해커들, 탐지를 피하기 위해 새로운 코드 인젝션 기술 사용하는 것으로 나타나

Hackers Found Using A New Code Injection Technique to Evade Detection

연구원들이 Early Bird라는 새로운 코드 인젝션 기술을 발견했습니다. 

이 기술은 정교한 악성코드 최소 3개에서 사용 되어 공격자들이 탐지를 피하는 것을 도왔습니다.

Early Bird는 메인 스레드가 시작하기 전 공격자들이 악성 코드를 정식 프로세스에 인젝션해 대부분의 안티 바이러스 제품들이 사용하는 윈도우 훅 엔진의 탐지를 피할 수 있는 “간단하지만 강력한” 기술입니다.

연구원들은 Early Bird 코드 인젝션 기술이 “악성 코드를 쓰레드 초기화의 매우 이른 단계에서 로드하여, 많은 보안 제품들이 훅을 배치하기도 전에 로드 되어 악성코드가 탐지 되지 않고 악성 행동을 할 수 있다”고 밝혔습니다.

이 기술은 탐지 되기 쉬운 API 호출에 의존하지 않아 악성코드가 안티 바이러스 제품이 탐지할 수 없는 방식으로 프로세스에 코드를 인젝션시킬 수 있는 AtomBombing 코드 인젝션 기술과 유사합니다.

▶ Early Bird 코드 인젝션 기술의 동작 방식

Early Bird 코드 인젝션 방식은 특정 스레드의 컨텍스트에서 비동기적으로 코드를 실행할 수 있게 해주는 윈도우의 빌트인 APC(비동기 프로시저 호출: Asynchronous Procedure Calls)기능에 의존합니다.

아래는 공격자가 정식 프로세스에 악성 코드를 인젝션해 안티 바이러스 프로그램이 스캔을 시작하기 전 실행되도록 하는 방법에 대한 간단한 단계별 설명입니다.

- 정식 윈도우 프로세스의 일시 중지 된 프로세스를 생성 (예: svchost.exe)

- 해당 프로세스(svchost.exe)에 메모리를 할당하고, 할당 받은 메모리 영역에 악성 코드를 쓴 다음

- 해당 프로세스(svchost.exe)의 메인 쓰레드에 비동기 프로시져 호출 (APC)을 대기시키고

- APC는 알람 가능한 상태(alertable state)일 때만 프로세스를 실행할 수 있기 때문에, NtTestAlert 함수를 호출해 메인 쓰레드가 다시 시작되는 즉시 커널이 악성코드를 실행하도록 함

연구원들은 적어도 아래 악성코드 3개가 Early Bird 코드 인젝션 기법을 사용하고 있었다고 밝혔습니다.

- 이란 해킹 그룹 APT33이 개발한 "TurnedUp" 백도어

- "Carberp" 뱅킹 멀웨어의 변종

- "DorkBot" 악성 코드

2017년 9월 발견 된 TurnedUp은 타겟 시스템에서 데이터를 추출하고, 리버스 쉘(reverse shell)을 만들고, 스크린 샷을 찍고 시스템 정보를 긁어 모을 수 있는 기능이 있는 백도어입니다.

<이미지 출처 : https://thehackernews.com/2018/04/early-bird-code-injection.html>

Dorkbot은 봇넷 악성코드로 소셜 미디어, 메시징 앱을 통한 링크 또는 감염 된 이동 저장 장치를 통해 배포 되며 사용자의 뱅킹 서비스를 포함한 온라인 서비스의 크리덴셜을 훔치고, DDoS공격에 참여시키고, 피해자의 컴퓨터에 다른 악성코드를 전달하기 위해 스팸을 보냅니다.

출처 :

https://thehackernews.com/2018/04/early-bird-code-injection.html