포스팅 내용

국내외 보안동향

새로운 Chainshot 악성코드, 512-Bit RSA키 크래킹 해 발견 돼

New Chainshot Malware Found By Cracking 512-Bit RSA Key


보안 연구원들이 공격자의 잘못 된 암호화 선택을 파고들어 새로운 악성코드와 다양한 타겟 공격과 연결 된 네트워크 인프라를 발견했습니다.


이 새로운 악성코드는 Chainshot이라 명명 되었으며, 악성 공격 체인에서 최종 페이로드를 다운로드 하기 위한 다운로더를 활성화 시키는 공격의 초기 단계에 사용 됩니다.


Palo Alto Networks Unit 42의 연구원들은 여러 타겟 악성 캠페인에서 사용 된 어도비 플래시 제로데이 익스플로잇 (CVE-2018-5002)의 자취를 쫓던 도중 Chainshot을 발견했습니다.



암호화 크래킹


공격자의 C&C 서버와 교환 되는 트래픽의 네트워크 캡쳐를 연구 결과, 분석가들은 악성 페이로드가 512비트 RSA키로 암호화 된다는 사실을 발견했습니다.


RSA 크립토시스템은 비대칭 키 알고리즘을 사용합니다. 공개 키는 데이터를 암호화 하는데 사용 되며, 개인 키는 이를 해독하는데 사용 됩니다.


512비트 키를 크래킹하는 것은 1999년부터 가능해졌습니다. 당시 계수를 인수분해 하는데 300대의 컴퓨터가 필요했으며, 7개월의 기간이 소요 되었습니다. 하지만 현재는 클라우드 컴퓨팅 파워를 렌트할 돈, 그리고 몇 시간만 있다면 가능해졌습니다.


연구원들은 “개인 키는 메모리에만 남아있으며, 공개 키의 계수 n은 공격자의 서버로 전송 됩니다. 서버 측에서는 이 계수를 하드코딩 된 지수 e 0x10001와 함께 사용하여 이전에 익스플로잇과 shellcode 페이로드를 암호화하는데 사용한 128비트 AES키를 암호화합니다.”고 밝혔습니다.


연구원들은 서비스형 팩터링(FaaS- Factoring as a Service)을 사용하여 복호화 키를 계산해 Chanshot 악성코드에 접근할 수 있었습니다.



다목적 악성코드인 Chainshot


Chainshot은 x86, x64 플랫폼에서 Kaspersky와 Bitdefender 안티바이러스 솔루션을 찾은 다음 우회하는 코드를 포함하고 있었습니다.


연구원들은 이 공격은 5월에 발생 했으며, 당시 Kaspersky와 Bitdefender에 대응해 이 코드가 동작했는지는 알 수 없었다고 밝혔습니다.


Bitdefender 측에서는 7월부터 고객들이 Chainshot으로부터 보호 받고 있었다고 밝혔습니다.


Kaspersky 측에서는 해당 익스플로잇을 테스트할 예정이라고 밝혔습니다.


Chainshot의 역할은 최종 페이로드를 드랍할 또 다른 악성코드를 해킹 된 기기에 푸쉬하는 것입니다. 이 드랍퍼는 시스템의 지문을 채취하는 역할도 해 사용자 및 기기에서 실행 중인 프로세스에 대한 세부 정보를 보냅니다.


공격자가 안전하지 않은 암호화법을 사용하고 SSL 인증서를 다른 공격에도 재활용 했기 때문에, 보안 연구원들은 다른 사건과 이 캠페인과의 관계를 파악하고 전체 작전에 대한 더욱 명확한 그림을 그릴 수 있었습니다.






출처 : 

https://www.bleepingcomputer.com/news/security/new-chainshot-malware-found-by-cracking-512-bit-rsa-key/

https://researchcenter.paloaltonetworks.com/2018/09/unit42-slicing-dicing-cve-2018-5002-payloads-new-chainshot-malware/



티스토리 방명록 작성
name password homepage