2019.03.12

'슬랙 이용해 탐지 피하는' 표적 공격 캠페인 출현

Lucian Constantin | CSO
슬랙을 이용해 네트워크 및 엔드포인트 감지를 피해 명령 및 제어 커뮤니케이션을 시도하는 워터링 홀(watering hole, 물 웅덩이) 공격이 등장했다. 맬웨어 명령 및 제어를 목적으로 합법적인 서비스를 악용하는 기법은 예전에도 있었지만, 슬랙을 이런 식으로 악용한 사례는 이번이 처음이다. 

보안 기업 트렌드마이크로는 한국계 미국인 협의회(the Korean American National Coordinating Council)라는 조직의 웹 사이트에서 워터링 홀 공격을 위한 백도어를 발견했다고 최근 밝혔다. 워터링 홀 공격이란 특정 개인이나 조직을 공격하기 위해 이들이 관심을 가질 만한 웹 사이트를 감염시키는 기법을 말한다. 

트렌드마이크로에 따르면 피해자들이 이메일 캠페인을 통해 감염된 웹 사이트로 유도됐는지, 아니면 공격자가 웹 사이트를 해킹한 후 일반 방문자를 기다렸는지 여부는 명확하지 않다. 확실한 사실은 윈도우 VBScript 엔진의 원격 코드 실행 취약점에 대한 공격을 호스팅하도록 KANCC 사이트가 감염됐다. CVE-2018-8174라고 불리는 해당 취약점은 인터넷 익스플로러를 통해 악용될 수 있는데, 2018년 5월 패치된 바 있다. 

피해자가 취약점에 노출되면 파워셸을 통해 악성 DLL 파일이 다운로드돼 다중 감염 단계가 시작된다. 트렌드마이크로 SLUB(슬랙 및 기트허브용, 공격자가 저장소로 사용하는)라고 불리는 새로운 백도어 프로그램을 다운로드하게 되며, 이 때 백도어 설치에 앞서 특정 바이러스 백신 프로그램의 존재 여부를 검사한다. 

트렌드마이크로 연구진은 "표적 공격 캠페인의 일부라고 확신하고 있다. 지금까지 비슷한 샘플을 찾지 못한 것을 감안할 때 공격자가 직접 개발한 맬웨어이거나 공개되지 않은 개발자로부터 가져온 것으로 보인다"라고 말했다. 

백도어 프로그램은 피해자 개인 정보, 트위터, 스위터, 카카오 톡 및 게시판 시스템 (BBS)에서의 활동에 대한 정보를 수집하는 데 사용된다.  이 밖에 프로세스의 리스트 및 종료, 명령 및 악의적 인 파일 실행, 스크린 샷 캡처, 목록 표시 기능 파일을 추출하고 시스템 레지스트리 키를 읽고 추가하며 스토리지 드라이브 및 볼륨에 대한 정보도 수집하는 것으로 전해졌다. 

이 맬웨어의 가장 흥미로운 측면은 슬랙이나 기트허브와 같이 인기 있는 서비스를 사용해 공격자와 통신하는 것이다. 백도어는 기트허브 저장소에 연결해 명령을 다운로드한 다음, 공격자가 설정한 슬랙 개인 작업 영역에 연결해 정보를 게시한다. 이 밖에 이 맬웨어는 훔친 파일을 file.io 클라우드 스토리지 서비스에 업로드한다. 

공격자들이 이렇듯 합법적인 서비스를 명령 및 제어에 이용하는 데에는 이유가 있다. 네트워크 수준 및 엔드포인드 수준의 탐지를 피하려는 것이다. 슬랙이나 기트허브는 다수의 조직에서 방화벽 및 웹 보안 게이트웨이 허용 목록에 포함돼 있다. 또 이러한 서비스는 기본적으로 HTTPS를 사용하기에 데이터가 암호화된다. 

트렌드마이크로 측은 기업들이 HTTPS 통신의 내용을 파악하기 힘들다며 "은행 거래를 보호하는 데에는 적합하지만 기업 환경에서는 문제를 일으킬 수 있다"라고 말했다. 

한편 슬랙은 공격자가 설정한 작업 영역에 대해 서비스 조건을 위반했다는 이유로 사용 중지 조치를 내린 상태다. 그러나 슬랙은 외부 애플리케이션과 쉽게 연결할 수 있는 API를 제공하고 있으며, 이로 인해 공격자들은 슬랙의 서비스를 여전히 쉽게 이용할 수 있는 것으로 판단된다. ciokr@idg.co.kr
 



2019.03.12

'슬랙 이용해 탐지 피하는' 표적 공격 캠페인 출현

Lucian Constantin | CSO
슬랙을 이용해 네트워크 및 엔드포인트 감지를 피해 명령 및 제어 커뮤니케이션을 시도하는 워터링 홀(watering hole, 물 웅덩이) 공격이 등장했다. 맬웨어 명령 및 제어를 목적으로 합법적인 서비스를 악용하는 기법은 예전에도 있었지만, 슬랙을 이런 식으로 악용한 사례는 이번이 처음이다. 

보안 기업 트렌드마이크로는 한국계 미국인 협의회(the Korean American National Coordinating Council)라는 조직의 웹 사이트에서 워터링 홀 공격을 위한 백도어를 발견했다고 최근 밝혔다. 워터링 홀 공격이란 특정 개인이나 조직을 공격하기 위해 이들이 관심을 가질 만한 웹 사이트를 감염시키는 기법을 말한다. 

트렌드마이크로에 따르면 피해자들이 이메일 캠페인을 통해 감염된 웹 사이트로 유도됐는지, 아니면 공격자가 웹 사이트를 해킹한 후 일반 방문자를 기다렸는지 여부는 명확하지 않다. 확실한 사실은 윈도우 VBScript 엔진의 원격 코드 실행 취약점에 대한 공격을 호스팅하도록 KANCC 사이트가 감염됐다. CVE-2018-8174라고 불리는 해당 취약점은 인터넷 익스플로러를 통해 악용될 수 있는데, 2018년 5월 패치된 바 있다. 

피해자가 취약점에 노출되면 파워셸을 통해 악성 DLL 파일이 다운로드돼 다중 감염 단계가 시작된다. 트렌드마이크로 SLUB(슬랙 및 기트허브용, 공격자가 저장소로 사용하는)라고 불리는 새로운 백도어 프로그램을 다운로드하게 되며, 이 때 백도어 설치에 앞서 특정 바이러스 백신 프로그램의 존재 여부를 검사한다. 

트렌드마이크로 연구진은 "표적 공격 캠페인의 일부라고 확신하고 있다. 지금까지 비슷한 샘플을 찾지 못한 것을 감안할 때 공격자가 직접 개발한 맬웨어이거나 공개되지 않은 개발자로부터 가져온 것으로 보인다"라고 말했다. 

백도어 프로그램은 피해자 개인 정보, 트위터, 스위터, 카카오 톡 및 게시판 시스템 (BBS)에서의 활동에 대한 정보를 수집하는 데 사용된다.  이 밖에 프로세스의 리스트 및 종료, 명령 및 악의적 인 파일 실행, 스크린 샷 캡처, 목록 표시 기능 파일을 추출하고 시스템 레지스트리 키를 읽고 추가하며 스토리지 드라이브 및 볼륨에 대한 정보도 수집하는 것으로 전해졌다. 

이 맬웨어의 가장 흥미로운 측면은 슬랙이나 기트허브와 같이 인기 있는 서비스를 사용해 공격자와 통신하는 것이다. 백도어는 기트허브 저장소에 연결해 명령을 다운로드한 다음, 공격자가 설정한 슬랙 개인 작업 영역에 연결해 정보를 게시한다. 이 밖에 이 맬웨어는 훔친 파일을 file.io 클라우드 스토리지 서비스에 업로드한다. 

공격자들이 이렇듯 합법적인 서비스를 명령 및 제어에 이용하는 데에는 이유가 있다. 네트워크 수준 및 엔드포인드 수준의 탐지를 피하려는 것이다. 슬랙이나 기트허브는 다수의 조직에서 방화벽 및 웹 보안 게이트웨이 허용 목록에 포함돼 있다. 또 이러한 서비스는 기본적으로 HTTPS를 사용하기에 데이터가 암호화된다. 

트렌드마이크로 측은 기업들이 HTTPS 통신의 내용을 파악하기 힘들다며 "은행 거래를 보호하는 데에는 적합하지만 기업 환경에서는 문제를 일으킬 수 있다"라고 말했다. 

한편 슬랙은 공격자가 설정한 작업 영역에 대해 서비스 조건을 위반했다는 이유로 사용 중지 조치를 내린 상태다. 그러나 슬랙은 외부 애플리케이션과 쉽게 연결할 수 있는 API를 제공하고 있으며, 이로 인해 공격자들은 슬랙의 서비스를 여전히 쉽게 이용할 수 있는 것으로 판단된다. ciokr@idg.co.kr
 

X