소셜미디어를 악용하며 다시 출현한 Blackgear 사이버스파이 위협

게시일: 2018-07-20 l 작성자: Trend Micro (by Joey Chen )

2008년 처음으로 나타난 블랙기어 (Blackgear)는 탑기어 (Topgear) 혹은 콤니 (Comnie) 로도 알려져 있으며, 운영자들이 사용하는 프로툭스 백도어 (Protux backdoor)를 기반으로 하는 사이버스파이 위협 캠페인입니다. 해당 위협 캠페인은 일본, 한국, 대만의 기업들을 대상으로 하고 있으며, 공공 기관과 통신 및 기타 첨단 기술 산업체에 공격을 합니다. 지난 2016년의 경우, 트렌드마이크로는 해당 위협 캠페인이 특히 엘럭스 백도어 (Elirks backdoor)을 중점으로 다양한 멀웨어 툴을 사용하여 일본의 기업들을 공격하는 것을 발견했습니다. 블랙기어 (Blackgear)의 공격 그룹은 매우 조직적이며, 최근 그들의 공격에서 발견된바와 같이 그들만의 도구를 직접 개발하고 있습니다.

블랙기어 (Blackgear)의 두드러진 특징은 공격이 C&C 구성을 숨기기 위해 블로그, 마이크로 블로그, 소셜미디어 서비스를 악용하여 탐지 기능을 회피하는 것입니다. C&C 정보가 이미 멀웨어 내에 내포되어 있을 때에는 해당 멀웨어를 보다 쉽게 차단할 수 있었지만, 현재의 공격 형태는 블랙기어 (Blackgear)의 운영자가 필요할 때마다 빠르게 C&C 서버를 바꿀 수 있도록 진화하였습니다. 이를 통해 블랙기어 (Blackgear)는 침입한 시스템 내에서 더 넓게 움직일 수 있으며, 측면 이동 또한 가능해졌습니다.

머레이드 (Marade) 다운로더 (트렌드마이크로 탐지명 TSPY_MARADE.ZTBC)와 프로툭스 (BKDR_PROTUX.ZTBC)는 최근 블랙기어 (Blackgear) 소행의 위협 캠페인에 사용되었으며, 트렌드마이크로는 블로그와 소셜미디어의 게시물에서 그들의 암호화된 구성을 발견하였습니다 (그림 1 참조). 이는 멀웨어 툴이 동일한 그룹에서 개발되었음을 나타내기도 합니다.


그림 1. 페이스북 게시물에서 발견된 머레이드 (Marade)의 암호화된 구성



그림 2. 블랙기어 (Blackgear) 공격의 감염 체인


감염 체인

블랙기어 (Blackgear) 공격의 큰 그림을 보기 위해 트렌드마이크로는 공격자들이 사용한 툴과 전술을 타깃과 대조해 보았습니다. 아래는 블랙기어 (Blackgear)의 가장 최근 위협 캠페인의 요약입니다.

   1. 스팸 메일을 통해 전송된 유인 문서 또는 가짜 설치 프로그램 파일을 사용하여 사용자가 이를 클릭하도록
      합니다.

   2. 클릭된 유인 문서가 머레이드 (Marade) 다운로더를 추출합니다. 그 다음 샌드박스 솔루션을 우회하기
      위해 시스템의 Temp 폴더에 들어간 후 파일 크기를 50MB 이상으로 늘립니다.

   3. 머레이드 (Marade)는 감염된 호스트가 인터넷에 연결될 수 있는지에 대한 여부와 안티바이러스
      소프트웨어가 설치되어 있는지를 확인합니다.

   4. 시스템이 온라인으로 연결될 수 있고 안티바이러스가 설치되어 있지 않은 경우, 머레이드 (Marade)는
      해커가 제어하는 공개 블로그 또는 소셜미디어 게시물에 연결하여 암호화된 C&C 구성을 검색합니다.
      그렇지 않은 경우, 머레이드 (Marade)는 자체 코드에 포함된 C&C 정보를 사용할 것입니다.

   5. 암호화된 문자열은 악성 트래픽이 안티바이러스 소프트웨어에 의해 탐지되는것을 피하기위해 마그네트
      링크 역할을 합니다. 그 다음 머레이드 (Marade)는 암호화된 문자열을 해독하여 C&C 서버 정보를 검색
      합니다.

   6. C&C 서버는 프로툭스 (Protux)를 피해자의 호스트에 보내어 실행한 후, rundll32 DLL을 악용하여 이미
      알려진 백도어를 실행시킵니다. 호스트의 네트워크를 테스트하고, 다른 블로그에서 C&C 서버를
      검색하며, RSA 알고리즘을 사용하여 세션 키를 생성한 후 정보를 C&C 서버로 전송합니다.

블랙기어 (Blackgear)의 멀웨어 툴은 RAR SFX (Self-extracting executable) 파일 또는 VBScript (Visual Basic Script)을 사용하여 타깃에 전달됩니다. 아래는 최신 위협 캠페인에 사용된 SFX 파일 및 문서의 스크릿샷입니다.



그림 3. 블랙기어 (Blackgear)가 사용하는 FlashPlayer 설치 프로그램을 가장한
악성 SFX 파일의 내용




그림 4. 블랙기어 (Blackgear)가 사용하는 악성 문서 (위) /
머레이드 (Marade) 실행을 위해 VBScript가 사용되는 모습 (아래)



그림 5. 동일한 블로그 게시물에서 발견된 프로툭스 (Protux)의
암호화된 구성 (위) 과 머레이드 (Marade) (아래)


머레이드 (Marade)와 프로툭스 (Protux)

머레이드 (Marade)와 프로툭스 (Protux)의 암호화된 구성은 모두 단일의 블로그 게시물에서 찾을 수 있습니다. 상단의 그림 5에서 볼 수 있듯이 빨간색으로 강조 표시된 문자열은 구성 정보의 위치를 식별하는 검색 태그로 사용됩니다. 주황색으로 강조 표시된 부분은 프로툭스 (Protux)가 검색할 암호화된 구성과 관련이 있습니다.

이전의 블랙기어 (Blackgear) 캠페인에서는 프로툭스 (Protux)의 구성 형식을 다른 버전으로 변경해야 했습니다. 예를 들어, 프로툭스 (Protux)의 이전 신판은 상단의 그림 5에서 보여지듯이 “++a++” 태그를 찾습니다. 프로툭스 (Protux)의 최신 버전에서 사용되는 형식은 아래의 그림 6에서와 같이 머레이드 (Marade)의 방식과 유사합니다.


그림 6. 퍼블릭 블로그에서 발견된 프로툭스 (Protux)의 암호화된 구성
(6개의 마그넷 URL 중 세번째가 프로툭스 (Protux)의 최신 구성 형식입니다.)


트렌드마이크로는 프로툭스 (Protux)의 최신 버전에 대한 역 분석을 통해, 아래에 보여지는 Python 코드와 같이 C&C 정보를 해동하는 방법을 알아내었습니다. 이러한 행위는 최신 버전의 프로툭스 (Protux)를 난독화할 때, 연구자, 시스템 관리자 및 정보 보안 전문가들도 사용할 수 있습니다.

#!/usr/bin/env python2
#-*-coding:utf-8 -*-


import os, sys, datetime, operator, base64


def decrypt():
   if len(sys.argv) != 2:
      print “Usegae : ./decrypt_protux_magnet.py <Full magnet strings>”
sys.exit(0)


str = sys.argv[1]
head = str.find(“magnet:?xt=urn:bhih:”)
tail = str.find(“&xl=”)
   if -1 == tail:
tail = str.find(“&amp;xl=”)


   if -1 == head or -1 == tail:
      print(“can’t find delimiter”)
sys.exit()


b64_data = str[len(“magnet:?xt=urn:bhih:”): tail]


b64_decode = base64.b64decode(b64_data)
key = ord(b64_decode[2])
data = b64_decode[4:]


output_file = open(“C2_info”, “wb”)
   for single_byte in data:
output_file.write(chr(ord(single_byte) ^ key))
output_file.close()
if __name__ == ‘__main__’:
decrypt ()


새로운 원격 조종 툴

또한 트렌드마이크로는 프로툭스 (Protux)의 원격 조종 툴을 발견할 수 있었습니다. 해당 툴을 통해 공격자는 침해된 엔드포인트 호스트에 명령을 보내고 모니터링할 수 있는 UI를 얻게됩니다. 이 툴은 피해자의 시스템에서 머레이드 (Marade)를 원격으로 제어할 수도 있습니다.




그림 7. 원격 조종 툴이 머레이드 (Marade) 관련 정보를 검색하고 (위)
프로툭스 (Protux)와 관련된 정보를 수집하는 모습 (아래)


원격 조종 툴의 행동을 기준으로 보았을때, 머레이드 (Marade)와 프로툭스 (Protux)는 모두 동일한 공격자에 의해 만들어졌다고 가정할 수 있습니다. 머레이드 (Marade)와 프로툭스 (Protux)는 시스템에서 특정 역할을 수행합니다. 머레이드 (Marade)는 공격의 첫번째 단계로 작동하여 손상된 시스템의 정보를 C&C 서버로 전송한 다음 원격 조종 툴의 다음 명령을 기다립니다. 이를 통해 공격자는 타깃이된 시스템이 자신에게 이득이 되는지 감시하고 확인할 수 있습니다. 만약 이득이 된다면, 프로툭스 (Protux)를 배포하여 다음 공격을 실행합니다. 또한 해당 원격 조종 툴은 백도어와 공격자간의 통신을 실시간으로 제어할 수 있습니다. 아래는 프로툭스 (Protux)의 주목할 만한 구성 요소 및 기능 목록입니다.

  • FileManage – 시스템의 모든 드라이브와 폴더를 나열합니다.
  • ProcManage – 침해된 호스트의 프로세스, 모듈, 스레드 및 포트를 모두 나열합니다.
  • ServiceManage – 침해된 호스트의 모든 서비스를 나열합니다.
  • RegManage – 침해된 호스트의 모든 레지스트리를 나열합니다.
  • ScreenManage – 스크릿샷을 만듭니다.
  • ShellManage – 셸을 만듭니다.

프로툭스 (Protux): 새로운 재주를 익힌 오래된 위협

프로툭스 (Protux)는 2005년에 처음으로 개발된 꽤나 오래된 백도어입니다. 프로툭스 (Protux)는 DLL 주입을 사용하여 루틴을 실행합니다. 이 행동에 기반하여 트렌드마이크로는 다운로더에서 사용된 유인용 문서에 이르는 특정 패턴을 확인하였습니다. 트리거 포맷은 다음과 같습니다: %system32/rundll32.exe <PROTUX file name> <export name>.

또한 프로툭스 (Protux)가 과거의 모습과 비교하였을때 export name과 기능이 바뀌어가고 있는 것을 발견하였습니다.


Export name 연도 C&C 정보 검색 방법
TStartUp 2005 – 2012 C&C 서버에 직접연결하고 DNS 서버를 사용하여
C&C IP 주소를 검색
CRestart 2009 – 2014 web DNS 쿼리를 사용하여 C&C IP 주소
(예: ip133[.]com)를 검색
CReset 2013 – 2018 블로그 서비스에서 키워드를 통해 암호화된
구성을 찾음

프로툭스 (Protux)에 대한 연구와 상관 관계를 통해 트렌드마이크로는 버전 번호가 내재되어 있는 몇가지 샘플을 발견하였습니다. 아래의 그림 8에서 강조 표시된 부분은 백도어의 버전 번호와 “암호화 포함” 문자열이 있는 타임스탬프를 보여줍니다. 또한 이러한 버전들은 C&C 서버에 대한 통신을 암호화합니다.

프로툭스 (Protux)의 최신 버전 3.7은 오픈소스 컴파일러 OpenCSP를 사용하여 RSA 알고리즘을 사용한 세션 키를 생성합니다.





그림 8. 블랙기어 (Blackgear)가 사용한 각기 다른 버전의 프로툭스 (Protux)



그림 9. OpenCSP 암호화 기능을 갖춘 프로툭스 (Protux)


사전 예방 및 대응 전략

블랙기어 (Blackgear)는 10년 전 처음 등장한 이래 다양한 산업군들을 타깃으로 삼아왔습니다. 해당 공격은 은밀한 방법으로 기존의 보안을 회피합니다. 예를 들어, 블랙기어 (Blackgear)는 각각의 공격의 두 단계의 감염을 사용합니다. 첫번째 단계에서는 프로파일링과 정찰만 포함하기 때문에 사용자는 공격자의 침입을 알아채지 못할 수도 있습니다. 그리고 일단 백도어 감염이 발생하게되면, C&C 통신에 필요한 정보를 얻기 위해 마이크로 블로그와 소셜미디어 서비스를 악용하기 때문에 시스템 공격 알림을 받을 수 없습니다

기업은 블랙기어 (Blackgear)과 같은 위협에 능동적으로 대응할 수 있는 보안 전략을 개발하고 구현해야 합니다. 특히 강력한 위협 탐색 전략을 구축하여 공격의 유효성 탐지율을 높임으로써 침입, 위협, 의심스러운 시스템 활동이 일회성 공격인지 아니면 대규모 공격인지 확인해야 합니다. 기업은 이와 같은 추가적인 가시성 확보를 통해 실질적인 위협 인텔리전스와 인사이트를 가질 수 있고, 따라서 공격에 여러 페이로드가 있거나 멀웨어가 네트워크 내에 이미 퍼져 있는 경우 생길 수 있는 보안의 틈을 악용한 익스플로잇 공격을 더 심층적으로 조사할 수 있습니다.

제공하며, 관리가 쉬운 탐지 및 대응 기능을 고려해야 타깃 공격에 대한 전체적인 그림을 볼 수 있습니다. 또한 관리가 쉬운 탐지 및 대응 기능을 통해 더 적은 시간과 리소스로 시스템이나 네트워크단에서의 활동을 관리할 수 있습니다.

블랙기어 (Blackgear)와 관련된 침해지표 (IoC)는 부록에 수록되어 있습니다.


트렌드마이크로 솔루션

Trend Micro™ Deep Discovery™ 솔루션은 탐지, 심층 분석, 사전 예방적 대응 등의 기능으로 오늘날의 은밀한 멀웨어 및 타깃 공격으로부터 실시간으로 기업을 보호합니다. 또한 전문화된 엔진, 맞춤형 샌드박스 및 완벽한 상관 관계를 통해 기업을 타깃 공격 및 지능형 위협으로부터 보호하고, 맞춤화된 포괄적인 방어를 위협의 전체 주기에 맞추어 제공하여 엔진 또는 패턴의 업데이트 없이도 블랙기어 (Blackgear)가 전달하는 최신 위협으로부터 기업을 보호합니다.

블랙기어 (Blackgear)의 위협 캠페인은 이메일을 또 하나의 진입점으로 사용하기 때문에 이메일 게이트웨이를 보호하는것도 중요합니다. Trend Micro™ Deep Discovery™ Email InspectorInterScan™ Web Security 솔루션은 멀웨어가 엔드포인트에 도달하는 것을 방지합니다. 또한 엔드포인트 레벨의 Trend Micro™ Smart Protection Suites는 공격의 영향을 최소화하는 여러가지 기능을 제공합니다.


[원문: Blackgear Cyberespionage Campaign Resurfaces, Abuses Social Media for C&C Communication]