악성코드

공격자의 시스템도 다른 공격자에 노출되고 악용될 수 있다

  • 5월 23 2024
공격자의 시스템도 다른 공격자에 노출되고 악용될 수 있다

사이버 공격은 소수의 기업이나 단체를 노린 APT성 공격도 있지만, 인터넷에 연결되어 있는 불특정 다수의 서버를 대상으로 하는 스캔 공격도 있다.그리고 기업, 단체, 개인 사용자 뿐만 아니라 공격자들의 인프라도 인터넷에 연결되어 있기 때문에, 공격자의 인프라 또한 사이버 공격의 대상이 될 수 있다. 안랩 시큐리티 인텔리전스 센터(ASEC)에서는 랜섬웨어 공격자의 RDP 스캔 공격 대상에 마이너 공격자의 프록시 서버가 포함된 사례를 확인했다. 마이너 공격자는 마이너에 감염된 봇넷에 접속하기 위해 프록시 서버를 사용했고, 프록시 서버 접속을 위해 오픈한 포트가 다른 공격자의 RDP 스캔 공격에 노출되었다. 이로 인해 마이너 봇넷에 RDP 스캔 공격이 유입되었고 랜섬웨어에도 감염됐다.

그림1. 침해 흐름도

1. 마이너 감염

이번 공격 사례에서 마이너에 감염된 원인은 확인되지 않았다. 다만 유사한 사례를 보아 다음과 같은 최초 침해 과정을 거쳤을 것으로 추정된다. 마이너 공격자는 MS-SQL 서버의 관리자(SA) 계정을 대상으로 스캔 공격을 한 것으로 확인된다. 마이너 공격자는 SA 계정 로그인에 성공한 후, MS-SQL의 xp_cmdshell 프로시저로 피해 시스템에 백도어를 설치한다. 백도어는 이후 C2 서버에서 마이너를 포함한 악성 파일을 다운로드 받는다. 백도어는 WMI에 등록돼 매일 23시에 동작했다. 백도어는 주기적으로 마이너 공격자 C2에서 백도어를 새로 받아오며, 마이너 공격자는 C2 서버에 수정된 백도어를 업로드해 새로운 명령을 전달했다.

2. 리버스 RDP

마이너 공격자는 마이너 봇에 접근하기 위해 ‘Fast Reverse Proxy’ 도구로 리버스 RDP 환경을 구성했다. ‘Fast Reverse Proxy’는 소스 코드가 공개된 리버스 프록시 도구로 정상 파일에서는 연결할 대상 서버의 정보를 설정파일에서 가져오거나 실행 시 대상 서버의 정보를 입력해야 한다. 마이너 공격자는 자동으로 프록시 서버로 연결되도록 코드를 수정한 ‘Fast Reverse Proxy’ 파일을 사용했다.

3. RDP 포트 스캔

프록시 서버는 인터넷에 노출되어 있었다. 랜섬웨어 공격자는 인터넷에 공개된 시스템들을 대상으로 전체 포트에 대해 RDP 사용 여부를 확인한 후, RDP 포트가 노출된 대상에 대해 관리자 계정(Administrator)으로 Brute-force 공격을 수행했다. 이번 공격 사례는 RDP 포트를 식별하는 스캔 공격에 마이너 공격자의 프록시 서버가 우연히 노출되어 공격의 대상에 포함된 것으로 보인다.

4. 프록시 서버와 연결된 피해 시스템

마이너 공격자가 수정한 ‘Fast Reverse Proxy’ 파일은 공격자 C2에서 배포되었으며, 백도어에 의해 다운로드 및 실행됐다. 다수의 마이너 봇들이 같은 프록시 서버로 연결을 시도했다. 마이너 공격자는 프록시 서버에 리버스 RDP 연결을 시도한 다수의 마이너 봇들 중에 특정 시스템을 선택해서 통신은 할 수 없었던 것으로 보인다.

5. 피해 시스템으로 전달된 RDP Brute Force 공격

랜섬웨어 공격자는 프록시 서버의 TCP 30 포트로 RDP Brute-force 공격을 했다. RDP Brute-force 공격은 프록시 서버를 거쳐 해당 시점에 프록시 서버와 연결되어 있던 피해 시스템으로 전달됐다. 피해 시스템의 관리자 계정은 잘못된 로그인 시도 제한이 적용되지 않았고, 랜섬웨어 공격자는 충분한 시간이 있었기 때문에 피해 시스템 관리자 계정으로 로그인에 성공했다.

6. 랜섬웨어 감염

관리자 계정으로 로그인에 성공한 랜섬웨어 공격자는 다수의 시스템에 랜섬웨어를 배포하기 위해 네트워크 스캔 및 자격증명 탈취 도구를 사용했다. 이후 피해 시스템이 속한 네트워크 내부로 내부 이동을 수행해 랜섬웨어를 배포했다.

7. 의도된 공격일까?

랜섬웨어 공격자의 RDP 스캔 공격에 마이너의 프록시 서버가 포함된 것은 의도된 공격일까?

(가설1) 우연에 의한 사고

이번 사례의 피해 시스템에는 마이너 공격자가 생성한 관리자 계정이 존재했다. 하지만 랜섬웨어 공격자는 마이너가 생성한 계정을 사용하지 않았고 관리자 계정에 대한 스캔 공격을 수행했다. 따라서 피해 시스템 정보와 계정 정보 등 마이너 공격자와 랜섬웨어 공격자 간의 정보 교환 및 거래의 가능성 또한 낮다. 랜섬웨어 공격자는 마이너 공격자의 프록시 서버를 수많은 스캔 공격 대상중 TCP 3389 포트가 아닌 TCP 30 포트를 RDP로 사용하는 서버 정도로 인식 했을 것이다. 결론적으로 랜섬웨어 공격자가 마이너의 프록시 서버를 인지하고 의도적으로 공격했을 가능성은 낮아 이번 사건은 우연에 의한 랜섬웨어 감염 사례로 보인다. 그리고 랜섬웨어 공격자는 끝내 공격 대상이 프록시 서버라는 사실을 인지하지 못했을 것으로 보인다.

(가설2) 랜섬웨어 공격자의 인지

랜섬웨어 공격자가 공격 대상이 프록시 서버라는 것을 인지했을 가능성이 있으며, 다음과 같은 가설을 제시해 볼 수 있다. 랜섬웨어 공격자의 스캔 공격은 프록시 서버와 연결된 특정 마이너 봇에게 전달된다. 랜섬웨어 공격자는 이번 사례의 피해 시스템, 그리고 이전 또는 이후에 다른 시스템의 침해도 성공했을 것이다. 랜섬웨어 공격자가 침해에 성공한 이후 마이너 공격자가 프록시 연결을 끊고, 다른 마이너 봇으로 연결을 전환했다면, 랜섬웨어 공격자는 기존의 제어권을 상실하게 될 것이다. 그리고 같은 IP 주소의 다른 시스템을 맞이하게 될 것이다. 그리고 랜섬웨어 공격자는 시스템 제어권을 얻기 위해 Brute-force 공격을 다시 수행해야 한다. 최초 침해 시에는 인지를 하지 못했겠지만 제어권을 확보한 시스템이 변경되는 행위가 여러 차례 반복되었다면, 랜섬웨어 공격자는 동일한 IP 주소에 시스템이 달라지는 행위를 인지했을 수 있다. 피해 시스템은 마이너 공격자의 프록시 서버에 몇 달의 차이를 두고 두 차례 연결된 것으로 확인된다. 두 차례 연결된 시점 사이에 프록시 서버에는 다른 시스템들이 연결됐을 것이다. 프록시 서버에 연결된 피해 시스템에서는 두 차례 모두 마이너가 아닌 다른 공격자가 기본 관리자 계정으로 로그인한 이력이 확인됐다. 이는 마이너의 프록시 서버가 지속적으로 스캔 공격에 노출되고 있었을 가능성을 보여준다. 장기간 스캔 공격에 노출된 시스템에 랜섬웨어 공격자가 여러 차례 공격에 성공하게 되고, 다른 공격자의 인프라라고 인지했다면, 프록시 서버를 의도적으로 이용했을 가능성이 있다. 인터넷에는 RDP 포트가 노출된 수 많은 시스템들이 존재한다. RDP 포트가 노출되었다고 해서 수 많은 시스템이 모두 보안에 취약한 것은 아니다. 다만 이미 다른 공격자에게 침해를 당한 시스템이라면, 상대적으로 보안에 취약한 부분이 존재할 가능성이 높다. 공격자는 상대적으로 취약한 시스템을 공격하는것이 공격의 성공률을 높이고, 효율적으로 공격을 수행할 수 있는 방법이 될 것이다.

결론

이번 사례는 기존 공격 사례들과 다른 점을 가진다. 공격자 간에 다크 웹과 블랙 마켓 등에서 계정 정보, 악성 파일, 유출된 정보, 봇 넷 인프라, 공격 서비스를 거래하는 경우는 익히 알려져 있다. 그러나 이번 사건은 기존과 다르게 공격자 간의 직접적인 거래가 아닌, 다른 공격자의 인프라가 타깃이 된 매우 드문 사례이다. 다른 공격자의 인프라가 이용된 공격은 분석의 관점에서는 여러 공격자의 행위가 함께 관측되어 각 공격자의 행위와 의도를 구분하는데 어려움을 줄 수 있다. 또한 공격자의 입장에서 다른 공격자가 구성해놓은 인프라와 피해 시스템을 이용할 수 있다면, 보다 효율적인 공격을 수행할 수도 있다. 이번 사례와 유사하게 다른 공격자의 인프라가 이용된 공격 사례들이 쌓이다보면, 의도적으로 다른 공격자의 인프라를 침해해 이용하는 공격자들이 나타나고, 이를 활용한 다양한 공격이 발생할 수 있을 것으로 조심스레 예상해본다. [파일진단] 

  • CoinMiner/Win.XMRig.C5449500(2023.07.05.00)
  • Downloader/FOMB.Agent(2024.02.27.00)
  • Downloader/Win64.Agent.C2426880(2018.03.29.04)
  • HackTool/Win.Agent(2024.03.15.00)
  • HackTool/Win.Frpc.C5473755(2023.08.20.03)
  • HackTool/Win.PassViewer.C5353351(2023.01.09.03)
  • HackTool/Win.PassViewer.C5353353(2023.04.26.02)
  • HackTool/Win.PstPass.C5135577(2022.08.31.02)
  • HackTool/Win.PSWTool.R345815(2023.06.02.01)
  • HackTool/Win32.Mailpassview.R165244(2016.07.12.09)
  • Ransomware/Win.Phobos.R363595(2023.08.28.04)
  • Trojan/BAT.RUNNER.SC198137(2024.03.15.00)
  • Trojan/BAT.RUNNER.SC198138(2024.03.15.00)
  • Trojan/BAT.Runner.SC198226(2024.03.18.02)
  • Trojan/RL.Mimikatz.R248084(2018.12.10.01)
  • Trojan/Win.Lazardoor.R496534(2022.05.14.01)
  • Trojan/Win32.Infostealer.C1259157(2015.11.16.06)
  • Trojan/Win32.Infostealer.C1259157(2015.11.16.06)
  • Trojan/Win32.Infostealer.C1259157(2020.07.17.00)
  • Trojan/Win32.Miner.C2462674(2018.04.13.09)
  • Trojan/Win32.Neshta.X2117(2018.03.16.06)
  • Unwanted/Win.PassView.C5359535(2023.01.16.03)
  • Unwanted/Win32.HackTool.C613821(2014.11.02.03)
  • Unwanted/Win32.Masscan.C3122810(2019.12.06.00)
  • Unwanted/Win32.Passview.C568442(2014.09.23.00)
  • Unwanted/Win32.PassView.R333746(2020.04.22.08)

MD5

00fa7f88c54e4a7abf4863734a8f2017
057d5c5e6b3f3d366e72195b0954283b
0753cab27f143e009012053208b7f63e
0fc84b8b2bd57e1cf90d8d972a147503
15069da45e5358578105f729ec1c2d0b
URL

http[:]//185[.]141[.]26[.]116/hotfixl[.]ico
http[:]//185[.]141[.]26[.]116/stats[.]php
http[:]//185[.]141[.]26[.]116/winupdate[.]css
http[:]//46[.]59[.]210[.]69[:]7000/
http[:]//46[.]59[.]214[.]14[:]7000/
FQDN

d[.]mymst[.]top
frp[.]mymst007[.]top
m[.]mymst[.]top
IP

223[.]223[.]188[.]19
47[.]99[.]155[.]111

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
Previous Post

Next Post