상세 컨텐츠

본문 제목

Slack, GitHub를 통신 채널로 사용하는 새로운 SLUB 백도어 발견

국내외 보안동향

by 알약(Alyac) 2019. 3. 8. 11:18

본문

New SLUB Backdoor Uses Slack, GitHub as Communication Channels


GitHub Gist 서비스와 Slack 메시징 시스템을 통신 채널로 사용하며 워터링 홀 공격을 통해 특정 공격자들만을 노리는 새로운 백도어가 발견되었습니다.


워터링홀 공격


육식동물인 사자가 초식동물 사슴 등을 습격하기 위해 물웅덩이(Watering Hole) 근처에서 매복하고 있는 형상을 상징적으로 표현한 사이버 공격으로 사전에 공격 대상에 대한 정보를 확보해, 관련 분야의 웹 사이트를 해킹하고, 웹 사이트에 악의적인 취약점(Exploit) 코드를 삽입해 해당 사이트에 접속한 사람들만 감염되도록 만든 표적 공격



Trend Micro cyber Safety Solutions 팀이 발견한 이 백도어는 SLUB이라 명명되었습니다. 이 백도어는 다단계 감염 프로세스의 일환이며 C++로 프로그래밍 되었습니다.


SLUB은 “Gist 스니펫(Snippets) 명령어 추출”, “Slack 채널 통신 파싱”과 같은 HTTP 요청을 프로그래밍하기 위해 정적으로 연결된 curl, boost, JsonCpp 라이브러리를 사용합니다.


이 캠페인은 다단계 감염 프로세스에서 GitHub과 Slacks를 악용하고 있습니다.


워터링 홀 공격에서 타깃 손상에 사용된 윈도우 익스플로잇


SLUB 공격자는 윈도우 VBScript 엔진에 존재하는 원격 코드 실행 취약점(CVE-2018-8174) 익스플로잇을 추가하여 2018년 5월 손상된 웹사이트에 패치를 적용하였습니다.


또한, PowerShell을 사용하여 DLL 파일로 위장한 다운로더의 형태로 1단계 공격을 드랍 및 실행하도록 했습니다.


Trend Micro 연구원들은 SLUB 공격자가 정치활동에 적극적인 사람들이 흥미를 가질 수 있는 미끼를 사용하였으며, 목표로 삼고 있는 단체와 개인의 성격을 엿볼 수 있다고 분석했습니다.


SLUB 백도어 켐페인은 아래와 같은 단계로 진행됩니다.


<이미지 출처: https://blog.trendmicro.com/trendlabs-security-intelligence/new-slub-backdoor-uses-github-communicates-via-slack/>


일단 공격이 시작되면, 1단계에서 다운로더는 손상된 장비의 안티바이러스 프로세스가 실행 중인지 확인한 후 탐지될 경우 자동으로 종료합니다. 


이는 이 멀웨어가 안티 악성코드 제품에 의해 탐지되지 못한 이유를 알 수 있으며, SLUB 켐페인 공격자들에 의해 구현된 조치일 가능성이 높습니다.


SLUB 백도어가 확인하는 안티바이러스 프로세스 목록


V3Tray.exe

AYAgent.aye

navapsvc.exe

ashServ.exe

avgemc.exe

bdagent.exe

ZhuDongFangYu.exe


그리고 즉시 2단계 감염인 SLUB 악성코드를 다운로드 및 실행하고 윈도우 커널 모드 드라이버에 존재하는 CVE-2015-1701 취약점을 악용하여 권한을 상승시킵니다. 


공개적으로 사용이 가능한 Win32k LPE 취약점용 익스플로잇을 수정한 버전을 사용합니다.


<이미지 출처: https://blog.trendmicro.com/trendlabs-security-intelligence/new-slub-backdoor-uses-github-communicates-via-slack/>


SLUB 백도어는 윈도우 레지스트리에 Run 키를 추가함으로써 공격자들이 손상된 컴퓨터에서 실행할 악성코드 명령들을 보관하는 곳에 Gist 스니펫을 다운로드합니다.


Trend Micro의 연구자들은 Gist 스니펫을 사용하여 SLUB 백도어로 명령을 내리는데, 공격자는 기존의 워터링 홀 공격과 달리, 특정 피해자들의 대한 명령을 개별적으로 지정하지 않습니다. 


이는 이 캠페인의 목적이 감염된 개별 타깃을 악용하는 것이 아니라 데이터 추출 및 수집을 위해 설계되었기 때문입니다.


<이미지 출처: https://blog.trendmicro.com/trendlabs-security-intelligence/new-slub-backdoor-uses-github-communicates-via-slack/>


SLUB가 Gist 스니펫 명령을 실행한 후에 얻는 결과는 특적 작업 공간 내에서 Slack 채널로 유출됩니다.


또한 이 악성코드는 피해자의 데스크탑 폴더 내용과 로컬 스카이프 아카이브를 다른 데이터와 함께 압축하고, 공격자가 제어하는 File.io 클라우드 저장소로 업로드합니다.


Trend Micro에 따르면 공격자가 사용하는 툴, 기술 및 절차(TTP, Tools, Techniques, Procedures)를 분석한 결과 이 위협 행위는 전형적인 사이버 범죄가 아니라 숙련된 공격자가 실행하는 은밀한 타깃 공격인 것으로 추측된다고 밝혔습니다.


추가적으로, Trend Micro 연구원들은 "이와 관련된 다른 어떠한 공격도 찾을 수 없었으며, 이렇게 커스터마이즈된 백도어를 다른 곳에서도 보지 못했다


유사한 샘플을 찾고자 노력했지만 단 한 건도 발견하지 못했습니다. 따라서 공격자가 직접 악성코드를 개발했거나, 유출된 적이 없는 개발자의 코드를 가져온 것으로 보입니다.”라고 언급했습니다.

 

<이미지 출처: https://blog.trendmicro.com/trendlabs-security-intelligence/new-slub-backdoor-uses-github-communicates-via-slack/>


Slack 측은 공격에 사용된 워크스페이스를 비활성화했으며, Github은 SLUB 악성코드에 명령을 내리는데 사용된 Gist 스니펫을 호스팅 하는 계정을 제거했습니다.


현재 알약에서는 해당 백도어에 대하여 Trojan.GenericKD.31722024, Trojan.GenericKD.41074373

으로 탐지 중에 있습니다.


출처:

https://www.bleepingcomputer.com/news/security/new-slub-backdoor-uses-slack-github-as-communication-channels/

https://blog.trendmicro.com/trendlabs-security-intelligence/new-slub-backdoor-uses-github-communicates-via-slack/

관련글 더보기

댓글 영역