Upload
-
View
896
Download
1
Embed Size (px)
Citation preview
The Inception Framework : Cloud-Hosted APT
(주)코어시큐리티����������� ������������������ 교육사업부/보안기술연구팀����������� ������������������ 주한익
Summary
◦Attack����������� ������������������ paradigm����������� ������������������ using����������� ������������������ many����������� ������������������ levels����������� ������������������ of����������� ������������������ obfuscation����������� ������������������ and����������� ������������������ indirection.
◦Initial����������� ������������������ attacks����������� ������������������ where����������� ������������������ largely����������� ������������������ focused����������� ������������������ on����������� ������������������ Russia����������� ������������������ and����������� ������������������ a����������� ������������������ few����������� ������������������ other����������� ������������������ Eastern����������� ������������������ European����������� ������������������ ����������� ������������������ ����������� ������������������ countries.����������� ������������������
◦����������� ������������������ Initial����������� ������������������ malware����������� ������������������ components����������� ������������������ were����������� ������������������ embedded����������� ������������������ in����������� ������������������ Rich����������� ������������������ Text����������� ������������������ Format����������� ������������������ (RTF)����������� ������������������ Files.����������� ������������������
◦All����������� ������������������ post-infection����������� ������������������ communication����������� ������������������ can����������� ������������������ be����������� ������������������ performed����������� ������������������ via����������� ������������������ the����������� ������������������ cloud����������� ������������������ service.����������� ������������������ ����������� ������������������ ����������� ������������������ (i.e.����������� ������������������ target����������� ������������������ surveying,����������� ������������������ configuration����������� ������������������ updates,����������� ������������������ malware����������� ������������������ updates,����������� ������������������ and����������� ������������������ data����������� ������������������ exfiltration)����������� ������������������ ����������� ������������������
◦The����������� ������������������ malware����������� ������������������ components����������� ������������������ of����������� ������������������ this����������� ������������������ framework����������� ������������������ Follow����������� ������������������ a����������� ������������������ Plugin����������� ������������������ model.
◦Most����������� ������������������ interaction����������� ������������������ between����������� ������������������ attackers����������� ������������������ and����������� ������������������ their����������� ������������������ infrastructure����������� ������������������ is����������� ������������������ performed����������� ������������������ via����������� ������������������ a����������� ������������������ ����������� ������������������ ����������� ������������������ convoluted����������� ������������������ network����������� ������������������ of����������� ������������������ router����������� ������������������ proxies����������� ������������������ and����������� ������������������ rented����������� ������������������ hosts.����������� ������������������
Inception����������� ������������������ Framework?����������� ������������������
WebDAV.cloudme.com����������� ������������������
CVE-2014-1761����������� ������������������ or����������� ������������������ CVE-2012-0158����������� ������������������
ASUS,����������� ������������������ D-Link,����������� ������������������ Tera-EP,����������� ������������������ ipTime,����������� ������������������ ...����������� ������������������
사용자����������� ������������������ PC
드랍 드랍
.����������� ������������������ CVE2014-1761����������� ������������������ /����������� ������������������ MS14-017
.����������� ������������������ 오피스����������� ������������������ 취약점����������� ������������������ 공격����������� ������������������
.����������� ������������������ 쉘코드는����������� ������������������ 평이한����������� ������������������ 형태임
스피어����������� ������������������ 피싱����������� ������������������ 메일����������� ������������������
(주로����������� ������������������ 러시아����������� ������������������ 및����������� ������������������ 동유럽의����������� ������������������ 정치인,����������� ������������������ 군인)
사용자가����������� ������������������ 화면으로����������� ������������������ 보는����������� ������������������ 문서백그라운드����������� ������������������ 실행
드랍드랍
.����������� ������������������ 바이너리����������� ������������������ 파일����������� ������������������
.����������� ������������������ AES256����������� ������������������ 암호화����������� ������������������
.����������� ������������������ 파일이름����������� ������������������ 무작위����������� ������������������
.����������� ������������������ 특별한����������� ������������������ 자료구조����������� ������������������ X
가상메모리
.����������� ������������������ 파일����������� ������������������ 이름����������� ������������������ 무작위����������� ������������������
.����������� ������������������ DLL����������� ������������������ 파일����������� ������������������ "RUN"����������� ������������������ ����������� ������������������ 키����������� ������������������ 등록����������� ������������������
.����������� ������������������ regsrv32.exe����������� ������������������ /s����������� ������������������ XX.DLL
drm.dll,����������� ������������������ ctfmonm.dll,����������� ������������������
alg.dll,����������� ������������������ ...����������� ������������������
난독화
랜덤한����������� ������������������ 크기로����������� ������������������ 할당����������� ������������������
되는����������� ������������������ 메모리����������� ������������������ 공간
DLL����������� ������������������ 파일이����������� ������������������ 바이너리파일을����������� ������������������ 로드함
자신의����������� ������������������ .rdata����������� ������������������ 섹션에서����������� ������������������
데이터����������� ������������������ 조각들을����������� ������������������ 조합하고,����������� ������������������
Deobfuscation����������� ������������������ 한����������� ������������������ 후����������� ������������������ 생성
자신의����������� ������������������ .data����������� ������������������ 섹션에서����������� ������������������
RSA����������� ������������������ 키를����������� ������������������ 추출한����������� ������������������ 후����������� ������������������
바이너리����������� ������������������ 파일����������� ������������������ 복호화����������� ������������������
.����������� ������������������ 복호후����������� ������������������ DLL����������� ������������������ 파일로����������� ������������������ 바뀜����������� ������������������
.����������� ������������������ 악성코드����������� ������������������ 본체
CloudMe.com����������� ������������������ (스웨덴)
.����������� ������������������ 악성코드를����������� ������������������ 직접����������� ������������������ 퍼뜨리지는����������� ������������������ 않고����������� ������������������ "공유"만����������� ������������������ 함����������� ������������������
.����������� ������������������ 스토리지����������� ������������������ 역할����������� ������������������
.����������� ������������������ 80/443중����������� ������������������ 443����������� ������������������ 포트를����������� ������������������ 사용하여����������� ������������������ 통신함
/user1/CloudDrive/
/user2/CloudDrive
/user3/CloudDrive
Plugin/
Collection/
921.bin����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ 922.bin
XX.TAR
플러그인����������� ������������������ 메모리에����������� ������������������ ����������� ������������������
다운로드����������� ������������������ 후����������� ������������������ 삭제
WebDAV����������� ������������������ 프로토콜����������� ������������������ 통신구간����������� ������������������
443����������� ������������������ 포트����������� ������������������ 사용
.����������� ������������������ 희생자����������� ������������������ 시스템에서����������� ������������������ 수집한����������� ������������������ ����������� ������������������
����������� ������������������ ����������� ������������������ 정보를����������� ������������������ WebDAV����������� ������������������ 서버에����������� ������������������ 업로드����������� ������������������
.����������� ������������������ LZMA����������� ������������������ 압축����������� ������������������ /����������� ������������������ AES����������� ������������������ 암호화된����������� ������������������ 파일
Home����������� ������������������ Routers
Rented����������� ������������������ Hosts
.����������� ������������������ CloudeMe에����������� ������������������ 플러그인을����������� ������������������ 업로드하고,����������� ������������������ 수집된����������� ������������������ 정보를����������� ������������������ 가져오는����������� ������������������ 역할을����������� ������������������ 함����������� ������������������
.����������� ������������������ 리눅스����������� ������������������ 기반����������� ������������������ davfs2����������� ������������������ 파일시스템을����������� ������������������ 이용하여����������� ������������������ 홈����������� ������������������ 라우터에����������� ������������������ 마운팅함����������� ������������������
.����������� ������������������ 남한,����������� ������������������ 중국,����������� ������������������ 미국,����������� ������������������ 브라질,����������� ������������������ 스웨덴,����������� ������������������ 오스트레일리아,����������� ������������������ 캐나다����������� ������������������ 등����������� ������������������ 다양하게����������� ������������������ 분포되어����������� ������������������ 있으나����������� ������������������ 남한이����������� ������������������ 가장����������� ������������������ 많음����������� ������������������
.����������� ������������������ 환경설정����������� ������������������ 취약점����������� ������������������ 혹은����������� ������������������ 기본����������� ������������������ 계정����������� ������������������ 취약점을����������� ������������������ 악용하여����������� ������������������ 악성코드를����������� ������������������ 심은����������� ������������������ 것으로����������� ������������������ 추정����������� ������������������
.����������� ������������������ 7가지����������� ������������������ 종류의����������� ������������������ 홈����������� ������������������ 라우터����������� ������������������ 장비가����������� ������������������ 악용됨����������� ������������������ (ASUS,����������� ������������������ D-Link,����������� ������������������ Dreambox����������� ������������������ Digital����������� ������������������ Recorder,����������� ������������������ ipTime,����������� ������������������ Tera-EP,����������� ������������������ ...)
-����������� ������������������ [17/Sep/2014:09:42:38����������� ������������������ _0200]����������� ������������������ "PUT����������� ������������������ /user1/CloudDrive/Plugin/921.bin����������� ������������������ HTTP/1.0"����������� ������������������
����������� ������������������ ����������� ������������������ 2010����������� ������������������ ����������� ������������������ ����������� ������������������ "-"����������� ������������������ ����������� ������������������ ����������� ������������������ "davfs2/1.4.6����������� ������������������ ����������� ������������������ ����������� ������������������ neon/0.29.6" -����������� ������������������ 주로����������� ������������������ 06시-10시(UTC),����������� ������������������ 17시-21시(UTC)에����������� ������������������ 업로드����������� ������������������
-����������� ������������������ TERA-EP's����������� ������������������ TE-800����������� ������������������ 모델����������� ������������������
-����������� ������������������ "tail-"����������� ������������������ 라는����������� ������������������ 이름의����������� ������������������ 악성코드����������� ������������������ 감염����������� ������������������
����������� ������������������ .����������� ������������������ MIPS-el����������� ������������������ 아키텍처����������� ������������������ 기반����������� ������������������ 바이너리����������� ������������������
����������� ������������������ .����������� ������������������ 악성코드가����������� ������������������ 프로세스����������� ������������������ 형태로����������� ������������������ 동작함����������� ������������������
����������� ������������������ .����������� ������������������ SOCKS����������� ������������������ 프록시����������� ������������������ 동작����������� ������������������
����������� ������������������ .����������� ������������������ Blowfish����������� ������������������ 암호화된����������� ������������������ 일부����������� ������������������ 섹션����������� ������������������ 존재����������� ������������������
����������� ������������������ .����������� ������������������ 공격자의����������� ������������������ 요청에����������� ������������������ 의해����������� ������������������ SOCKET,����������� ������������������ ����������� ������������������
����������� ������������������ ����������� ������������������ ����������� ������������������ SOCSS,����������� ������������������ SOCKAT,����������� ������������������ SOCKS5,����������� ������������������
����������� ������������������ ����������� ������������������ ����������� ������������������ STATUSPORT����������� ������������������ 타입����������� ������������������ 중����������� ������������������ 한개����������� ������������������ 선택����������� ������������������ 후����������� ������������������
����������� ������������������ ����������� ������������������ ����������� ������������������ 포트를����������� ������������������ 대기시킴����������� ������������������ (포트정보����������� ������������������ 알려줌)����������� ������������������
����������� ������������������ .����������� ������������������ 무분별한����������� ������������������ 접근을����������� ������������������ 막기위해����������� ������������������ 포트별로����������� ������������������
����������� ������������������ ����������� ������������������ ����������� ������������������ 서로다른����������� ������������������ 키를����������� ������������������ 이용한����������� ������������������ Blowfish����������� ������������������ 암호����������� ������������������
����������� ������������������ ����������� ������������������ ����������� ������������������ 통신을����������� ������������������ 수행함
SOCKS����������� ������������������ 프록시����������� ������������������ 통신����������� ������������������ 구간����������� ������������������
Blowfish����������� ������������������ 암호화����������� ������������������ 데이터����������� ������������������ 전달
-����������� ������������������ "Cloud����������� ������������������ Enumerator"����������� ������������������
-����������� ������������������ 불가리아에����������� ������������������ 위치함-����������� ������������������ 라우터를����������� ������������������ webdav.cloudme.com에����������� ������������������ ����������� ������������������ 연결하기위해����������� ������������������ 사용됨-����������� ������������������ webdav에����������� ������������������ 있는����������� ������������������ 탈취한����������� ������������������ 정보를����������� ������������������ 가져����������� ������������������ ����������� ������������������ 오고,����������� ������������������ 새로운����������� ������������������ 플러그인도����������� ������������������ 업로드함
-����������� ������������������ "Health����������� ������������������ Checker"����������� ������������������
-����������� ������������������ 룩셈부르크에����������� ������������������ 위치함-����������� ������������������ 라우터����������� ������������������ 프록시����������� ������������������ 악성코드들의����������� ������������������ 상태����������� ������������������ ����������� ������������������ ����������� ������������������ 정보를����������� ������������������ 가져오는데����������� ������������������ 사용됨
-����������� ������������������ "Unlocker"����������� ������������������
-����������� ������������������ 라트비아에����������� ������������������ 위치함-����������� ������������������ 라우터를����������� ������������������ 피싱����������� ������������������ 메일����������� ������������������ 전송을����������� ������������������ 위한����������� ������������������ ����������� ������������������ ����������� ������������������ 프록시����������� ������������������ 모드로����������� ������������������ 전환시킴 -����������� ������������������ 라우터는����������� ������������������ Email����������� ������������������ Sender����������� ������������������ 가����������� ������������������ 전달해����������� ������������������ 줄����������� ������������������ ����������� ������������������ ����������� ������������������ 피싱����������� ������������������ 메일을����������� ������������������ 받을����������� ������������������ 수����������� ������������������ 있도록����������� ������������������ 포트를����������� ������������������ ����������� ������������������ ����������� ������������������ 준비함
-����������� ������������������ "Email����������� ������������������ Sender"����������� ������������������
-����������� ������������������ 우크라이나에����������� ������������������ 위치함-����������� ������������������ Unlocker에����������� ������������������ 의해����������� ������������������ 포트가����������� ������������������ 열린����������� ������������������ 라우터����������� ������������������ ����������� ������������������ 에게����������� ������������������ 연결을����������� ������������������ 수행한����������� ������������������ 후����������� ������������������ 메일을����������� ������������������ 전달함
-����������� ������������������ "Mail����������� ������������������ Proxies"����������� ������������������
-����������� ������������������ 총����������� ������������������ 3개가����������� ������������������ 발견됨-����������� ������������������ 정상적인����������� ������������������ 도메인명과����������� ������������������ 매우����������� ������������������ 유사함 ����������� ������������������ .����������� ������������������ haarmannsi.cz����������� ������������������ (haarmannsi.com) ����������� ������������������ .����������� ������������������ sanygroup.co.uk����������� ������������������ (sanygroup.com)����������� ������������������ .����������� ������������������ ecolines.es����������� ������������������ (ecolines.net)
피싱����������� ������������������ 메일����������� ������������������ 전달
피싱����������� ������������������ 메일����������� ������������������ 전달
사용자����������� ������������������ PC
호스트들과����������� ������������������ 통신
-����������� ������������������ 피싱����������� ������������������ 메일����������� ������������������ 전달����������� ������������������
����������� ������������������ .����������� ������������������ 익스플로잇����������� ������������������ 문서가����������� ������������������ 포함된����������� ������������������ 메일����������� ������������������ 전달����������� ������������������
����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ or����������� ������������������ .����������� ������������������ bit.ly����������� ������������������ URL����������� ������������������ 쇼트닝된����������� ������������������ 링크전달����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ (이����������� ������������������ 경우����������� ������������������ 파일����������� ������������������ 첨부����������� ������������������ X)����������� ������������������
사용자����������� ������������������ 모바일
-����������� ������������������ 서버는����������� ������������������ user-agent����������� ������������������ 헤더를����������� ������������������ 이용해����������� ������������������ 사용자의����������� ������������������ 장치����������� ������������������ 유형을����������� ������������������ 구분하는����������� ������������������ 것으로����������� ������������������ 추정-����������� ������������������ http://server_ip/page/index.?id=target_identifier&type2=action_code ����������� ������������������ .����������� ������������������ action_code����������� ������������������ 는����������� ������������������ 숫자형태를����������� ������������������ 띄며(e.g.����������� ������������������ 743,����������� ������������������ 1024)����������� ������������������ ����������� ������������������ "WhatApp����������� ������������������ 앱����������� ������������������ 업데이트����������� ������������������ 피싱",����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ "Viber����������� ������������������ 앱����������� ������������������ 업데이트����������� ������������������ 피싱",����������� ������������������ "MMS����������� ������������������ 피싱"����������� ������������������ 등을����������� ������������������ 의미함-����������� ������������������ 사용자����������� ������������������ PC의����������� ������������������ 경우����������� ������������������ BBC(영국공영방송사)����������� ������������������ 홈페이지로����������� ������������������ 리다이렉션되며����������� ������������������ 이후����������� ������������������ 공격행위����������� ������������������ 없음-����������� ������������������ 사용자����������� ������������������ 모바일의����������� ������������������ 경우����������� ������������������ 악성����������� ������������������ 앱����������� ������������������ 다운로드를����������� ������������������ 유도함 악성����������� ������������������ 앱����������� ������������������ 배포����������� ������������������ 서버
"The Inception-Framework : Cloud-Hosted APT" 시나리오
메일의����������� ������������������ 파일����������� ������������������ 실행����������� ������������������ 및����������� ������������������ 감염 ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ or악성����������� ������������������ 링크����������� ������������������ 클릭
악성����������� ������������������ 링크����������� ������������������ 클릭
공격자 / 호스팅 시스템 / 감염된 라우터 / 스토리지 서버간의 통신 메커니즘
공격자는����������� ������������������ Blowfish����������� ������������������ 암호화된����������� ������������������ 오퍼레이션(e.g.����������� ������������������ 25310,����������� ������������������ SOCKSS)����������� ������������������ 악성코드의����������� ������������������ 특정����������� ������������������ 포트에����������� ������������������ 전달
2 라우터는����������� ������������������ 공격자가����������� ������������������ 지정해준����������� ������������������ 포트를����������� ������������������ 열고명령을����������� ������������������ 수행했음을����������� ������������������ 알림
3 공격자는����������� ������������������ 지정된����������� ������������������ 포트로����������� ������������������ 연결을����������� ������������������ 수행한����������� ������������������ 후Blowfish����������� ������������������ 암호화된����������� ������������������ 명령을����������� ������������������ 전달(e.g.����������� ������������������ webdav.cloudme/443/RC4key)
4 라우터는����������� ������������������ webdav.cloudme.com����������� ������������������ 서버의443����������� ������������������ 포트에����������� ������������������ 연결을����������� ������������������ 수행함
호스팅����������� ������������������ 시스템 감염된����������� ������������������ 라우터webdav.cloudme.com
5 공격자는����������� ������������������ 라우터에게����������� ������������������ 암호화된데이터를����������� ������������������ 지정된����������� ������������������ 포트로����������� ������������������ 주고����������� ������������������ 받음
6 라우터는����������� ������������������ 암호화된����������� ������������������ 데이터를����������� ������������������ webdav.cloudme.com����������� ������������������ 서버에게����������� ������������������ 전달하거나����������� ������������������ 받음����������� ������������������
공격자
1
Conclusion
◦The����������� ������������������ whole����������� ������������������ Inception����������� ������������������ setup����������� ������������������ shows����������� ������������������ signs����������� ������������������ of����������� ������������������ automation����������� ������������������ and����������� ������������������ seasoned����������� ������������������ programming.����������� ������������������
◦On����������� ������������������ the����������� ������������������ Internet����������� ������������������ as����������� ������������������ well����������� ������������������ as����������� ������������������ multiple����������� ������������������ dedicated����������� ������������������ hosting����������� ������������������ providers����������� ������������������ and����������� ������������������ VPN����������� ������������������ services����������� ������������������ to����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ mask����������� ������������������ their����������� ������������������ identity����������� ������������������ from����������� ������������������ the����������� ������������������ cloud����������� ������������������ storage����������� ������������������ provider.����������� ������������������
◦The����������� ������������������ framework����������� ������������������ is����������� ������������������ generic,����������� ������������������ and����������� ������������������ will����������� ������������������ work����������� ������������������ as����������� ������������������ an����������� ������������������ attack����������� ������������������ platform����������� ������������������ for����������� ������������������ a����������� ������������������ multitude����������� ������������������ of����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ purposes����������� ������������������ with����������� ������������������ very����������� ������������������ little����������� ������������������ modification.����������� ������������������