Inception framework

The Inception Framework : Cloud-Hosted APT

(주)코어시큐리티�� 교육사업부/보안기술연구팀�� 주한익

Summary

◦Attack�� paradigm�� using�� many�� levels�� of�� obfuscation�� and�� indirection.

◦Initial�� attacks�� where�� largely�� focused�� on�� Russia�� and�� a�� few�� other�� Eastern�� European�� countries.��

◦�� Initial�� malware�� components�� were�� embedded�� in�� Rich�� Text�� Format�� (RTF)�� Files.��

◦All�� post-infection�� communication�� can�� be�� performed�� via�� the�� cloud�� service.�� (i.e.�� target�� surveying,�� configuration�� updates,�� malware�� updates,�� and�� data�� exfiltration)��

◦The�� malware�� components�� of�� this�� framework�� Follow�� a�� Plugin�� model.

◦Most�� interaction�� between�� attackers�� and�� their�� infrastructure�� is�� performed�� via�� a�� convoluted�� network�� of�� router�� proxies�� and�� rented�� hosts.��

Inception�� Framework?��

WebDAV.cloudme.com��

CVE-2014-1761�� or�� CVE-2012-0158��

ASUS,�� D-Link,�� Tera-EP,�� ipTime,�� ...��

사용자�� PC

드랍 드랍

.�� CVE2014-1761�� /�� MS14-017

.�� 오피스�� 취약점�� 공격��

.�� 쉘코드는�� 평이한�� 형태임

스피어�� 피싱�� 메일��

(주로�� 러시아�� 및�� 동유럽의�� 정치인,�� 군인)

사용자가�� 화면으로�� 보는�� 문서백그라운드�� 실행

드랍드랍

.�� 바이너리�� 파일��

.�� AES256�� 암호화��

.�� 파일이름�� 무작위��

.�� 특별한�� 자료구조�� X

가상메모리

.�� 파일�� 이름�� 무작위��

.�� DLL�� 파일�� "RUN"�� 키�� 등록��

.�� regsrv32.exe�� /s�� XX.DLL

drm.dll,�� ctfmonm.dll,��

alg.dll,�� ...��

난독화

랜덤한�� 크기로�� 할당��

되는�� 메모리�� 공간

DLL�� 파일이�� 바이너리파일을�� 로드함

자신의�� .rdata�� 섹션에서��

데이터�� 조각들을�� 조합하고,��

Deobfuscation�� 한�� 후�� 생성

자신의�� .data�� 섹션에서��

RSA�� 키를�� 추출한�� 후��

바이너리�� 파일�� 복호화��

.�� 복호후�� DLL�� 파일로�� 바뀜��

.�� 악성코드�� 본체

CloudMe.com�� (스웨덴)

.�� 악성코드를�� 직접�� 퍼뜨리지는�� 않고�� "공유"만�� 함��

.�� 스토리지�� 역할��

.�� 80/443중�� 443�� 포트를�� 사용하여�� 통신함

/user1/CloudDrive/

/user2/CloudDrive

/user3/CloudDrive

Plugin/

Collection/

921.bin�� 922.bin

XX.TAR

플러그인�� 메모리에��

다운로드�� 후�� 삭제

WebDAV�� 프로토콜�� 통신구간��

443�� 포트�� 사용

.�� 희생자�� 시스템에서�� 수집한��

�� 정보를�� WebDAV�� 서버에�� 업로드��

.�� LZMA�� 압축�� /�� AES�� 암호화된�� 파일

Home�� Routers

Rented�� Hosts

.�� CloudeMe에�� 플러그인을�� 업로드하고,�� 수집된�� 정보를�� 가져오는�� 역할을�� 함��

.�� 리눅스�� 기반�� davfs2�� 파일시스템을�� 이용하여�� 홈�� 라우터에�� 마운팅함��

.�� 남한,�� 중국,�� 미국,�� 브라질,�� 스웨덴,�� 오스트레일리아,�� 캐나다�� 등�� 다양하게�� 분포되어�� 있으나�� 남한이�� 가장�� 많음��

.�� 환경설정�� 취약점�� 혹은�� 기본�� 계정�� 취약점을�� 악용하여�� 악성코드를�� 심은�� 것으로�� 추정��

.�� 7가지�� 종류의�� 홈�� 라우터�� 장비가�� 악용됨�� (ASUS,�� D-Link,�� Dreambox�� Digital�� Recorder,�� ipTime,�� Tera-EP,�� ...)

-�� [17/Sep/2014:09:42:38�� _0200]�� "PUT�� /user1/CloudDrive/Plugin/921.bin�� HTTP/1.0"��

�� 2010�� "-"�� "davfs2/1.4.6�� neon/0.29.6" -�� 주로�� 06시-10시(UTC),�� 17시-21시(UTC)에�� 업로드��

-�� TERA-EP's�� TE-800�� 모델��

-�� "tail-"�� 라는�� 이름의�� 악성코드�� 감염��

�� .�� MIPS-el�� 아키텍처�� 기반�� 바이너리��

�� .�� 악성코드가�� 프로세스�� 형태로�� 동작함��

�� .�� SOCKS�� 프록시�� 동작��

�� .�� Blowfish�� 암호화된�� 일부�� 섹션�� 존재��

�� .�� 공격자의�� 요청에�� 의해�� SOCKET,��

�� SOCSS,�� SOCKAT,�� SOCKS5,��

�� STATUSPORT�� 타입�� 중�� 한개�� 선택�� 후��

�� 포트를�� 대기시킴�� (포트정보�� 알려줌)��

�� .�� 무분별한�� 접근을�� 막기위해�� 포트별로��

�� 서로다른�� 키를�� 이용한�� Blowfish�� 암호��

�� 통신을�� 수행함

SOCKS�� 프록시�� 통신�� 구간��

Blowfish�� 암호화�� 데이터�� 전달

-�� "Cloud�� Enumerator"��

-�� 불가리아에�� 위치함-�� 라우터를�� webdav.cloudme.com에�� 연결하기위해�� 사용됨-�� webdav에�� 있는�� 탈취한�� 정보를�� 가져�� 오고,�� 새로운�� 플러그인도�� 업로드함

-�� "Health�� Checker"��

-�� 룩셈부르크에�� 위치함-�� 라우터�� 프록시�� 악성코드들의�� 상태�� 정보를�� 가져오는데�� 사용됨

-�� "Unlocker"��

-�� 라트비아에�� 위치함-�� 라우터를�� 피싱�� 메일�� 전송을�� 위한�� 프록시�� 모드로�� 전환시킴 -�� 라우터는�� Email�� Sender�� 가�� 전달해�� 줄�� 피싱�� 메일을�� 받을�� 수�� 있도록�� 포트를�� 준비함

-�� "Email�� Sender"��

-�� 우크라이나에�� 위치함-�� Unlocker에�� 의해�� 포트가�� 열린�� 라우터�� 에게�� 연결을�� 수행한�� 후�� 메일을�� 전달함

-�� "Mail�� Proxies"��

-�� 총�� 3개가�� 발견됨-�� 정상적인�� 도메인명과�� 매우�� 유사함 �� .�� haarmannsi.cz�� (haarmannsi.com) �� .�� sanygroup.co.uk�� (sanygroup.com)�� .�� ecolines.es�� (ecolines.net)

피싱�� 메일�� 전달

피싱�� 메일�� 전달

사용자�� PC

호스트들과�� 통신

-�� 피싱�� 메일�� 전달��

�� .�� 익스플로잇�� 문서가�� 포함된�� 메일�� 전달��

�� or�� .�� bit.ly�� URL�� 쇼트닝된�� 링크전달�� (이�� 경우�� 파일�� 첨부�� X)��

사용자�� 모바일

-�� 서버는�� user-agent�� 헤더를�� 이용해�� 사용자의�� 장치�� 유형을�� 구분하는�� 것으로�� 추정-�� http://server_ip/page/index.?id=target_identifier&type2=action_code �� .�� action_code�� 는�� 숫자형태를�� 띄며(e.g.�� 743,�� 1024)�� "WhatApp�� 앱�� 업데이트�� 피싱",�� "Viber�� 앱�� 업데이트�� 피싱",�� "MMS�� 피싱"�� 등을�� 의미함-�� 사용자�� PC의�� 경우�� BBC(영국공영방송사)�� 홈페이지로�� 리다이렉션되며�� 이후�� 공격행위�� 없음-�� 사용자�� 모바일의�� 경우�� 악성�� 앱�� 다운로드를�� 유도함 악성�� 앱�� 배포�� 서버

"The Inception-Framework : Cloud-Hosted APT" 시나리오

메일의�� 파일�� 실행�� 및�� 감염 �� or악성�� 링크�� 클릭

악성�� 링크�� 클릭

공격자 / 호스팅 시스템 / 감염된 라우터 / 스토리지 서버간의 통신 메커니즘

공격자는�� Blowfish�� 암호화된�� 오퍼레이션(e.g.�� 25310,�� SOCKSS)�� 악성코드의�� 특정�� 포트에�� 전달

2 라우터는�� 공격자가�� 지정해준�� 포트를�� 열고명령을�� 수행했음을�� 알림

3 공격자는�� 지정된�� 포트로�� 연결을�� 수행한�� 후Blowfish�� 암호화된�� 명령을�� 전달(e.g.�� webdav.cloudme/443/RC4key)

4 라우터는�� webdav.cloudme.com�� 서버의443�� 포트에�� 연결을�� 수행함

호스팅�� 시스템 감염된�� 라우터webdav.cloudme.com

5 공격자는�� 라우터에게�� 암호화된데이터를�� 지정된�� 포트로�� 주고�� 받음

6 라우터는�� 암호화된�� 데이터를�� webdav.cloudme.com�� 서버에게�� 전달하거나�� 받음��

공격자

1

Conclusion

◦The�� whole�� Inception�� setup�� shows�� signs�� of�� automation�� and�� seasoned�� programming.��

◦On�� the�� Internet�� as�� well�� as�� multiple�� dedicated�� hosting�� providers�� and�� VPN�� services�� to�� mask�� their�� identity�� from�� the�� cloud�� storage�� provider.��

◦The�� framework�� is�� generic,�� and�� will�� work�� as�� an�� attack�� platform�� for�� a�� multitude�� of�� purposes�� with�� very�� little�� modification.��

Engineering

Inception framework