상세 컨텐츠

본문 제목

FIN7 APT 조직의 새로운 활동 분석 보고서

국내외 보안동향

by 알약(Alyac) 2017. 11. 8. 13:55

본문

2017년 3월, FIN7조직의 존재가 밝혀진 이후, 이 조직은 수개월동안 별 다른 활동을 하지 않았습니다. 하지만 최근, 이 APT 조직의 활동이 다시 개시되었습니다. 


FIN7 조직은 주로 세계 금융기구를 타겟으로 하며, 최근에는 그 공격목표를 소매 기업으로까지 확장하였습니다. 


해당 조직은 주로 PE 파일이 아닌 파일을 이용하여 공격을 진행합니다. 이번 공격 중에서, 해당 APT 조직이 사용한 공격 주로 js스크립트와 powershell 스크립트를 이용하였으며, 이러한 방법은 일반적인 보안제품들을 우회할 수 있습니다. 


해당 APT 조직의 개요는 다음과 같습니다. 


공격목표 : 금융기구, 소매 기업

공격목적 : 기밀탈취, 금전적 이득

공격방식 : 피싱 메일

사용하는 취약점 : 없음

통신방법 : https

영향받는 os : Windows

분석 개요( TTP ) : 

1) 피싱 메일을 전송하여 사용자로 하여금 매크로가 포함된 파일을 실행하도록 한다. 

2) 매크로가 실행된 후, 파일 중의 텍스트를 디코딩하는데, 디코딩 결과는 js스크립트 악성코드이며, 이 악성코드는 wscript 페이로드를 통해 실행된다. 

3) 스케쥴러를 통해 지속성을 높히며, 정해진 시점이 되면 C&C 통신을 통하여 지령을 받는다. 

4) 전체 공격과정 중에서 PE파일을 사용하지는 않으며, 그렇기 때문에 어느 정도에서 백신을 우회할 수 있다. 

5) 악성코드는 nishang,empire등의 툴과 결합되어, 로컬의 자격증명 탈취 등의 악성행위를 한다. 



분석 


공격자는 피싱 메일을 통해 공격을 시작합니다.



https://www.fireeye.com/blog/threat-research/2017/03/fin7_spear_phishing.html


이메일에 함께 첨부되어 있는 파일에는 악성 매크로가 포함되어 있습니다. 


FIN7이 초기에 사용햇던 매크로 코드는 자동으로 스케줄러 등록기능이 포함되어 있었습니다. 하지만 최근 FIN7이 사용하는 악성 매크로에서는 스케쥴러 등록코드이 삭제되었으며, 스케쥴러 등록을 하단에 js스크립트 중에서 진행하도록 바뀌었습니다. 



 

피싱메일 중의 악성 페이로드는 캡션을 통해 악의적인 페이로드에 엑세스 합니다. 


난독화 목적을 달성하기 위하여 악성 페이로드는 “|*|”를 이용하여 분리하며, 매크로의 기능은 캡션 중의 페이로드를 추출하여 임시 목록crashpad.ini 파일에 저장하며, wscripte.exe를 사용하여 crashpad.ini 파일을 로드합니다. 


crashpad.ini파일은 사실 js스크립트 파일로, wscript를 사용하여 crashpad.ini를 실행할 때 사용하는 명령 형식은 다음과 같습니다. 




Crashpad.ini파일의 헤더 부분에는 adobe 버전을 위장한 텍스트가 있으며, 그 뒤에 공격과정 중 악성프로세스의 스케줄러 역시 adobe 서비스를 위장하고 있습니다. 




Crashpad.ini는 분석을 방해하기 위해 긴 변수명을 사용하였으며, 이것의 주요 기능은 문자열을 스티칭하고 중간 함수 a를 만든 다음 함수를 통해 마지막 js 트로이 Bateleur를 만들고 새로운 Function () () 함수를 실행하여 악성 js 를 로드하는 것입니다.


중간함수 a는 다음과 같습니다. 


a 함수를 사용하여 단일 문자를 병합하는 마지막 코드 조각을 만듭니다.


마지막으로, 도출된 Bateleur 악성코드에는 악성코드의 버전 정보인 1.0.6과 " Hello fromQwazarius. One step ahead. Made in North Korea "문자열이 함께 포함되어 있었습니다. 


하지만 해당 문자열만으로 공격자가 북한사람이라고 간주할 수는 없으며, 공격자가 분석가들을 속이려 일부러 넣어놓은 문자열 일 가능성도 배재할 수는 없습니다. 



악성코드가 최초에 실행되면, 자신을 %APPDATA%\\Microsoft\\Window\\{install_dir} 디렉토리 하위에 복사해 놓고, 동시에 자신을 스케줄러에 등록하여 매 분당 1번씩 동작하며, 매 실행 후 C&C에 접속하여 명령을 받아옵니다. 이 task는 adobe를 위장하고 있습니다. 


악성코드 일부는 다음과 같습니다. 




이 밖에 Bateleur 악성코드는 RAT 악성코드의 기능을 포함하고 있으며, 사용자 정보 탈취, 원격에서 shell 명령 실행, 서버 업데이트, 화면캡쳐 등의 기능을 포함하고 있습니다. 




출처 :

http://www.freebuf.com/news/153032.html

https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor

https://www.fireeye.com/blog/threat-research/2017/03/fin7_spear_phishing.html



관련글 더보기

댓글 영역