EDR을 활용한 3CX 공급망 침해 사고 추적

지난 3월, 3CX 공급망 침해 사고가 전 세계적으로 큰 이슈가 되었다. AhnLab Security Emergency response Center(ASEC)은 자사 ASD(AhnLab Smart Defense) 인프라를 통해 국내에서도 3월 9일, 3월 15일 두 차례 3CX 공급망 관련 악성코드가 설치됨을 확인하였다.

[그림 1] 3CX 공급망 침해 사고 관련 ASD 인프라 로그

이번에 확인된 3CX 공급망 악성코드는 정상 프로세스인 3CXDesktopApp.exe에 정상 DLL 이름으로 위장한 악성 DLL인 ffmpeg.dll, d3dcompiler_47.dll가 로드되어 악성 행위를 하였으며 최종적으로 다운로더 쉘코드가 3CXDesktopApp.exe 프로세스의 메모리 상에서 실행되었다. 분석 당시 추가 다운로드 악성코드는 확인되지 않았지만, 정보 유출형 악성코드가 실행된 것으로 알려져 있다.

[그림 2] 3CX 공급망 침해 사고 흐름도

안랩 EDR(Endpoint Detection and Response)은 공격자가 3CX 공급망 공격에 사용한 공격 기법에 대한 탐지가 가능하며, 관련 침해 사고 조사에 필요한 데이터를 확인할 수 있다.

아래 [그림 3]은 안랩 EDR에서 보여지는 3CX 공급망 공격 관련 프로세스 트리이다.

[그림 3] 안랩 EDR 3CX 공급망 공격 탐지 프로세스 트리 화면

ffmpeg.dll은 3CXDesktopApp.exe가 임포트하는 DLL이다.([그림 4] 참고) 따라서 3CXDesktopApp.exe가 실행되는 시점에 동일 폴더 경로에 존재하는 ffmpeg.dll가 3CXDesktopApp.exe 프로세스 메모리에 로드된다.

[그림 4] 3CXDesktopApp.exe의 임포트 DLL 목록 (ffmpeg.dll)

로드된 ffmpeg.dll의 기능은 아래 [그림 5]와 같이 3CXDesktopApp.exe과 함께 설치된 d3dcompiler_47.dll 파일을 읽어 암호화된 쉘코드를 RC4 복호화 하여 메모리 상에서 실행한다.

[그림 5] ffmpeg.dll의 악성 행위 (쉘코드 복호화 및 로드)

안랩 EDR 제품에서는 이러한 비정상적인 쉘코드 실행 방식을 탐지하고 있으며 아래 [그림 6]은 EDR 제품 콘솔 화면에서 [위협] – [타임라인] 탭 에서 확인 가능한 탐지 화면이다.

[그림 6] 쉘코드 실행 EDR 탐지 화면

공격자의 쉘코드가 실행되면 페이로드가 업로드된 Github 사이트에서 추가 악성코드를 다운로드 받아 실행한다. EDR 제품에서는 3CXDesktopApp.exe가 접근한 다운로드 주소 정보를 저장하고 있으므로 EDR 운영 담당자는 EDR 콘솔의 [위협] – [다이어그램]에서 악성코드 유포지 정보를 확인할 수 있다.

[그림 7] 3CXDesktopApp.exe가 접근한 악성코드 다운로드 주소 (Github)

안랩 V3, EDR 제품에서는 3CX 공급망 위협에 대해 아래 진단명으로 탐지하고 있다.

[파일 탐지]
Dropper/MSI.Agent
Trojan/Win.Loader.C5403102
Trojan/Win.Agent.C5403110
Trojan/Win.Loader.C5403103
Infostealer/Win.Agent.C5403954
Trojan/BIN.Agent
Data/BIN.Encoded
Trojan/OSX.Agent
Trojan/OSX.Loader

[행위 탐지]
[V3]
Connection/MDP.Event.M4581
Connection/MDP.Event.M11026
Exploit/MDP.Event.M11027

[EDR]
Fileless/EDR.Event.M11072

[IOC]
59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983
aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868
fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405
dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc
7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896
c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02
11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03
aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973
4e08e4ffc699e0a1de4a5225a0b4920933fbb9cf123cde33e1674fde6d61444f
8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423
5a017652531eebfcef7011c37a04f11621d89084f8f9507201f071ce359bea3f
5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290
e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec
fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7
a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67
5009c7d1590c1f8c05827122172583ddf924c53b55a46826abf66da46725505a
87c5d0c93b80acf61d24e7aaf0faae231ab507ca45483ad3d441b5d1acebc43c
210c9882eba94198274ebc787fe8c88311af24932832a7fe1f1ca0261f815c3d
a541e5fc421c358e0a2b07bf4771e897fb5a617998aa4876e0e1baa5fbb8e25c
2c9957ea04d033d68b769f333a48e228c32bcf26bd98e51310efd48e80c1789f
268d4e399dbbb42ee1cd64d0da72c57214ac987efbb509c46cc57ea6b214beca
c62dce8a77d777774e059cf1720d77c47b97d97c3b0cf43ade5d96bf724639bd
c13d49ed325dec9551906bafb6de9ec947e5ff936e7e40877feb2ba4bb176396
f1bf4078141d7ccb4f82e3f4f1c3571ee6dd79b5335eb0e0464f877e6e6e3182
2487b4e3c950d56fb15316245b3c51fbd70717838f6f82f32db2efcc4d9da6de
e059c8c8b01d6f3af32257fc2b6fe188d5f4359c308b3684b1e0db2071c3425c
d0f1984b4fe896d0024533510ce22d71e05b20bad74d53fae158dc752a65782e
d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090
d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090
d51a790d187439ce030cf763237e992e9196e9aa41797a94956681b6279d1b9a
4e08e4ffc699e0a1de4a5225a0b4920933fbb9cf123cde33e1674fde6d61444f
8c0b7d90f14c55d4f1d0f17e0242efd78fd4ed0c344ac6469611ec72defa6b2d
f47c883f59a4802514c57680de3f41f690871e26f250c6e890651ba71027e4d3
akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
dunamistrd[.]com
glcloudservice[.]com
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
visualstudiofactory[.]com
zacharryblogs[.]com
hxxps://raw.githubusercontent[.]com/IconStorages/images/main/icon[숫자].ico

3CX 공급망 위협 관련 MITRE ATT&CK 매핑은 다음과 같다.

T1574.002 : Hijack Execution Flow: DLL Side-Loading
T1012 : Query Registry
T1071.001 : Application Layer Protocol: Web Protocols

행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.

Categories:안랩 탐지

Tagged as:,,,

0 0 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments