지난주, 미국 매체들은 러시아가 미국 원자력 발전소 및 핵개발 시스템을 타겟으로 공격을 거행했다는 충격적인 소식을 전했습니다. 그리고 이 소식은 미국의 국토안보부 DHS와 연방조사국 FBI의 합동 보고서를 근거로 전해졌습니다.
공격자는 러시아 해킹그룹이다?
뉴욕타임즈는 이번 해킹 공격 배후에는 러시아 스파이 조직이 있다고 밝혔습니다. 이 조직의 이름은 Energetic Bear, 또 다른 보안보고서에는 Dragonfly 혹은 Crouching Yeti 라고도 불리웁니다. 이 조직은 2010년부터 활동하기 시작하였으며, 최소 2014년 이후 원자력 기업들을 공격타겟으로 정한 것으로 추측됩니다.
DHS와 FBI의 합동조사로 밝힌 해커조직의 공격목표리스트에는 캔자스벌링턴에 위치하고 있는 Wolf Creek원자력 운영회사도 포함되어 있었습니다.
뉴욕타임즈는 이번 공격에 대해 자세히 언급은 하지 않았지만, 이번 공격으로 인해 보안레벨을 두번째 높은 단계로 상향했다고 밝혔습니다.
Template Injection 공격 방식 분석
일반적으로 공격에 사용되는 이메일첨부파일 워드문서들은 악성코드를 실행시키는 스크립트나 매크로가 포함되어 있습니다. 하지만 이번 공격에 사용된 첨부파일에는 어떠한 악성코드도 포함되어 있지 않았습니다.
많은 사용자들은 이번 공격이 2015년과 2016년 우크라이나 원자력 발전소 공격과 유사하다고 생각합니다. 우크라이나 원자력 발전소 해킹은 BlackEnergy 와 Industroyer 악성코드를 이용한 공격이였습니다.
이 전에 시스코에서 이번 사건을 매우 중대한 사건이라고 인식하고 있습니다.
2017년 5월부터, Energetic Bear조직은 원자력 기업들에 대량의 이메일을 보냈습니다. 이 악성이메일에는 이력서나 환경보고서를 위장한 악성 DOCX문서가 포함되어 있었습니다.
<이미지 출처 : http://blog.talosintelligence.com/2017/07/template-injection.html>
DOCX문서를 이용한 신분증명 정보 탈취
시스코는 이 DOCX 문서에 대해 초기 분석을 진행할 때, 이메일 첨부파일 중 VBA 매크로 악성코드나 다른 스크립트가 발견될 것이라고 추측하였습니다. 하지만 어떠한 매크로나 EXP가 발견되지 않았으며, 이에 보안연구원들은 해당 DOCX 문서를 정상으로 간주하였습니다.
<이미지 출처 : http://blog.talosintelligence.com/2017/07/template-injection.html>
유사한 다른 툴로 진행한 검사에서도 특별한 점을 발견하지 못했습니다.
<이미지 출처 : http://blog.talosintelligence.com/2017/07/template-injection.html>
그들은 샘플에서 채취한 IP를 이용하여 샌드박스를 설치 후, 샌드박스를 실행하였지만 악성코드는 서버에 어떠한 request도 보내지 않았습니다. 그래서 연구원들은 폐쇄된 환경에서 TCP 80포트를 스니핑 해보기로 했습니다.
이러한 방법을 이용하자 Microsoft Office 로딩 시 매우 흥미로운 상태정보가 확인되었습니다.
<이미지 출처 : http://blog.talosintelligence.com/2017/07/template-injection.html>
Template Injection 이란?
해당 문서가 특정 IP로부터 Template을 로딩하려도 시도합니다. 하지만 연구원들이 설치해 놓은 TCP 80포트 트랩에는 걸리지 않았습니다. 하지만 연구원들은 한차례 실패한 TCP 445 handshake를 발견하였습니다. 그래서 이 정보를 기반으로 파일의 내용을 분석하여 관련 IP주소를 얻을 수 있었습니다.
<이미지 출처 : http://blog.talosintelligence.com/2017/07/template-injection.html>
원래 이 공격은 악성 SMB 서버를 이용하여 몰래 사용자들의 계정정보를 유출하는데 사용되었습니다. 이 샘플의 인젝션된 template은 SMB를 통해 외부 서버와 연결을 맺는 통로역할을 하고 있었습니다. 하지만 이것 만으로 이 샘플이 어떻게 TCP 80 포트를 통해 통신이 가능한지를 밝혀낼 수는 없었습니다. 연구원들은 더 깊은 연구 결과, 그 원인이 호스트 설정에 있을 수도 있다고 생각했습니다. template request 중 WebDAV 연결은 SMB 세션을 통해 설정되는 것입니다.
<이미지 출처 : http://blog.talosintelligence.com/2017/07/template-injection.html>
즉, 이번 공격은 이력서와 환경보고서를 위장한 DOCX악성파일이 기존의 공격방식에서 벗어났다는 것입니다. 공격자는 사용자가 첨부파일을 실행할 때 워드 프로그램이 실행되는데, 그 때 공격자는 자신의 SMB 서버를 통해 template을 내려받는 것입니다.
오픈소스 툴 Phishery과의 관계
호스트에서 원격 SMB서버로 련경릉 할 때 공격자들은 실, 공격자는 로컬 호스트를 속여 로컬 네트워크의 자격증명을 얻으려 시도하는데, 이는 Template Injection 공격방식으로 매우 오래된 공격기술로, 지난 몇년동안 한번도 사용된 적이 없는 공격입니다.
연구원들은 이번에 사용된 Template Injection 공격과 Phishery 라고 불리우는 오픈소스 툴이 연관되어 있을 것으로 추측하였습니다.
공격 결과는 아직 미지수
원자력, 핵원자력 및 기타 기반시설들은 사이버공격의 표적이 되고 있습니다. 5월 11일, 트럼프는 연방 네트워크와 국가기반시설 네트워크의 보안을 강화하라는 명령을 하기도 했습니다.
현재까지 진행된 공격들은, 어쩌면 원자력 및 기타 기반시설의 공격을 위한 탐색공격 일수도 있습니다. 공격자들이 어떠한 목적을 가지고 공격을 했는지 현재까지 아직 조사중이지만, 확실한 것은 내부 계정정보들을 모두 바꿔야 된다는 것입니다.
알약에서는 해당 악성코드에 대하여 Trojan.Downloader.DOC.gen로 탐지중에 있습니다.
출처 :
https://www.nytimes.com/2017/07/06/technology/nuclear-plant-hack-report.html
http://www.securityweek.com/template-injection-used-attacks-us-critical-infrastructure
http://blog.talosintelligence.com/2017/07/template-injection.html
CIA 요원들이 인터넷 없이 해킹 된 스마트폰으로부터 은밀히 데이터를 훔치는 방법 (0) | 2017.07.14 |
---|---|
1,400만 버라이존 고객들의 데이터, 보호 되지 않은 AWS 서버에 노출 돼 (0) | 2017.07.14 |
Adwind RAT이 돌아왔다! 크로스 플랫폼 멀웨어, 항공 우주 업계 노려 (0) | 2017.07.13 |
Avanti Markets 자동판매기, 생체인증정보를 포함한 고객정보 유출 (0) | 2017.07.12 |
구글 크롬, 중국 SSL 인증 기관인 WoSign과 StartCom 금지시켜 (0) | 2017.07.12 |
댓글 영역