제품문의

02-6011-1377

보안관제센터

02-6011-2337

FAX

02-463-1376

E-mail

iamguide
@cmtinfo.co.kr

보안공지

공지사항

12월과 1월 사이 다시 나타난 다크하이드러스, 구글 활용해

페이지 정보

작성자 최고관리자 작성일19-01-22 18:27 댓글0건

본문

해킹 그룹인 다크하이드러스(DarkHydrus)가 새로운 기능과 전략을 들고 다시 나타났다고 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 경고했다. 다크하이드러스는 2018 년 여름에 처음 공개된 공격 단체로, 오픈소스 툴들을 사용해 중동의 정부 기관들을 주로 공격한다.


 

이번에 다시 시작된 다크하이드러스 공격에는 최소 세 가지 악성 엑셀 문서들이 활용되고 있다고 한다. 전부 로그로빈(RogueRobin)이라는 트로이목마를 피해자의 시스템에 설치하는 것을 목표로 하고 있다. 특이한 건 해당 문건들을 피해자가 열었을 때 매크로를 활성화시키라는 메시지가 뜨지 않는 것이다.

팔로알토 네트웍스의 전문가들은 아직 이 문건들이 어떻게 피해자에게 배달되며, 어떤 식으로 매크로를 활성화시키는지 정확히 밝히지 못하고 있다. 다만 악성 문건들은 2018 년 12월과 2019년 1월 사이에 만들어졌다고 한다.

일단 매크로가 활성화되면 파워셸 스크립트가 하나 만들어진다. 이 스크립트는 .ps1 파일과 .sct 파일을 TEMP 폴더에 생성한다. .sct 파일의 경우 윈도우 스크립트 요소(Windows Script Component)로서 활용되는 것으로 정상적인 regsvr32.exe 애플리케이션을 통해 실행되며, 따라서 앱락커(AppLocker)라는 보안 장치를 우회할 수 있게 된다.

.ps1 스크립트는 일종의 드로퍼로, 디스크에 엠베드 된 실행파일을 만들어 저장하고, 바로가기(.lnk) 파일을 시작 프로그램 폴더에 생성함으로써 윈도우가 켜질 때마다 발동된다. 즉 지속적인 공격의 문을 여는 것이다. 페이로드는 로그로빈의 C# 버전으로, 다크하이드러스가 코드를 여러 버전으로 컴파일링한 것으로 보인다.

로그로빈은 샌드박스 환경 여부를 먼저 확인하는데, 이 때 가상 환경, 낮은 메모리, 프로세서의 수 등의 정보를 통해 판단한다. 또한 시스템 내 돌아가고 있을지도 모르는 분석 툴의 존재도 확인한다. 실행되는 동안 디버거가 첨부되는지도 확인한다.

C# 버전의 로그로빈은 DNS 터널링을 통해 C&C 서버와 교신하며, DNS 쿼리를 발동시킬 때마다 디버거의 부착 여부를 확인한다. 확인 결과 디버거가 없으면 쿼리가 구글이 소유한 정상 도메인으로 연결된다. 이는 아마도 탐지 및 분석되는 걸 피하기 위해서인 것으로 보인다. C&C 서버에서는 로그로빈으로 여러 가지 명령을 보낸다.

이번 버전의 로그로빈에는 새로운 명령어도 하나 추가됐다. x_mode로, 구글 드라이브 API를 활용하는 대체 C&C 채널을 활성화시키는 기능을 가지고 있다. 디폴트로는 활성화되어 있지 않은 기능이지만 C&C 서버에서 공격자들이 이를 켤 수 있다. 그렇게 되면 구글 드라이브가 C&C 서버가 되며, 이를 통해 정보를 주고받을 수 있게 된다.

x_mode 상태에서 멀웨어는 파일을 구글 드라이브 계정으로 업로드하며, 계속해서 해당 파일의 변경 시간을 확인한다. 첫 번째 변경은 고유 식별자를 덧붙이며, 그 뒤로 이어지는 변경 사항들은 명령어로서 취급된다.

구글 드라이브를 C&C로 활용한 단체는 다크하이드러스만이 아니다. 미국과 중동의 각종 조직들을 공격하는 오일리그(OilRig)와 같은 경우에도 역시 구글 드라이브를 통해 악성 공격을 실시한 바 있다.

이번에 발견된 내용은, 다크하이드러스가 아직도 활동 중에 있다는 것과, 새로운 기능과 전략을 계속해서 익히고 있다는 것을 드러낸다고 팔로알토는 말한다. 또한 합법적이고 정상적인 클라우드 서비스를 통한 공격이 앞으로도 계속 이어질 것으로 보인다고 덧붙이기도 했다.