ASEC 분석팀에서는 취약한 시스템들을 대상으로 하는 공격을 모니터링하고 있다. 여기에서는 패치되지 않은 취약한 아틀라시안 컨플루언스(Atlassian Confluence) 서버를 대상으로 공격하는 사례를 소개한다.
아틀라시안 사의 컨플루언스는 대표적인 협업 플랫폼으로서 전 세계 많은 기업이 업무에 활용하고 있다. 컨플루언스는 웹 기반 플랫폼으로서 프로젝트 관리 및 협업과 같은 서비스는 실질적으로 컨플루언스 서버(또는 컨플루언스 데이터 센터)를 통해 제공된다. 다수의 기업들에서 사용되는 유명한 솔루션이다 보니 과거부터 꾸준히 취약한 컨플루언스 서버 및 데이터 센터를 대상으로 하는 취약점들이 발견되고 있으며 공격자들에 의해 패치되지 않은 시스템들이 공격 대상이 되고 있다.
대표적인 공격 사례는 CVE-2021-26084 와 CVE-2022-26134이다. 이는 원격 코드 실행 취약점으로 공격자는 외부에 공개된 시스템 중 아직 버전 업데이트를 하지 않은 취약한 시스템을 대상으로 공격한다. 만약 공격을 성공하면 웹쉘을 설치하거나 악성코드를 설치하여 해당 시스템에 대한 제어를 획득할 수 있다.
공격자들은 스캐닝을 통해 취약한 시스템들을 확인할 수 있으며, 이외에도 쇼단과 같이 인터넷에 연결된 서버를 탐색할 수 있는 검색 엔진을 이용할 수도 있다.
여기에서는 아틀라시안 컨플루언스 서버 취약점들을 이용해 설치되는 코인 마이너 악성코드들과 함께 공격자가 이후 제어 유지를 위해 설치한 웹쉘 악성코드들과 같은 다양한 공격 사례들을 다룬다.
Godzilla 웹쉘 공격 사례
웹쉘(WebShell)이란 웹 서버에 업로드되어 파일 탐색이나 시스템 쉘 명령 들을 실행할 수 있게 하는 파일이다. 공격 대상 시스템에 웹쉘이 설치되면 공격자들은 지속성을 유지하면서 감염 시스템을 제어할 수 있다. CVE-2022-26134 취약점을 발견한 Volexity 사의 블로그에 따르면 공격자는 취약한 컨플루언스 서버에 대한 취약점 공격 이후 지속성을 유지하기 위해 웹쉘을 설치한 것으로 알려져 있다. 실제 자사 ASD 로그를 보더라도 패치되지 않은 취약한 아틀라시안 컨플루언스 서버 환경에서 다수의 웹쉘들이 생성되고 있는 것을 확인할 수 있다. 최근 공격에 사용된 웹쉘들은 대부분 다음과 같은 Godzilla JSP 웹쉘이다.
위의 JSP 스크립트에서 “pass” 항목은 다음 그림에서 공격자가 지정한 “Password”를 의미하며 웹쉘 통신 과정에서 인자로 사용된다. “xc” 항목은 공격자가 지정하는 “Key” 문자열에 대한 MD5 해시값(구체적으로 앞 16글자)으로서 패킷 암호화/복호화 시 AES 키로서 사용된다.
참고로 GodZilla는 클래스 동적 로딩 방식을 이용하는데, 이를 위해 공격자가 웹쉘이 감염된 자바 환경에 악성 페이로드를 전달한다. 이것은 위에서 지정한 AES Key 값으로 암호화된 데이터로서 웹쉘은 해당 데이터를 복호화하여 공격자로부터 명령을 받아 악성 행위를 수행할 수 있는 악성 자바 클래스를 로드하게 된다.
여기까지의 과정이 성공하면 공격자는 다음과 같은 패널에서 감염 시스템의 정보를 획득하거나 악의적인 명령을 전달할 수 있다.
이러한 Godzilla 웹쉘들은 다수의 취약한 아틀라시안 컨플루언스 서버에서 확인되고 있으며, 하나의 시스템에서도 다수의 Godzilla 웹쉘들이 확인된다. 다음은 아틀라시안 컨플루언스 취약점에 의해 생성된 것으로 추정되는 웹쉘들이 설치된 경로 목록이다.
| %ProgramFiles%\atlassian\confluence\confluence\504page.jsp %ProgramFiles%\atlassian\confluence\confluence\about\500page.jsp %ProgramFiles%\atlassian\confluence\confluence\havefun.jsp %ProgramFiles%\atlassian\confluence\confluence\includes\js\amd\shim\empty.jsp %ProgramFiles%\atlassian\confluence\confluence\umamgu.jsp %ProgramFiles%\atlassian\confluence\testant.jsp %ProgramFiles%\atlassian\confluence\vmgjglsg.jsp %SystemDrive%\atlassian\confluence\confluence\504page.jsp %SystemDrive%\atlassian\confluence\confluence\about\about.jsp %SystemDrive%\atlassian\confluence\confluence\havefun.jsp %SystemDrive%\atlassian\confluence\confluence\pages\includes\classlog.jsp %SystemDrive%\atlassian\confluence\confluence\script.jsp %SystemDrive%\atlassian\confluence\wtoojcaj.jsp d:\atlassian\confluence\confluence\504page.jsp d:\atlassian\confluence\confluence\aa.vbs d:\atlassian\confluence\confluence\have.txt d:\atlassian\confluence\confluence\jspath.jsp d:\atlassian\confluence\confluence\template\aui\submiti.jsp e:\atlassian\confluence\confluence\includes\js\amd\shim\empty.jsp e:\atlassian\confluence\confluence\script.jsp e:\atlassian\confluence\havefun.jsp e:\atlassian\confluence\yvjlqmmr.jsp |
8220 Gang 마이너 유포 사례
‘8220 Gang‘ 그룹은 CVE-2022-26134 취약점을 이용해 윈도우 및 리눅스 기반의 취약한 서버를 대상으로 하는 공격 그룹이다. 취약점 공격에 성공할 경우 최종적으로 모네로 코인 마이너(XMRig)를 설치하는데 최근에는 해외뿐만 아니라 국내를 대상으로도 공격을 수행하고 있는 것이 확인되었다.
2017년부터 공격이 확인되고 있는 ‘8220 gang’ 그룹은 최근에는 XMRig 마이닝 시 지갑 주소[1] “46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ”를 사용하는 것으로 알려져 있다.
CVE-2022-26134 취약점 공격이 성공할 경우 먼저 다음과 같은 파워쉘 명령으로 추가적인 파워쉘 스크립트를 다운로드해 실행한다.
해당 스크립트 또한 다운로더로 기능하는데, 특정 주소에서 ‘ps1-6.exe’ 악성코드를 설치한다.
‘ps1-6.exe’는 다음과 같은 주소에서 추가 페이로드를 메모리 상에 다운로드해 동적으로 로드한다. 이러한 과정을 통해 로드되는 페이로드는 정상 프로세스 ‘InstallUtil.exe’에 프로세스 할로잉(Process Hollowing)을 수행하는 인젝터이다.
InstallUtil.exe에 인젝션되어 동작하는 페이로드 또한 다운로드 및 인젝션 기능을 담당한다. 최종적인 페이로드는 185.157.160[.]214:8080에서 다운로드하며, 여기까지의 과정이 끝나면 정상 프로세스 ‘AddInProcess.exe’에 XMRig 코인 마이너를 인젝션한다.
참고로 마이닝 풀 주소 및 지갑 주소와 같이 마이닝에 필요한 설정 정보는 인젝터(InstallUtil.exe)가 ‘AddInProcress.exe’를 실행시킬 때 아래 [그림 ]과 같이 인자로 주어 실행한다.
- Mining Pool 주소 : “51.79.175[.]139:8080”
- 지갑 주소 : “46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ”
- 비밀번호 : “x”
z0Miner 공격 사례
z0miner는 다양한 취약점을 이용해 유포되는 코인 마이너 악성코드로서 대표적으로 CVE-2021-26084 취약점[2][3]이 있다. 다음은 취약한 아틀라시안 컨플루언스 서버 환경에서 파워쉘을 통해 z0miner가 설치되는 자사 ASD 로그이다.
wi.txt는 파워쉘 스크립트로서 먼저 이미 알려진 마이너를 제거하는데, 등록된 작업 스케줄러나 실행 중인 프로세스의 커맨드 라인, 사용 중인 포트 번호 그리고 프로세스 이름을 기반으로 검색하여 그 결과에 따라 강제로 종료시킨다.
이후 다음과 같은 주소에서 XMRig 마이너를 설치한다. 마이닝 풀 및 지갑 주소와 같은 설정 데이터는 config.json에 저장되어 있으며 XMRig는 %TEMP% 경로에 javae.exe 라는 이름으로 설치되어 동작한다.
- Mining Pool 주소 : “pool.supportxmr[.]com:80”
- 지갑 주소 : “44Lu9jhKUuTVcSwGL1jLU6MKyFVNewBdL5mT13fjxLhFTSa5i6E5hMrAv1SmH16NYvc51GY6RnvQSKM4CDFFRov68aRFgYi”
- 비밀번호 : “x”
Hezb 코인 마이너 공격 사례
2022년 6월 초에는 취약한 Atlassian Confluence 서버를 대상으로 Hezb 코인 마이너 설치 시도가 확인되었다. Hezb는 최근 CVE-2022-26134 취약점을 통해 유포되고 있는 코인 마이너 악성코드이다.[4] 다음은 Tomcat 프로세스에 의해 실행되는 파워쉘이 Hezb 마이너를 설치하는 로그로서, kill.bat은 Hezb 공격에 사용되는 최초 배치 악성코드이다.
kill.bat은 윈도우 디펜더의 실시간 검사를 비활성화하고 실제 Hezb를 설치하는 mad.bat을 다운로드해 실행하는 기능을 담당한다.
mad.bat은 실제 코인 마이너 설치를 담당하는 악성코드로서 NSSM(dsm.exe)을 이용해 XMRig(dom.exe)를 서비스로 등록하여 감염 시스템에서 마이닝을 수행한다.
- Mining Pool 주소 : “gulf.moneroocean[.]stream:10001”
- 지갑 주소 : “46HmQz11t8uN84P8xgThrQXSYm434VC7hhNR8be4QrGtM1Wa4cDH2GkJ2NNXZ6Dr4bYg6phNjHKYJ1QfpZRBFYW5V6qnRJN”
- 비밀번호 : “dom.[컴퓨터 이름]”
참고로 Hezb 다운로드 페이지에 접속하면 다음과 같이 위에서 언급한 악성코드들을 확인할 수 있다.
공격자들은 최근 취약한 아틀라시안 컨플루언스 (Atlassian Confluence) 서버를 대상으로 코인 마이너 및 웹쉘과 같은 악성코드들을 설치하고 있다. 시스템 관리자는 사용 중인 Confluence 버전이 취약한 버전(Confluence 7.15.0 – 7.18.0 또는 Confluence 6.0.0 – Confluence 7.14.2)인지 점검하고, 최신 버전으로 패치해 기존에 알려진 취약점으로부터 공격을 방지해야 한다. 또한 외부에 공개된 서버의 경우 2차 인증을 거치고 보안 제품을 통해 외부로부터 접근을 통제할 필요가 있다.
Atlassian 공식 패치 방법 : https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
안랩 V3 제품에서는 해당 유형에 대해 다음과 같이 진단하고 있다.
[파일 진단]
– CoinMiner/PowerShell.Agent (2022.07.14.02)
– Downloader/PS.Miner (2022.07.15.00)
– Trojan/Win.Generic.C5154950 (2022.06.02.02)
– Downloader/Win.MSIL.R504742 (2022.07.15.00)
– Trojan/BAT.Agent (2022.07.14.01)
– CoinMiner/BAT.Generic (2022.07.14.00)
– Unwanted/Win32.NSSM.R353938 (2020.10.27.00)
– Win-Trojan/Miner3.Exp (2019.12.11.01)
– Trojan/Win64.XMR-Miner.R226842 (2019.12.11.01)
– WebShell/JSP.Generic.S1538 (2021.06.15.03)
– WebShell/JSP.Godzilla.S1719 (2022.01.10.02)
– WebShell/JSP.Antsword.S1720 (2022.04.15.03)
[행위 진단]
– Execution/MDP.Powershell.M1185
[IOC]
MD5
8220 Gang
– 51ac2e4df1978c3fadaf3654f0f91462 (lol.ps1)
– dbda412cf6bf74af449ecb0b3bac7aa8 (ps1-6.exe)
– 8e211d1701e0e16cd30a414f5e5a384c (‘InstallUtil.exe’에서 실행되는 페이로드)
– af0b85c176c7c32f0e9585b7eeaa6629 (‘AddInProcress’에서 실행되는 XMRig)
z0miner
– 95b1e4700488855a86caeed05e9d69ac (wi.txt)
– eecae73b7b0e1f5994f0b2135bf3aeb6 (wi.txt)
– 9dc451c7ddd841cdbed35018000bfd34 (clean.bat)
– d268585f581dbf9cc3b0c31b26a21abb (XMRig)
Hezb
– cb160e725249e2c0534eb01ec3d8e049 (kill.bat)
– f7da4506e638185af1f1b2fe30a2e9d2 (mad.bat)
– 1136efb1a46d1f2d508162387f30dc4d (dsm.exe – NSSM)
– 3edcde37dcecb1b5a70b727ea36521de (dom.exe – XMRig)
– 7ef97450e84211f9f35d45e1e6ae1481 (dom.exe – XMRig)
WebShell
– 975135edeab93b0da209e6d3d1be31ee (Godzilla)
– 37aed4e14b31dbd3a6a58c6e952b9847 (Godzilla)
– 1614943098a96caa5316fa46af91b20d (Godzilla)
– c03ec827d634899fdb2b275dad39c0aa (Godzilla)
– 9592237d299256d6abb0701b17bb7002 (Godzilla)
– f1595fced1a5f9b59046f28a16b04825 (Godzilla)
– e0421b2205153aaa910e8b3b6edee13f (Godzilla)
– ba6e65718963046baa260a71f0bbfffc (Godzilla)
– f30c109fd80b66e862f1c41d05a115c9 (Godzilla)
– 1f2a56fd54f302857846e8901232c03a (AntSword)
Download 주소
8220 Gang
– hxxp://89.34.27[.]167/lol.ps1
– hxxp://95.142.47[.]77/ps1-6.exe
– hxxp://95.142.47[.]77/ps1-6_Jweozaou.jpg
– 185.157.160[.]214:8080
– 51.79.175[.]139:8080
z0miner
– hxxp://27.1.1[.]34:8080/docs/s/wi.txt
– hxxp://27.1.1[.]34:8080/docs/xmrig.exe
– hxxp://27.1.1[.]34:8080/docs/s/config.json
– hxxp://27.1.1[.]34:8080/examples/clean.bat
Hezb
– hxxp://202.28.229[.]174/win/mad.bat
– hxxp://202.28.229[.]174/win/kill.bat
– hxxp://202.28.229[.]174/win/dom.zip
– hxxp://202.28.229[.]174/win/dom-6.zip
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례 […]
[…] 취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례 […]