AnyDesk 원격 툴을 악용하는 공격 사례 (코발트스트라이크, 미터프리터)

윈도우 시스템 기준 MS-SQL 서버는 대표적인 공격 대상이다. 공격자들은 부적절하게 관리되고 있는 취약한 MS-SQL 서버들을 대상으로 스캐닝한 후 제어 획득에 성공할 경우 악성코드를 설치한다. 공격자에 의해 설치되는 악성코드들로는 코인 마이너나 랜섬웨어 그리고 백도어 악성코드 등 목적에 맞게 다양한 유형들이 존재한다.

[그림 1] 2022년 1분기 MS-SQL 대상 악성코드 분류

백도어 유형의 악성코드들 중에는 Remcos RAT, Gh0st RAT과 같은 원격 제어 악성코드 유형들이 대부분을 차지하지만, 코발트 스트라이크나 미터프리터와 같이 기업의 내부 시스템 장악을 위해 사용되는 침투 테스트 도구들도 함께 확인된다.

여기에서 다룰 공격 사례에서 공격자는 취약한 MS-SQL 서버를 대상으로 코발트 스트라이크 및 미터프리터를 설치하여 제어를 획득한 후 감염 시스템을 원격 데스크탑 환경에서 제어 하기 위해 AnyDesk 유틸리티를 설치한다. 참고로 다음 블로그에서 소개된 바와 같이 Kimsuky 그룹도 미터프리터를 이용해 제어를 획득한 이후 원격 데스크탑 용도로 VNC 악성코드들을 사용한 이력이 있다. Kimsuky 그룹은 깃허브에 공개된 TinyNuke의 HVNC 기능 및 TightVNC를 커스터마이징하여 사용하였다.

AnyDesk는 팀뷰어와 같은 원격 제어 애플리케이션으로써 원격 데스크탑, 파일 전송 등 다양한 기능들을 제공한다. 원격 데스크탑이라고 한다면 RDP와 같이 AnyDesk가 설치된 환경에 원격으로 접속하여 GUI 환경에서 제어를 지원하는 프로그램이다.

[그림 2] AnyDesk 원격 데스크톱 애플리케이션

특정 사용자 환경에 AnyDesk가 설치되어 있고 외부에서 해당 시스템에 접속하려고 할 경우 메시지가 팝업되며 사용자가 이를 허용한다면 외부에서 해당 시스템에 대한 원격 제어가 가능하다. 이러한 방식 외에도 AnyDesk에 비밀번호를 설정할 수 있는데 이때에는 비밀번호 입력만으로 사용자의 허용 없이 원격 제어가 가능하다. 이러한 점 때문에 실제 AnyDesk는 Conti 랜섬웨어 그룹과 같이 기업 내부망 장악을 목표로 하는 공격자들이 코발트 스트라이크와 함께 사용하는 것으로 알려져 있다.

감염이 확인된 시스템은 과거부터 Remcos RAT을 포함한 다양한 공격 로그가 확인되는데 이는 해당 시스템이 계정 정보를 부적절하게 관리함에 따라 과거부터 다양한 공격자들의 공격 대상이 되었던 것으로 추정된다. 다음은 자사 ASD(AhnLab Smart Defense) 로그이며 공격자가 코발트 스트라이크 설치를 시도하는 행위를 확인할 수 있다.

[그림 3] CobaltStrike 자사 ASD 로그

공격자는 이후 미터프리터를 설치하였다. 미터프리터는 침투 테스트 목적의 프레임워크인 메타스플로잇에서 제공하는 침투 테스트 도구로서 코발트 스트라이크처럼 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있는 백도어 악성코드이다. 감염 시스템에서는 다음과 같이 미터프리터의 Elevator DLL이 확인된다.

[그림 4] 감염 시스템에 생성된 Meterpreter의 Elevator DLL

Elevator DLL은 미터프리터가 최초 실행 이후 시스템 권한으로 권한 상승을 하기 위해 사용하는 DLL이다. 구체적으로 GetSystem 명령 중에서 Dropper 방식을 사용했을 때 사용된다.

[그림 5] Meterpreter에서 제공하는 권한 상승 명령
[그림 6] Dropper 방식의 GetSystem 명령 시 프로세스 트리

권한 상승 이후 미터프리터는 rundll32.exe 프로세스에서 동작하며 최종적으로 AnyDesk를 설치하는 파워쉘 스크립트를 다운로드 및 실행한다.

[그림 7] AnyDesk를 설치하는 Meterpreter 로그

미터프리터를 통해 설치되는 파워쉘 스크립트 “wc.ps1″의 내용은 다음과 같이 공식 홈페이지에서 AnyDesk를 Silent 모드로 설치한 후 AnyDesk에 비밀번호 “wocaoybb”를 설정하는 기능을 담당한다.

[그림 8] AnyDesk 설치 파워쉘 루틴

이러한 방식으로 AnyDesk가 감염 시스템에 설치된 경우 공격자는 다음과 같이 감염 시스템에 접속하여 비밀번호를 입력함으로써 사용자의 동의 없이 원격 제어가 가능해진다.

[그림 9] AnyDesk를 설치한 원격 시스템에 로그인하는 과정
[그림 10] AnyDesk를 이용한 원격 제어

데이터베이스 서버를 대상으로 하는 공격에는 대표적으로 부적절하게 계정 정보를 관리하고 있는 시스템들에 대한 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)이 있다. 일반적으로 이러한 방식들이 공격의 대부분을 차지하고 있는 것으로 보이지만, 이외에도 취약점이 패치되지 않은 시스템들에 대한 취약점 공격이 있을 수 있다.

이에 따라 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 하며, 최신 버전으로 패치하여 취약점 공격을 방지해야 한다. 또한 외부에 공개되어 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 외부 공격자로부터의 접근을 통제해야 한다.

안랩 V3 제품에서는 해당 유형에 대해 다음과 같이 진단하고 있다.

[파일 진단]
– Malware/Win.Exploit.C5159648 (2022.06.05.01)
– Downloader/PowerShell.Generic (2022.06.27.02)

[행위 진단]
– Malware/MDP.Behavior.M2330
– Fileless/MDP.CobaltStrike.M3650

[메모리 진단]
– Backdoor/Win.CobaltStrike.XM78

[IOC]
MD5
Meterpreter Elevator DLL

– 5d3ae879e4bd09f824f48b49f4782e75

AnyDesk 설치 파워쉘
– 0863ab6d606dea63b76eaa846ca9effd

C&C
AnyDesk 설치 파워쉘 다운로드 주소

– hxxp://3.101.101[.]56/wc.ps1

코발트 스트라이크 C&C
– hxxp://212.193.30[.]228:8080/a11
– hxxp://212.193.30[.]228:11280/ca

미터프리터 C&C
– 194.31.98[.]133:12443

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments