멀웨어 페이로드 및 비콘: 악의적인 통신이 시작되는 방법

멀웨어 비콘을 이해하고 차단하는 방법을 알면 조직을 더 안전하게 유지하는 데 도움이 될 수 있습니다.페이로드라고도 하는 비콘은 일부 통신 채널을 통해 사이버 공격자와 다시 통신하는 실행 파일 또는 프로그램입니다.위협 행위자의 관점에서 보면 비콘 관리는 악성 캠페인의 기반입니다.비콘의 유형과 기능에 따라 위협 행위자가 네트워크에 직접 접속하여 해당 통신 회선을 유지하고 불법적인 목적과 목적을 수행할 수 있는 수단이 됩니다.

예를 들어, 태양풍 공급망 공격 비콘 또는 페이로드 스테이징을 사용하는 파악하기 어려운 위협 행위자를 포함시켰습니다.여러 사고 후 분석 보고서에서 알 수 있듯이, 이 공격은 처음에는 Sunspot 멀웨어를 사용하여 공급업체를 해킹한 정교한 다단계 공격이었습니다.다음으로 공급업체의 고객에 대한 Sunburst 백도어가 등장했습니다.이 작업이 성공적으로 실행된 후 메모리 전용 드롭퍼 티어드롭을 납품하는 데 사용되었고, 그 뒤를 이어 레인드롭 로더와 코발트 스트라이크 비콘을 납품했습니다.각 페이로드에는 고유한 목적과 기능 세트가 있었습니다.

멀웨어 공격 시퀀스의 일반적인 단계

최종 사용자든 시스템이든 관계없이 일부 취약점이 관련된 악의적인 활동의 경우 공격 순서는 일반적으로 다음과 같은 경로를 사용합니다.

위협 행위자의 관점에서 이러한 단계를 이해하는 것이 좋습니다.공격자가 명령 및 제어를 위해 악의적인 통신을 어떻게 이용하는지 알아냄으로써 공격자에 대한 방어 체계를 구축할 수도 있습니다.각 단계를 따로 진행해 보겠습니다.

공격자 인프라

공격자 측에는 해당 페이로드에 의해 손상된 모든 대상 시스템으로부터 통신을 수신하고 처리하는 명령 및 제어 리스너가 있습니다.리스너는 위협 캠페인에 사용된 도구를 호스팅하는 웹 서버, 메일 시스템, DNS, 경고 시스템 및 공격 서버에서 지원됩니다.

공격자가 인프라 외부로 나가는 통신은 익명화될 가능성이 높습니다. 즉, 일련의 프록시 서버를 통해 전송되어 실제 신원을 숨길 수 있습니다.다음은 예시입니다.

보다 정교한 공격의 경우 위협 행위자는 특정 캠페인 전용으로 분산 인프라를 배포할 수도 있습니다.이를 통해 필요에 따라 여러 지리적 위치에 있는 인프라를 신속하게 가동하거나 철거할 수 있습니다.이 인프라의 중요한 부분 중 하나는 도메인 이름 시스템 (DNS) 입니다.공격자는 DNS를 활용하여 인프라에 악의적인 통신을 전달할 수 있으며 DNS를 사용하여 데이터를 유출 (즉, 도용) 할 수도 있습니다.

인프라 설정과 함께 악성 캠페인의 계획, 배포 및 관리를 담당하는 인적 자원이 있을 수 있습니다.대부분의 위협 캠페인은 전체 인력과 인프라로 구성된 팀을 기반으로 하며, 한 사람이 참여하는 캠페인일 가능성은 거의 없습니다.

다음 분류는 공격 캠페인 팀의 예를 보여줍니다.이 팀이 일반적인 IT 서비스 회사의 팀과 얼마나 비슷한지 주목해 보세요.

위협 행위자의 경우 공격 대상 네트워크에서의 탐지를 회피하면서 자체 인프라를 보호하는 프로세스를 운영 보안이라고 합니다.정교한 위협 행위자는 높은 운영 보안을 선호하는 경향이 있습니다.이를 달성하기 위해 이들은 다양한 회피 및 난독화 기술을 사용할 것입니다.

취약성

취약점은 간단히 말해 위협 행위자가 악용하려는 컴퓨터 시스템 또는 관련 기술에 내재된 약점입니다.이 취약성은 소스 (장비 공급업체) 또는 대상 (일반적으로 최종 사용자) 에서 비롯될 수 있습니다.예를 들어, 2017년에 Microsoft의 SMBv1 취약점은 전 세계적으로 랜섬웨어 공격자들에 의해 성공적으로 악용되었습니다.해당 취약점의 세부 보고서는 다음과 같습니다.

시스템 또는 프로그램 취약성이 발견되면 이를 공개할 수 있습니다. 이 경우 취약점에는 표준 CVE (일반 취약점 및 노출) 번호가 발급됩니다.또는 수정 방법이 전혀 없는 상태에서 소수의 개인에게만 알려질 수도 있습니다 (일명 “제로데이”).취약성 단계는 일반적으로 피싱 및 멀버타이징과 같은 소셜 엔지니어링에 활용되는 보다 일반적인 최종 사용자 취약성을 의미할 수도 있습니다.이 단계에서 위협 행위자의 전반적인 목표는 취약점을 악용하여 성공적인 공격의 기회로 바꾸는 것입니다.

공격 또는 악용

공격의 다음 중요한 단계는 위협 행위자가 보안 제어를 우회하면서 취약점을 이용하는 데 사용할 수 있는 일부 코드에 액세스할 때 발생합니다.예를 들어, 위협 행위자는 다음과 같이 메타스플로이트 프레임워크를 공격자 서버로 사용하여 Windows SMBv1 취약점에 사용할 수 있는 세 가지 익스플로잇을 발견했습니다.

이러한 취약점은 악명 높은 WannaCry와 NotPetya가 이용하는 유형의 취약점입니다. 랜섬웨어 캠페인.이와 같은 익스플로잇에는 취약점에 대한 익스플로잇 코드와 악의적인 통신을 위한 작은 페이로드 코드가 모두 포함되어 있는 경우가 많습니다.

익스플로잇은 종종 비콘이나 페이로드와 별개입니다.하지만 이 둘은 일반적으로 셸 코드로 합쳐집니다.익스플로잇은 대상 시스템에 대한 액세스 권한을 얻으면 작은 비콘 또는 페이로드를 로드합니다. 이 프로세스는 공격자에게 다시 호출하여 공격을 완료할 수 있습니다. 이 프로세스를 페이로드 스테이징이라고 합니다.

비콘 또는 페이로드

위에서 언급한 것처럼 비콘 또는 페이로드는 일부 통신 채널을 통해 공격자에게 다시 통신하는 실행 파일 또는 프로그램입니다.이는 HTTPS를 통해 보호되거나 DNS와 같은 일반 텍스트 프로토콜을 사용할 수 있습니다.그러면 공격자는 비콘 또는 페이로드 콜백을 사용하여 의도한 목표를 달성하기 위한 추가 기능을 갖춘 추가 페이로드를 전송할 수 있습니다.

아래 예에서 다음을 볼 수 있습니다. 미터프리터 메타스플로잇 프레임워크를 사용하여 Windows EXE로 페이로드 msfvenom:

이러한 페이로드가 대상 시스템에서 전달되고 실행되면 자동으로 역방향 TCP 연결이 생성됩니다.페이로드는 공격 대상 네트워크 내부에서 공격자의 IP 주소로 돌아가는 기본 포트 4444를 사용합니다.참고로, 위의 페이로드 예시는 인코딩 없이 기본값으로 생성되었으므로 실제 환경에서 탐지될 가능성이 높습니다.이건 정말 학술적인 예일 뿐입니다.

목표

공격자가 비콘 또는 페이로드를 실행하면 위협 캠페인을 수행할 수 있습니다.여기에는 데이터를 도용하거나, 랜섬웨어를 설치하거나, 다른 유형의 장애를 야기하는 것이 포함될 수 있습니다.

다음 단계로 넘어가기 전에 공격자가 목표를 달성하기 위해 취하는 단계를 요약하면 다음과 같습니다.

단계 1: 캠페인을 계획하고 웹 서버, 이메일 서버, DNS 인프라 및 공격 서버를 비롯한 해당 인프라를 설계합니다.

2단계: 선택한 대상 및 시스템에 대한 정찰을 수행합니다.

3단계: 사람과 시스템을 조합하여 악용할 가장 효과적인 공격 또는 취약점을 선택합니다.

단계 4: 전달 메커니즘을 포함하여 해당 익스플로잇 도구를 개발하거나 확보하십시오.

5단계: 명령 및 제어 인프라 (일명 “리스너”) 를 포함한 공격 인프라를 설정하여 역방향 비콘 통신을 수신합니다.

6단계: 악성 캠페인을 실행합니다.

7단계: 비콘과 페이로드를 관리하여 탐지를 피하고 캠페인의 목표를 수행하십시오.

어택 워크스루

위협 행위자가 인프라 및 관련 설정을 설계하고 구현하면 악의적인 캠페인을 시작할 준비가 된 것입니다.이를 위해서는 위협 행위자가 공격 대상 네트워크 내에서 실행할 수 있는 비콘 또는 페이로드가 필요합니다.그러면 공격자는 접근 권한을 얻고 거점을 유지하고 목표를 달성할 수 있습니다.

공격자의 관점에서 몇 가지 중요한 단계를 살펴보겠습니다.

먼저 원하는 페이로드를 생성하는 방법을 살펴보겠습니다.

이 경우 도메인을 사용하여 통신하기 위해 페이로드가 생성됩니다 (app12.webcoms-meetings.com녹색의 첫 번째 전체 줄에 LHOST로 표시됨) 는 Windows 운영 체제의 일부 원격 회의 및 공동 작업 소프트웨어를 모방한 것입니다.확인 결과 도메인이 공격자의 제어된 IP 주소로 확인되는 것으로 나타납니다.

여기에서 공격자는 대상에 처음 진입할 때 사용할 전달 메커니즘을 선택합니다.이 예시에서는 의심하지 않는 사용자가 원격 회의를 위해 소프트웨어 업데이트라고 생각하는 콘텐츠를 다운로드하도록 유도하는 일종의 소셜 엔지니어링 공격인 스피어 피싱을 사용하기로 결정했습니다.공격자는 아래와 같이 이러한 소셜 엔지니어링 전달 방법을 지원하기 위해 해당 도메인 (이메일 및 웹) 과 웹 사이트 인프라를 설정했습니다.

공격자는 의심하지 않는 사용자가 페이로드를 다운로드하여 실행하기를 희망합니다.또는 사용자가 피싱 사이트를 방문할 경우 드라이브 바이 다운로드를 통해 페이로드를 자동으로 실행할 수 있습니다.어느 쪽이든, 위장된 페이로드는 이제 사용자 컴퓨터에 있으며 다음과 같이 바로 실행할 수 있습니다.

페이로드가 실행되면 공격자의 명령 및 제어를 자동으로 콜백합니다.A 경청자 공격자 측에서 콜백 통신을 수신하기 위해 이미 가동되고 있을 것입니다.아래 예시에서는 페이로드 핸들러 또는 리스너입니다. 익스플로잇/멀티/핸들러, 공격자 측에서 통신문을 수신하도록 설정되었습니다. 리버스_tcp 악성 도메인을 통해 대상 시스템에서 실행되는 페이로드 app12.webcoms-meetings.com.

비콘이 공격자 인프라에 도달하면 관련 리스너 또는 핸들러가 연결을 수신하고 초기 페이로드는 스테이지라고 하는 훨씬 더 큰 기본 페이로드를 다운로드할 수 있습니다.이는 아래에서 “203.0.113.1로 단계 (175174) 를 보내는 중”이라는 메시지와 함께 확인할 수 있습니다.대상 시스템은 외부 IP가 203.0.113.1인 NAT 방화벽 뒤에 있습니다.이 예시의 공격자 페이로드는 다재다능합니다. 메타스플로잇 미터프리터.

초기 비콘이 메인 페이로드를 다운로드하면 나머지 공격을 계속할 준비가 된 것입니다.성공적으로 실행되면 프로그램 제어가 이 메인 페이로드 (스테이지) 로 전달되어 공격자에게 셸을 제공합니다.이 모든 것은 메모리에서 이루어지며 코드 삽입 기술을 필요로 합니다.다음 스크린샷은 공격자가 공격 대상 컴퓨터에 직접 키보드로 접근할 수 있는 모습을 보여줍니다.공격자는 “dir” 명령을 실행하고 사용자의 다운로드 폴더에 있는 모든 파일을 볼 수 있습니다.

여기에서 공격자는 대상 컴퓨터에 대한 내부 정찰 (일명 “검색”) 을 수행합니다.공격자는 이제 피해자의 계정 및 디렉터리 정보를 얻을 수 있습니다.예를 들어, 손상된 시스템의 로그된 사용자 이름은 “ama”입니다.다음과 같이 대상 시스템의 Windows 데스크톱 스크린샷을 캡처할 수도 있습니다.

이때 공격자는 내부 네트워크를 검사하여 다른 시스템을 발견할 수도 있습니다.다음 스크린샷은 내부 네트워크의 주소 확인 프로토콜 (ARP) 스캔을 보여줍니다.이는 다음과 같은 경우에 유용할 것입니다. 측면 이동, 나중에 설명하겠습니다.

또한 공격자는 탈취 (도용) 와 같은 보다 악의적인 행동을 수행할 수 있습니다. Project_Progress.pdf 피해자 컴퓨터의 파일.아래와 같이 사용자 자격 증명을 도용하는 악성 도구인 Mimikatz를 업로드할 수도 있습니다.공격자가 네트워크 내에서 시스템 수준의 작업과 측면 이동을 수행하려면 높은 권한을 가진 자격 증명이 필요합니다.

아래 예는 공격자가 업로드된 Mimikatz 자격 증명 덤핑 도구를 실행하여 손상된 Windows 시스템에서 암호 해시를 보는 방법을 보여줍니다.

공격자가 해야 할 또 다른 중요한 단계는 사용자가 컴퓨터를 재부팅한 후에도 대상 컴퓨터로 돌아가는 경로를 만드는 것입니다.바로 이 부분에서 지속성 기법이 활용됩니다.공격자는 자동 실행, 역방향 페이로드, 영구 백도어 등 여러 가지 방법으로 이를 달성할 수 있습니다.

아래와 같이 공격자는 로그온한 사용자의 Windows Temp 폴더에 있는 Visual Basic 스크립트 (VBScript) 를 포함하는 공격 후 지속성 모듈을 실행하기로 선택합니다. UOPFNWO.vbs.그런 다음 공격자는 Windows 레지스트리 항목을 설치하여 시스템이 부팅된 후 스크립트가 자동 실행되도록 합니다.

이제 공격자는 시스템이 재부팅되더라도 페이로드 스크립트가 리스너에 다시 연결할 수 있도록 했습니다.하지만 이제 파일 시스템 안티바이러스 (AV) 검사로도 디스크에 있는 파일을 탐지할 수 있습니다.

마지막으로, 공격자는 모든 잠재적 증거를 제거하기를 원할 것입니다.이를 위해 원본 악성 파일 및 항목을 제거하고 합법적인 시스템 파일 간에 악성 파일을 암호화하거나 혼합할 수도 있습니다.추적 내용을 더 자세히 파악하기 위해 섀도 복사본과 시스템 로그를 모두 삭제할 수도 있습니다.

공격 분석 및 포렌식

이제 몇 가지 초기 사고 대응 (IR) 과 공격의 특정 구성 요소에 대한 기본 분석을 살펴보겠습니다.이를 통해 특정 악의적 행동을 더 잘 이해할 수 있습니다.

네트워크 및 DNS 분석

대상 시스템의 네트워크 통신 분석을 시작으로 내부 IP (10.1.1.81) 가 원격 포트 443에서 외부 공격자 DNS 이름에 대한 TCP 연결을 설정한 것으로 확인되었습니다.이는 명령 및 제어 통신입니다.

다음으로 일반 DNS 확인 계층 구조와 관련된 일반적인 구성 요소를 분석하여 공격자의 프로세스를 분석할 수 있습니다.

• 먼저 위협 행위자가 도메인을 등록했습니다. webcoms-meetings.com
• 도메인은 외부 IP 203.0.113.123을 가리킵니다.
• 공격자는 하위 도메인 이름을 사용합니다. app12.webcoms-meetings.com 손상된 시스템의 페이로드에서 오는 트래픽을 명령 및 제어로 전달합니다.

위협 행위자는 DNS를 사용하여 데이터를 유출하려고 시도할 수도 있습니다.예를 들어, 공격자는 DNS TXT 레코드나 피해자에 대한 인코딩된 고유 정보를 아웃바운드 DNS 쿼리의 일부로 사용할 수 있습니다.공격자가 제어하는 권한 있는 DNS 서버가 이러한 쿼리를 수신합니다.신뢰할 수 있는 DNS 서버는 특정 도메인에 대한 DNS 쿼리를 수신하고 응답합니다.

위협 행위자는 도메인 생성 알고리즘 (DGA) 을 사용하여 매일 수천 개의 도메인을 자동으로 생성할 수도 있습니다.이 기술을 사용하면 감염된 시스템에 내장 코드 (즉, 알고리즘) 가 생겨 지정된 기간 동안 생성된 여러 도메인을 생성한 다음 연결을 시도할 수 있습니다.예를 들어 한 도메인이 성공할 때까지 24시간마다 1,000개의 생성된 도메인에 연결을 시도할 수 있습니다.그러면 공격자는 매일 이러한 도메인 중 몇 개를 등록하고 짧은 기간 동안 유지하게 됩니다.

이러한 도메인은 악의적인 통신을 자주 수신할 가능성이 높습니다.Conficker 계열의 맬웨어에 의해 널리 보급된 이 기법으로는 도메인을 만들기가 어렵습니다. 거부 목록 킬 스위치로.더 정교한 위협 행위자는 탐지를 더욱 피하고 복원력을 유지하기 위해 프록시, 리디렉터 및 로드 밸런서를 결합한 분산 인프라를 사용하기도 합니다.

시스템 분석

대부분의 일반적인 페이로드 또는 비콘 사후 악용 작업에는 전적으로 메모리에서 발생하는 Windows 프로세스 조작이 포함됩니다.프로세스 조작 기능이 있는 공격자는 공격 대상 시스템에서 새 프로세스를 시작할 수 있습니다.이는 네이티브 대화형 셸일 수 있습니다 (Windows). cmd.exe) 이를 통해 공격자는 기본 Windows 명령을 사용할 수 있습니다.공격자는 다음과 같이 비대화형 방식으로 프로세스를 시작할 수도 있습니다.

대상 시스템의 프로세스 덤프 (아래 참조) 에는 각각 프로세스 ID (2624 및 1972) 를 사용하여 새로 생성된 프로세스가 표시되며 둘 다 실행 중입니다.

새 프로세스를 시작하는 기능은 매우 유용합니다.공격자는 notepad.exe 같은 의심할 수 없는 새 프로세스를 시작한 다음 원래 프로세스를 마이그레이션할 수 있습니다. 악성 페이로드 코드/DLL 삽입을 사용하여 처리합니다.이는 시스템에서 악의적인 프로세스를 합법적인 것처럼 보이게 하는 기술입니다. 이에 대해서는 이 시리즈의 2부에서 더 자세히 설명하겠습니다.

공격자는 악용 후 회피의 일환으로 원래의 악의적인 프로세스를 마이그레이션합니다. web1_meeting_update.exe (2472), 새 것으로 notepad.exe 프로세스 (1768) 는 다음과 같습니다.

공격 대상 시스템에서는 원래 악성 프로세스인 PID 2472가 마이그레이션되어 현재 다음과 같이 실행되고 있습니다. notepad.exe 프로세스 ID가 1768입니다.아래 그림과 같이 현재 새 프로세스만 실행 중입니다.

이전의 영구 기술에서 Windows Temp 폴더 (아래 참조) 에는 사용된 VBScript와 악성 스크립트의 레지스트리에서 만든 해당 자동 실행 키가 모두 표시됩니다.

원본 악성 실행 가능 페이로드 파일에 대한 초기 정적 분석 결과 여러 관련 위험 요소가 있음을 알 수 있습니다.예를 들어 흥미로운 Windows 라이브러리 (DLL), 특히 네트워크 통신에 사용되는 라이브러리 (DLL) 를 로드합니다.해당 메모리와 동적 분석을 통해 네트워크 연결을 만드는 notepad.exe 프로세스의 의심스러운 동작이 표시됩니다.

결론

이 문서에서는 위협 캠페인 및 이와 관련된 악의적 통신과 관련된 몇 가지 일반적인 고려 사항 및 조치에 대해 설명했습니다.이를 통해 위협 행위자가 특정 기술을 사용하는 방법과 이유에 대한 통찰력을 얻을 수 있기를 바랍니다.

악의적인 통신으로 이어지는 공격 주기를 세 단계로 요약할 수 있습니다.

• 최초 진입
• 실행
• 명령 및 제어

완화 전략에 접근하는 좋은 방법은 다음을 적용하는 것입니다. 위반을 가정하다 철학.즉, 공격자가 이미 침입했기 때문에 주요 보안 목표가 탐지 및 차단이라고 가정해 봅시다.또한 보안 결과에는 최소한 다음 사항이 포함되어야 합니다. 자동화된 가시성, 경고 및 격리 (제로 트러스트 세그멘테이션).이 블로그 시리즈의 세 번째이자 마지막 부분에서는 완화 기법에 대해 더 자세히 설명하겠습니다.

다음 기사, 이 시리즈의 2부에서는 비콘과 페이로드에 대해 자세히 살펴보고 위협 행위자가 다른 유형보다 한 유형을 선택하는 이유를 설명하겠습니다.또한 공격자가 회피 및 난독화를 위해 사용하는 몇 가지 고급 기술에 대해서도 자세히 알아보겠습니다.