EDR을 활용한 3CX 공급망 침해 사고 추적
지난 3월, 3CX 공급망 침해 사고가 전 세계적으로 큰 이슈가 되었다. AhnLab Security Emergency response Center(ASEC)은 자사 ASD(AhnLab Smart Defense) 인프라를 통해 국내에서도 3월 9일, 3월 15일 두 차례 3CX 공급망 관련 악성코드가 설치됨을 확인하였다.
이번에 확인된 3CX 공급망 악성코드는 정상 프로세스인 3CXDesktopApp.exe에 정상 DLL 이름으로 위장한 악성 DLL인 ffmpeg.dll, d3dcompiler_47.dll가 로드되어 악성 행위를 하였으며 최종적으로 다운로더 쉘코드가 3CXDesktopApp.exe 프로세스의 메모리 상에서 실행되었다. 분석 당시 추가 다운로드 악성코드는 확인되지 않았지만, 정보 유출형 악성코드가 실행된 것으로 알려져 있다.
안랩 EDR(Endpoint Detection and Response)은 공격자가 3CX 공급망 공격에 사용한 공격 기법에 대한 탐지가 가능하며, 관련 침해 사고 조사에 필요한 데이터를 확인할 수 있다.
아래 [그림 3]은 안랩 EDR에서 보여지는 3CX 공급망 공격 관련 프로세스 트리이다.
ffmpeg.dll은 3CXDesktopApp.exe가 임포트하는 DLL이다.([그림 4] 참고) 따라서 3CXDesktopApp.exe가 실행되는 시점에 동일 폴더 경로에 존재하는 ffmpeg.dll가 3CXDesktopApp.exe 프로세스 메모리에 로드된다.
로드된 ffmpeg.dll의 기능은 아래 [그림 5]와 같이 3CXDesktopApp.exe과 함께 설치된 d3dcompiler_47.dll 파일을 읽어 암호화된 쉘코드를 RC4 복호화 하여 메모리 상에서 실행한다.
안랩 EDR 제품에서는 이러한 비정상적인 쉘코드 실행 방식을 탐지하고 있으며 아래 [그림 6]은 EDR 제품 콘솔 화면에서 [위협] – [타임라인] 탭 에서 확인 가능한 탐지 화면이다.
공격자의 쉘코드가 실행되면 페이로드가 업로드된 Github 사이트에서 추가 악성코드를 다운로드 받아 실행한다. EDR 제품에서는 3CXDesktopApp.exe가 접근한 다운로드 주소 정보를 저장하고 있으므로 EDR 운영 담당자는 EDR 콘솔의 [위협] – [다이어그램]에서 악성코드 유포지 정보를 확인할 수 있다.
안랩 V3, EDR 제품에서는 3CX 공급망 위협에 대해 아래 진단명으로 탐지하고 있다.
[파일 탐지]
Dropper/MSI.Agent
Trojan/Win.Loader.C5403102
Trojan/Win.Agent.C5403110
Trojan/Win.Loader.C5403103
Infostealer/Win.Agent.C5403954
Trojan/BIN.Agent
Data/BIN.Encoded
Trojan/OSX.Agent
Trojan/OSX.Loader
[행위 탐지]
[V3]
Connection/MDP.Event.M4581
Connection/MDP.Event.M11026
Exploit/MDP.Event.M11027
[EDR]
Fileless/EDR.Event.M11072
3CX 공급망 위협 관련 MITRE ATT&CK 매핑은 다음과 같다.
– T1574.002 : Hijack Execution Flow: DLL Side-Loading
– T1012 : Query Registry
– T1071.001 : Application Layer Protocol: Web Protocols
AhnLab EDR의 행위 기반 탐지 및 대응 기능에 대해 더 알고 싶으시면, 아래 배너를 클릭하여 확인해 보세요.
