마이너 봇을 C2 서버로 이용하는 본드넷
본드넷(Bondnet)은 2017년 GuardiCore에서 발표한 분석 보고서1를 통해 처음으로 대중에게 알려졌고, 2022년 DFIR Report에서 발간한 SQL Server를 노린 XMRig 마이너 분석 보고서2에서 본드넷의 백도어가 다뤄진 바 있다. 이후 본드넷 공격자의 활동에 대해서는 알려진 바가 없으나, 최근까지 공격을 이어온 것으로 확인된다.
안랩 시큐리티 인텔리전스 센터(ASEC)에서는 본드넷 마이너에 감염된 시스템 분석으로 본드넷 공격자가 계속해서 활동 중이며, 2023년 이후 마이너 봇넷 중 고성능 봇들에 리버스 RDP 환경을 구축하고 C2 서버로 이용하는 정황을 확인했다. 본드넷의 백도어는 일정 조건을 만족하는 고성능의 봇들에 리버스 RDP 환경을 구축했다.
| 행위 | 행위 조건 |
| adminxy 계정 추가 |
is_pc(CPU 조건 검사)
is_pc2(네트워크 인터페이스 조건 검사)
arr_find_str
|
| 리버스 RDP 프로그램 다운로드 |
adminxy 계정 추가 조건을 만족 CPU 코어 개수가 10개 이상일 경우 |
표1. 백도어내 리버스 RDP 환경 구축 조건
본드넷 공격자는 리버스 RDP 환경 구성을 위해 프록시 서버와 Fast Reverse Proxy(이하 FRP)도구를 사용했다. FRP는 Github에 공개된 오픈 소스 프록시 프로그램으로 본드넷 공격자는 FRP 프로그램의 코드를 수정해 사용했다. 공격자가 수정한 FRP 프로그램 파일에는 공격자의 프록시 서버의 주소, 프로토콜, 포트, 토큰 명 등 연결에 필요한 정보가 저장되어 있다.
그림1. 본드넷이 수정해서 사용한 리버스 RDP 도구(FRP)
수정된 FRP 프로그램으로 리버스 RDP 환경을 구성후, 피해 시스템에 원격 데스크톱으로 접근한 공격자는 두 개의 프로그램을 실행했다.
첫 번째로 Cloudflare 터널링 클라이언트를 실행했다.
Cloudflare 터널링 클라이언트는 실행된 시스템의 특정 포트와 Cloudflare의 네트워크에 매핑된 도메인의 터널링을 지원한다.
그림2. 클라우드플레어 터널링 클라이언트3
본드넷 공격자의 C2 도메인은 Cloudflare에 등록되어 있으며, 공격자는 Cloudflare 터널링 클라언트로 피해 시스템의 특정 서비스와 Cloudflare에 등록되어 있는 C2 도메인과 연결시킬 수 있다.
그림3. 공격자 C2 도메인의 IP 정보
두 번째로 HFS(HTTP FILE SERVER) 프로그램을 실행했다.
HFS 프로그램은 실행 시 TCP 4000 포트로 파일 서버 서비스를 제공한다. HFS 프로그램의 경우 분석 시점의 공격자 C2 환경과 동일한 점을 찾을 수 있다. 존재하지 않는 경로 요청 대한 응답 메시지와 디렉토리 경로 접근 시 발생하는 로그인 팝업의 구성이 같은 모습을 확인했다. 분석 시점 C2에서도 동일한 HFS 프로그램이 동작하고 있었을 것으로 추정된다.
그림4. 존재하지 않는 파일 요청 시 응답 페이지. main.exe 테스트(상), 공격자 C2(하)
그림5. 디렉토리 경로 접근 시 로그인 팝업 창. main.exe 테스트(상), 공격자 C2(하)
본드넷 공격자는 피해 시스템에서 두 개의 프로그램을 이용해 피해 시스템에 HFS 서비스를 생성하고 Cloudflare 도메인과 서비스를 터널링으로 연결해 C2로 활용하려 했다.
하지만 피해 시스템에서는 Golang으로 작성된 HFS 프로그램이 피해 시스템의 환경적인 문제로 실행에 실패해 이후 C2로 전환되는 행위까지는 확인되지 않았다. 실제 C2로 전환되는 과정까지는 확인되지 않았지만 다음과 같은 정황으로 봇넷 시스템을 C2로 활용하려는 공격자의 의도로 파악할 수 있었다.
- 리버스 RDP 연결 이후, 피해 시스템에서 정보 유출, 내부 이동 등에 관한 행위가 확인되지 않음
- 피해 시스템에서 클라우드플레어 터널링 클라이언트와 HFS 프로그램을 실행함
- 공격자 C2의 도메인은 클라우드플레어에 연결되어 있음
- HFS 프로그램과 공격자 C2의 UI가 동일함
- 분석 시점에 공격자 C2에서 일부 악성 파일을 다운로드 할 수 없었음
- 약 1달 뒤 공격자 C2가 UI가 변경되고, 신규 악성 파일, 삭제된 악성 파일이 복구됨
본드넷 공격자는 피해 시스템을 C2로 변경하려는 시도에 실패한 후, 약 1달 뒤 공격자 C2의 UI가 변경됐다. 피해 시스템에서 실패한 후 다른 봇을 이용해 C2의 역할을 대체한 것으로 보이며, 피해 시스템에서 문제가 된 HFS 프로그램 대신 다른 프로그램을 이용한 것으로 추정된다.
[파일진단]
- CoinMiner/Win.XMRig.C5449500(2023.07.05.00)
- Downloader/FOMB.Agent(2024.02.27.00)
- Downloader/Win64.Agent.C2426880(2018.03.29.04)
- HackTool/Win.Agent(2024.03.15.00)
- HackTool/Win.Frpc.C5473755(2023.08.20.03)
- HackTool/Win.PassViewer.C5353351(2023.01.09.03)
- HackTool/Win.PassViewer.C5353353(2023.04.26.02)
- HackTool/Win.PstPass.C5135577(2022.08.31.02)
- HackTool/Win.PSWTool.R345815(2023.06.02.01)
- HackTool/Win32.Mailpassview.R165244(2016.07.12.09)
- Ransomware/Win.Phobos.R363595(2023.08.28.04)
- Trojan/BAT.RUNNER.SC198137(2024.03.15.00)
- Trojan/BAT.RUNNER.SC198138(2024.03.15.00)
- Trojan/BAT.Runner.SC198226(2024.03.18.02)
- Trojan/RL.Mimikatz.R248084(2018.12.10.01)
- Trojan/Win.Lazardoor.R496534(2022.05.14.01)
- Trojan/Win32.Infostealer.C1259157(2015.11.16.06)
- Trojan/Win32.Infostealer.C1259157(2015.11.16.06)
- Trojan/Win32.Infostealer.C1259157(2020.07.17.00)
- Trojan/Win32.Miner.C2462674(2018.04.13.09)
- Trojan/Win32.Neshta.X2117(2018.03.16.06)
- Unwanted/Win.PassView.C5359535(2023.01.16.03)
- Unwanted/Win32.HackTool.C613821(2014.11.02.03)
- Unwanted/Win32.Masscan.C3122810(2019.12.06.00)
- Unwanted/Win32.Passview.C568442(2014.09.23.00)
- Unwanted/Win32.PassView.R333746(2020.04.22.08)
참고 링크
1 The Bondnet Army: https://www.akamai.com/blog/security/the-bondnet-army
2 SELECT XMRig FROM SQLServer: https://thedfirreport.com/2022/07/11/select-xmrig-from-sqlserver
3 Cloudflare Docs: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
