 시스템일 경우 듀저의 실행을 중지합니다. 그러면 분석 목적으로 악성 코드 감염용 가상 시스템을 실행하는 보안 연구자들에게 탐지되는 것을 피할 수 있습니다.

듀저는 시스템을 감염시킨 후 백도어를 열어 공격자가 시스템의 거의 모든 것에 액세스할 수 있도록 합니다. 공격자는 이 보안 위협을 통해 감염된 시스템에 안전하게 연결한 후 아래와 같은 활동을 수행할 수 있습니다.

  • 시스템 및 드라이브 정보 수집
  • 프로세스, 생성, 나열, 종료
  • 파일 액세스, 수정, 삭제
  • 파일 업로드 및 다운로드
  • 파일의 시간 속성 변경
  • 명령 실행

또한 듀저 공격자가 감염된 시스템에서 악성 코드를 위장하려고 시도한다는 사실이 확인되었습니다. 즉 어떤 소프트웨어가 설치되어 있고, 시스템 시작 시 어떤 소프트웨어가 실행되는지 알아낸 다음 악성 코드의 이름을 기존의 정상적인 프로그램과 비슷하게 변경하는 수법입니다.

시만텍이 듀저를 분석한 바에 따르면, 이러한 보안 위협 공격자들이 상당한 경험을 보유하고 보안 연구자의 분석 기법을 잘 알고 있으며, 이들의 동기는 표적 시스템에서 가치 있는 정보를 입수하는 것으로 보입니다.

공격자들은 감염된 시스템의 백도어를 통해 직접 명령을 실행하는 것 같습니다. 일례로 공격자가 이 악성 코드의 위장 버전을 만든 사례가 확인되었으며, Symantec Endpoint Protection(SEP)을 비활성화하려 했지만 실패한 사례도 있었습니다.

듀저의 위장 수법
공격자는 먼저 레지스트리에서 Run 키를 쿼리한 후 해당 출력을 임시 파일로 리디렉션했습니다.

  • cmd.exe /c "reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" > C:\Windows\TEMP\BP25B4.tmp" 2>&1

그런 다음 쿼리 범위를 특정 사용자의 Run 키로 좁혔습니다.

  • cmd.exe /c "reg query "HKEY_USERS\[REMOVED]\Software\Microsoft\Windows\CurrentVersion\Run" > C:\Windows\TEMP\BP6380.tmp" 2>&1

공격자는 감염된 시스템에 특정 프로그램이 설치되었음을 확인하고 해당 소프트웨어로 위장하기로 했습니다. 그런 다음 해당 애플리케이션과 동일한 이름의 새 폴더를 다른 위치에 만든 후 악성 코드를 해당 폴더에 복사했습니다.

  • cmd.exe /c "md C:\USER_PROFILE\AppData\Local\[REMOVED]"

공격자는 위장하려는 파일의 특성을 나열했습니다. 그런 다음 악성 파일의 특성을 정상 파일의 특성과 일치하도록 변경했습니다.

  • cmd.exe /c "dir /a "C:\Program Files (x86)\[REMOVED]\[REMOVED] AGENT\[REMOVED].exe" > C:\Windows\TEMP\BPD0B6.tmp" 2>&1

마지막으로 공격자는 악성 코드를 로드하기 위해 Run 하위 키에 새 레지스트리 항목을 만들었습니다. 여기서도 합법적인 애플리케이션으로 위장하기 위해 비슷한 이름을 사용했습니다.

  • cmd.exe /c "reg add "HKEY_USERS\[REMOVED]\Software\Microsoft\Windows\CurrentVersion\Run" /v "[REMOVED]Agent" /t REG_SZ /d "\"C:\USER_PROFILE\AppData\Local\[REMOVED]\[REMOVED].exe\"" /f > C:\Windows\TEMP\BPA62F.tmp" 2>&1

공격자는 악성 코드의 위장 버전을 실행했고 기존 인스턴스 프로세스를 종료한 다음 악성 코드의 첫 인스턴스를 삭제했습니다. 공격자는 이런 식으로 피해자 시스템의 프로세스에 섞여 든 후 표준 네트워크의 열거 툴을 사용하여 로컬 네트워크를 탐색하기 시작했습니다.

Symantec Endpoint Protection 비활성화 실패
공격자는 또 다른 시스템에서 네트워크 매핑 중에 SEP 탐지를 피하지 못했고 이 애플리케이션을 비활성화하려고 시도했습니다. 즉 이 보안 애플리케이션과 Windows의 인터페이스 방식을 알아내 애플리케이션을 비활성화하고자 API 후킹(hooking) 툴을 설치했습니다. 하지만 SEP의 모니터링 활동을 중단시키지 못했습니다.

브램블/조납과의 연관성
시만텍은 조사 과정에서 시스템을 브램블이라는 웜 및 조납이라는 백도어 트로이 목마에 감염시키는 드로퍼(dropper)를 발견했습니다. 이 드로퍼가 어떻게 유포되는지는 확실치 않지만 악성 이메일을 이용하는 것으로 보입니다. 시만텍의 분석에 따르면, 이 트로이 목마가 브램블 및 조납과 모두 연관되었을 가능성이 있습니다. 브램블에 감염된 시스템이 듀저를 위한 C&C(명령 및 제어) 서버로 사용되고 듀저에 감염된 적도 있습니다.

브램블 웜은 무차별(brute-force) 공격을 통해 전파됩니다. 이 보안 위협은 하드코딩된 사용자 이름 및 암호 목록을 사용하여 SMB(Server Message Block) 프로토콜을 통해 임의의 IP 주소에 연결합니다. 이 암호는 “123123”, “abc123”, “computer”, “iloveyou”, ”login”, “password”와 같이 매우 흔하거나 유추하기 쉬운 것들입니다.

브램블은 시스템을 감염시킨 다음 네트워크 공유를 만들어 공격자가 시스템 드라이브(대개는 C: 드라이브)에 액세스할 수 있게 합니다. 하드코딩된 이메일 주소에 시스템의 세부 정보 및 로그인 인증 정보가 포함된 메시지를 보냅니다. 브램블 변종에 의해 또 다른 보안 위협이 유입될 수도 있습니다.

조납은 브램블과 함께 유입되는데 자신을 “SmartCard Protector”라는 표시 이름을 가진 서비스로 등록합니다. 이 보안 위협은 백도어를 열고 공격자에게 특정 파일을 보내며 파일을 저장 또는 삭제하고 실행 파일을 다운로드하여 실행하며 프로세스를 실행하거나 종료할 수 있습니다.

또한 조납은 이 보안 위협에 감염된 다른 시스템과 RC4 암호화 연결을 설정한 다음 명령 및 구성 데이터를 보냅니다. 여기에는 프로세스를 실행하거나 종료하고 파일을 이동하거나 삭제하며 C&C 정보를 업데이트하는 명령이 포함되기도 합니다.

완화 조치
듀저, 브램블, 조납은 한국을 공격하는 수많은 보안 위협 중 하나일 뿐입니다. 한국은 몇 년 전부터 주요 표적 공격의 대상이 되어 왔습니다. 정부통합전산센터(NCIA)에 따르면 2011년부터 2015년 현재까지 정부 기관을 대상으로 한 공격이 114,035건에 달했습니다. 이렇듯 많은 공격 횟수는 공격자들이 한국을 계속 매력적인 표적으로 여기면서 공략 중이라는 것을 보여줍니다.

시만텍은 사용자와 기업이 아래와 같은 베스트 프랙티스에 따라 이 악성 코드의 감염으로부터 시스템을 보호하도록 권장합니다.

  • 기본 사용자 이름 및 암호를 변경하십시오.
  • 흔하거나 유추하기 쉬운 암호는 사용하지 마십시오. 노턴 시큐리티 센터에서 강력한 암호를 선택하는 방법에 대해 알아보십시오.
  • 운영 체제 및 소프트웨어를 정기적으로 업데이트하여 알려진 취약점을 노린 익스플로잇 공격을 방지하십시오.
  • 의심스러운 이메일은 열지 마십시오. 이러한 메시지는 주로 악성 링크 및 첨부 파일을 통해 악성 코드를 유포합니다.
  • 항상 보안 소프트웨어를 최신 정의로 업데이트하십시오.

보호
노턴 시큐리티, Symantec Endpoint Protection, 기타 시만텍 보안 제품은 아래와 같은 탐지 기능으로 이 보안 위협을 차단하여 사용자를 보호합니다.

안티바이러스

침입 방지 시스템

또한 아래와 같이 듀저, 브램블, 조납에 대한 침해 지표(Indicator of Compromise)를 제공합니다.

Backdoor.Duuzer IoC 지표
MD5

  • 1205c4bd5d02782cc4e66dfa3fef749c
  • 92d618db54690c6ae193f07a31d92098
  • 3e6be312a28b2633c8849d3e95e487b5
  • 41a6d7c944bd84329bd31bb07f83150a
  • 7343f81a0e42ebf283415da7b3da253f
  • 73471f41319468ab207b8d5b33b0b4be
  • 84a3f8941bb4bf15ba28090f8bc0faec
  • b04fabf3a7a710aafe5bc2d899c0fc2b
  • e04792e8e0959e66499bfacb2a76802b
  • 3a963e1de08c9920c1dfe923bd4594ff
  • 51b3e2c7a8ad29f296365972c8452621
  • 5f05a8f1e545457dbd42fe1329f79452
  • 91e5a64826f75f74a5ae123abdf7cef5
  • 9749a4b538022e2602945523192964ad
  • 9ca7ec51a98c2b16fd7d9a985877a4ba
  • bb6cbebd4ffd642d437afc605c32eca0
  • fb4caaaf1ac1df378d05111d810a833e
  • 4b2d221deb0c8042780376cb565532f8
  • cd7a72be9c16c2ece1140bc461d6226d
  • f032712aa20da98a1bbad7ae5d998767
  • f940a21971820a2fcf8433c28be1e967
  • 71cdcc903f94f56c758121d0b442690f
  • 0f844300318446a70c022f9487475490

SHA256

  • fd5a7e54cfdd3b3f32b44d8fdd845e62d6b86c0ddb550c544d659588d06ceaee
  • 89b25f9a454240a3f52de9bf6f9a829d2b4af04a7d9e9f4136f920f7e372909b
  • a01bd92c02c9ef7c4785d8bf61ecff734e990b255bba8e22d4513f35f370fd14
  • c327de2239034b6f6978884b33582ce97761bcc224239c955f62feebd01e5946
  • c7024cf43d285ec9671e8dc1eae87281a6ee6f28e92d69d94474efc2521f03ed
  • 5a69bce8196b048f8b98f48c8f4950c8b059c43577e35d4af5f26c624140377c
  • 477ca3e7353938f75032d04e232eb2c298f06f95328bca1a34fce1d8c9d12023
  • d57d772eefa6086b5c249efff01189cf4869c2b73007af63affc353474eaafcb
  • 4efeea9eeae3d668897206eeccb1444d542ea537ca5c2787f13dd5dadd0e6aaa
  • a0a6d0e3af6e76264db1e0d4a4ad5745fff15eb2790938718b2c0988b9415b2b
  • 5b28c86d7e581e52328942b35ece0d0875585fbb4e29378666d1af5be7f56b46
  • 47181c973a8a69740b710a420ea8f6bf82ce8a613134a8b080b64ce26bb5db93
  • fb6d81f4165b41febc739358aeba0fe15048e1d445296e8df9104875be30f9a7
  • 4a6aba1c182dd8304bac91cc9e1fc39291d78044995f559c1d3bce05afd19982
  • 7099093177094ea5cc3380b42c2556ed6e8dd06a2f537fa6dd275e5cc1df9c9a
  • 90d8643e7e52f095ed59ed739167421e45958984c4c9186c4a025e2fd2be668b
  • 66df7660ddae300b1fcf1098b698868dd6f52db5fcf679fc37a396d28613e66b
  • 37f652e2060066a1c2c317195573a334416f5a9b9933cfb1ece55bea8048d80f
  • 6b71465e59eb1e266d47efeaecc256a186d3e08f570bffcfd5ac55e635c67c2a
  • d2e03115ef1525f82d70fc691f0360e318ade176a3789cf36969630d9af6901a
  • 912905ec9d839ca8dfd6771ff5c17aec3516f9ad159a9d627b81261055095fbf
  • 4cf3a7e17dc4628725dd34b8e98238ed0a2df2dc83189db98d85a38f73706fa5

W32.Brambul IoC
MD5

  • 1c532fad2c60636654d4c778cfe10408
  • 1db2dced6dfa04ed75b246ff2784046a
  • 3844ec6ec70347913bd1156f8cd159b8
  • 40878869de3fc5f23e14bc3f76541263
  • 95a5f91931723a65dcd4a3937546da34
  • 99d9f156c73bd69d5df1a1fe1b08c544
  • a1ad82988af5d5b2c4003c42a81dda17
  • ca4c2009bf7ff17d556cc095a4ce06dd
  • f273d1283364625f986050bdf7dec8bb

SHA256

  • c029ae20c314d7a0a2618f38ced03bac99e2ff78a85fe8c8f8de8555a8d153ab
  • 1da344e5e55bef4307e257edd6f1e14835bdae17538a74afa5fc12c276666112
  • 9c3e13e93f68970f2844fb8f1f87506f4aa6e87918449e75a63c1126a240c70e
  • 230c2727e26467e16b5cf3ca37ecb8436ee5df41bfc4cd04062396642f9de352
  • d558bb63ed9f613d51badd8fea7e8ea5921a9e31925cd163ec0412e0d999df58
  • cbb174815739c679f694e16484a65aa087019272f94bcbf086a92817b4e4154b
  • 61f46b86741c95336cdac3f07f42b7df3e84695968534be193e98ea76d1070d1
  • 1dea57b33a48c79743481371a19e17f68ae768a26abc352f21560308698c786f
  • 8df658cba8f8cf0e2b85007f57d79286eec6309e7a0955dd48bcd15c583a9650

Backdoor.Joanap IoC
MD5

  • fd59af723b7a4044ab41f1b2a33350d6
  • 4613f51087f01715bf9132c704aea2c2
  • 074dc6c0fa12cadbc016b8b5b5b7b7c5
  • 27a3498690d6e86f45229acd2ebc0510
  • 7a83c6cd46984a84c40d77e9acff28bc
  • 1d8f0e2375f6bc1e045fa2f25cd4f7e0
  • 304cea78b53d8baaa2748c7b0bce5dd0
  • a1ad82988af5d5b2c4003c42a81dda17

SHA256

  • 9a179e1ca07c1f16c4c1c4ee517322d390cbab34b5d123a876b38d08da1face4
  • a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717
  • 7650d8c0874aa7d1f2a5a7d255112976e9f38ffad8b7cdda76d0baa8f4729203
  • 5b10cfb236d56a0f3ddaa5e9463ebf307b1d2e0624b0f1c6ece19213804b6826
  • 0622481f1c1e246289014e9fe3497e69f06ed8b3a327eda86e4442a46790dd2e
  • 4c5b8c3e0369eb738686c8a111dfe460e26eb3700837c941ea2e9afd3255981e
  • cbf5f579ff16206b17f039c2dc0fa35704ec01ede4ba18ecb1fc2c7b8217e54f
  • 61f46b86741c95336cdac3f07f42b7df3e84695968534be193e98ea76d1070d1

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.