AhnLab Security Emergency response Center(ASEC)은 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 취약한 웹 서버들을 대상으로 한 공격을 모니터링하고 있다. 웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개되어 있기 때문에 공격자들의 대표적인 공격 대상이 되고 있다.
윈도우 환경을 지원하는 웹 서비스들로는 대표적으로 Internet Information Services(IIS)와 아파치(Apache), 아파치 톰캣(Tomcat) 그리고 Nginx 등이 존재한다. 아파치 웹 서비스는 주로 리눅스 웹 서버에서 사용하는 편이지만 윈도우 운영체제도 함께 지원하기 때문에 윈도우 환경에서 서비스를 제공하는 경우도 소수 존재한다.
ASEC에서는 최근 아파치 웹 서비스를 운영하는 윈도우 웹 서버를 대상으로 XMRig 코인 마이너를 설치하는 공격 캠페인을 확인하였다. 공격자는 감염 시스템을 제어하기 위한 목적으로 코발트 스트라이크 악성코드를 사용하는 것이 특징이다. 코발트 스트라이크는 상용 침투 테스트 도구로서 최근에는 APT 및 랜섬웨어를 포함한 대다수의 공격들에서 내부 시스템 장악을 위한 중간 단계로 사용되고 있다.
1. 아파차 웹 서버 대상 공격
공격 대상이 된 시스템들은 모두 오래된 버전의 아파치 웹 서비스와 PHP가 설치된 환경들이다. 비록 구체적인 공격 방식은 확인되지 않지만 패치되지 않은 아파치 웹 서버에 대한 다양한 취약점 공격이 가능했을 것으로 추정되며 PHP 웹쉘 악성코드들이 설치된 이력들도 확인된다.
공격자는 설치한 웹쉘이나 취약점 공격을 통해 악성코드를 업로드하고 실행하였다. 공격 대상은 아파치 웹 서버인 httpd.exe 프로세스이며 이에 따라 httpd.exe가 악성코드 생성 및 실행과 같은 악의적인 행위를 수행하게 된다.
웹 서비스를 담당하는 프로세스의 파일 생성 및 프로세스 실행과 같은 행위는 악의적으로만 사용되는 것은 아니다. 정상적인 업데이트 과정에서 발생하거나 관리자가 웹 서버 관리를 위한 작업 중 발생할 수 있다. 이에 따라 V3와 같은 안티바이러스 제품에서는 이러한 행위를 완벽하게 차단하는 데에는 한계가 존재한다.
AhnLab EDR (Endpoint Detection and Reponse)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.
다음은 공격자가 아파치 웹 서비스를 공격하여 코발트 스트라이크를 설치하는 행위에 대한 EDR 탐지 화면으로서, 아파치 웹 서버 프로세스인 httpd.exe가 코발트 스트라이크를 실행시키는 행위를 증적을 통해 알 수 있다.
2. 공격에 사용된 코발트 스트라이크
코발트 스트라이크에서 백도어 역할을 담당하는 것은 비컨(Beacon)이다. 코발트 스트라이크는 비컨을 다양한 형태로 제공하는데, 이 방식에 따라 스테이저(Stager)와 스테이지리스(Stageless) 방식으로 구분할 수 있다.
스테이저 방식은 외부에서 비컨을 다운로드하여 메모리상에서 실행하는 다운로더 악성코드를 사용하는 방식으로서 비컨을 직접 포함하지 않기 때문에 크기가 작으며 추가적으로 비컨을 다운로드하는 과정이 필요하다. 반대로 스테이지리스 방식으로 제작된 코발트 스트라이크는 내부적으로 비컨을 포함하고 있기 때문에 일정 크기 이상을 갖는 것이 특징이다.
공격자는 파일 진단을 우회하기 위해 사용한 악성코드들을 난독화하였으며 Go 언어나 PyInstaller를 사용하기도 하였다. 공격에 사용된 악성코드들은 대부분 Stageless 방식이지만 PyInstaller로 개발된 악성코드는 코발트 스트라이크를 메모리 상에서 다운로드해 실행시키는 Stager 방식의 다운로더 악성코드이다.
비컨은 http, https, dns 등과 같은 프로토콜을 이용해 C&C 서버와 통신할 수 있다. 측면 이동(Lateral Movement) 과정에서 내부망에 설치되는 비컨은 외부와 연결된 것이 아니기 때문에 SMB 프로토콜을 이용해 통신하는 SMB 비컨이 사용된다. 공격에 사용된 코발트 스트라이크는 모두 최초 침투 이후 감염 시스템을 제어하기 위한 목적으로 사용되었기 때문에 C&C 서버와의 통신에 HTTP 프로토콜을 사용한다. 다음은 공격에 사용된 코발트 스트라이크에서 CobaltStrikeParser를 이용해 [1] 설정 데이터를 추출한 결과로서 C&C 서버 주소 뿐만 User-Agent, 인젝션 대상 프로세스 등 다양한 설정을 확인할 수 있다.
공격에 사용된 코발트 스트라이크는 Go, PyInstaller 등 다양한 외형을 갖지만 C&C 서버는 모두 동일한 IP 주소가 사용되었다. AhnLab에서는 과거부터 코발트 스트라이크 공격에 사용되었던 해당 C&C 주소를 악성 URL로 탐지하고 있으며 이는 AhnLab EDR에서도 확인 가능하다. 다음은 악성 URL에 접속하는 행위를 위협으로 탐지한 증적 자료로서 악성 URL 주소 및 악성 URL에 접속한 프로세스에 대한 정보뿐만 아니라 전송한 페이로드 데이터 또한 확인 가능하다.
3. 추가 악성코드 설치
코발트 스트라이크 설치 시도 이후에는 Gh0st RAT을 추가적으로 설치하려고 시도하였다. 이는 보안 제품에 의해 코발트 스트라이크가 정상적으로 동작하지 않았던 것이 원인으로 추정된다. 이러한 시도들을 통해 감염 시스템을 장악한 이후에는 최종적으로 모네로 코인을 채굴하는 마이너를 설치하였다.
원격 제어 악성코드와 코인 마이너 설치 외에는 추가적인 로그들이 확인되지 않는 점을 통해 공격자의 최종 목표는 부적절하게 관리되고 있는 웹 서버의 자원을 이용해 모네로 코인을 채굴하여 수익을 창출하는 것으로 추정된다.
4. 결론
최근 아파치 웹 서비스가 설치된 윈도우 서버를 대상으로 코발트 스트라이크를 설치하는 공격 활동이 확인되고 있다. 로그를 통해 추정했을 때 공격자는 부적절하게 관리되고 있거나 취약점이 패치되지 않은 웹 서버를 공격한 것으로 추정된다.
코발트 스트라이크는 상용 침투 테스트 도구로서 최근에는 APT 및 랜섬웨어를 포함한 대다수의 공격들에서 내부 시스템 장악을 위한 중간 단계로 사용되고 있다. 안랩 제품에서는 코발트 스트라이크를 활용한 첫 침투 단계부터 내부 확산 시 사용되는 비컨 백도어에 대해 프로세스 메모리 기반의 탐지 방식과 행위 기반의 탐지 기술을 보유하고 있다.
관리자는 웹 서버에 존재하는 파일 업로드 취약점을 점검하여 초기 침투 경로인 웹셸 업로드를 사전에 막을 수 있도록 해야 한다. 그리고 비밀번호를 주기적으로 변경하고 접근 제어를 설정하여 탈취된 계정 정보를 이용한 측면 이동 공격에 대응해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Backdoor/Win.CobaltStrike.C5538818 (2023.11.08.00)
– Trojan/Win.Generic.R605627 (2023.09.15.01)
– Malware/Win64.RL_Backdoor.R363496 (2021.01.18.05)
– Downloader/Win.CobaltStrike.C5538917 (2023.11.09.01)
– Downloader/Win.CobaltStrike.C5538829 (2023.11.08.00)
– Backdoor/Win.Gh0stRAT.C4976986 (2023.06.04.01)
– Malware/Win32.RL_Generic.R356011 (2020.11.22.01)
– CoinMiner/Win.XMRig.C5539322 (2023.11.09.01)
– WebShell/PHP.Generic.S1912 (2022.09.27.02)
– WebShell/PHP.Small.S1690 (2021.10.26.02)
행위 진단
– InitialAccess/DETECT.Event.M11450
– Connection/EDR.Behavior.M2650
메모리 진단
– Backdoor/Win.CobaltStrike.XM79
– Downloader/Win.CobaltStrike.XM83
IOC
MD5
– 719253ddd9c49a5599b4c8582703c2fa : CobaltStrike Beacon (3JONXp.exe)
– 594365ee18025eb9c518bb266b64f3d2 : CobaltStrike Beacon (3JONXp-Signed.exe)
– d4015f101a53555f6016f2f52cc203c3 : CobaltStrike Beacon (256.exe)
– 1842271f3dbb1c73701d8c6ebb3f8638 : CobaltStrike Beacon (256-Signed.exe)
– 36064bd60be19bdd4e4d1a4a60951c5f : CobaltStrike Stager (test.exe)
– 5949d13548291566efff20f03b10455c : CobaltStrike Stager (artifact_x64.exe)
– c9e9ef2c2e465d3a5e1bfbd2f32ce5cd : CobaltStrike Stager (artifact_x64-signed.vmp.exe)
– 85e191a1fff9f6d09fb46807fd2dea37 : Gh0st RAT (1.exe)
– b269dd0b89d404d5ad20851e0d5c322e : Gh0st RAT (server.exe)
– 205c12fabb38b13c42b947e80dc3d53a : XMRig (svchost.exe)
– 6b837fafaa1fbc2a4ddb35a748f4c11e : PHP WebShell (helper.php)
– f9d6a75875991086e1fb5985fc239df3 : PHP WebShell (s.php)
C&C 주소
– hxxp://121.135.44[.]49:808/ptj : CobaltStrike Beacon
– hxxp://121.135.44[.]49:808/updates.rss : CobaltStrike Beacon
– hxxp://121.135.44[.]49:808/ga.js : CobaltStrike Beacon
– 202.30.19[.]218:521 : Gh0st RAT
– gd.one188[.]one:520 : Gh0st RAT
다운로드 주소
– hxxp://121.135.44[.]49:808/a4vR : CobaltStrike Stager
– hxxp://www.beita[.]site/api/2:2053 : CobaltStrike Stager
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지