보통 APT (Advanced Persistent Threat)로 분류되는 위협은 지속적인 공격을 특징으로 꼽는다. 하지만, 공격자가 지속적으로 매번 새로운 공격 방식을 사용하는 경우는 드물다. 공격에 이용하는 악성코드 역시 보통 자신들의 악성코드를 조금씩 바꿔 공격에 이용한다. 


이 글에서 언급한 Backdoor/Win32.Etso 변형도 예외가 아니다. 


2014년 9월 표적공격(targeted attack)으로 추정되는 백도어 샘플을 분석하던 중 유사 악성코드를 이용한 공격이 2011년부터 진행되었음을 확인했다.   


2011년 MS 워드 문서 취약점 (CVE-2010-3333)을 이용한 공격이 있었다.  취약점이 존재하는 MS 워드로 해당 RTF 파일을 열어보면 중국어를 포함한 문서 내용이 열린다.





 



취약점을 가진 워드에서 변조된 문서를 열면 dll 파일이 떨어지고 실행된 후 ~KB8467501.tmp 파일에 최종 감염된 백도어 코드를 쓴다. 


 



시스템에는 최종적으로 KB01b80cc5.dll 등의 이름을 가진 백도어 파일에 감염된다.




국내에서도 2011년 봄 동일한 CVE-2010-3333 취약점을 이용한 공격이 존재했었다. 


 



국내에 발견된 변형은 내부에 RAR로 압축된 파일을 포함하고 있었다.



관련 악성코드는 특징적으로 익스포트(Export) 함수에 SafeSvcInstall, SafeSvcMain, SafeSvcUninstall가 존재한다. 의심스러운 파일 중 해당 익스포트 함수를 가지고 있다면 분석을 위해 보안 업체에 신고하자.  





 


백도어 프로그램으로 원격 제어, 키로깅 등의 기능을 가지고 있다.


ASD(AhnLab Smart Defense)에 수집된 파일 중 동일 익스포트 이름을 사용하고 있는 파일은 2010년 부터 약 200 개가 수집되었다. 이들 파일의 관련성은 추가로 파악해봐야 알 수 있지만 동일 공격자 혹은 동일 그룹의 소행이라면 적어도 2010년 이후 4년 동안 국내외를 대상으로 꾸준한 공격 시도 가능성이 높다.


V3 제품군에서는 다음과 같은 진단된다.


Backdoor/Win32.Etso

Dropper/Exploit-cve-2010-3333

Trojan/Win32.Etso

Dropper/Agent.145096

Rtf/Exploit

 

안랩에서는 관련 공격을 계속 추적할 예정이다.


[참고자료]


- http://cryptam.com/docsearch.php?sha256=52c5131ad098721be54d9d8a2f6ab3f07375239339b44d26096d80f1458e3aa2


- http://cryptam.com/docsearch.php?sha256=11f60c5fee574c21ffdde162c076a81dc01a2f92846862bee2b3a405ec3486a5



저작자 표시
Creative Commons License
Creative Commons License
Posted by mstoned7