은밀히 데이터를 추출하기 위해 윈도우 BITS 서비스를 사용하는 악성코드 발견

New Malware Uses Windows BITS Service to Stealthy Exfiltrate Data

사이버 보안 연구원들이 정부 지원을 받는 사이버 간첩 그룹인 Stealth Falcon과 관련된 새로운 컴퓨터 바이러스를 발견했습니다. 

이 악성코드는 탈취한 데이터를 공격자가 제어하는 서버로 은밀히 추출해 내기 위해 마이크로소프트 윈도우의 내장 컴포넌트를 악용합니다.

2012년부터 활동해온 Stealth Falcon은 주로 중동의 언론인, 활동가, 반체제 운동가들을 노려 스파이웨어를 설치하는 것으로 알려진 수준 높은 해킹 그룹입니다.

Win32/StealthFalcon이라 명명된 이 악성코드는 원격 C&C 서버와 통신하고 BITS(Windows Background Intelligent Transfer Service)를 통해 수집된 데이터를 보냅니다.

BITS는 사용하지 않는 네트워크 대역폭을 사용하여 네트워크 활동에 영향을 주지 않으면서 포그라운드 또는 백그라운드에서 기기 간에 파일을 비동기식으로 우선순위화하여 제한적으로 전송하는 윈도우의 통신 프로토콜입니다.

BITS는 software updater에서 흔히 사용되는데, 윈도우 10, 메신저 및 기타 어플리케이션의 업데이트를 설치하기 위해 마이크로소프트 서버 또는 피어로부터 파일을 다운로드할 때도 사용됩니다.

BITS 태스크는 호스트 기반 방화벽에서 허용될 가능성이 높으며 기능을 통해 자동으로 데이터 전송 속도를 조정하기 때문에 악성 코드가 위험 신호를 발생시키지 않은 채 은밀하게 백그라운드에서 실행될 수 있습니다.

API 기능을 통한 기존 통신과 비교했을 때, BITS 메커니즘은 COM 인터페이스를 통해 노출되기 때문에 보안 제품이 탐지하기가 어려워집니다.

네트워크 정전, 사용자 로그아웃, 시스템 재부팅 등의 이유로 전송이 중단된 후에도 자동으로 재개됩니다.

또한 이 악성코드는 수집한 데이터를 평문 상태로 가져가는 대신 암호화된 복사본을 생성하고 BITS 프로토콜을 통해 해당 복사본을 C&C 서버로 업로드합니다.

훔친 데이터를 성공적으로 이동시키면, 악성코드는 포렌식 분석 및 삭제된 데이터 복구를 막기 위해 랜덤 데이터로 덮어쓰기 하여 모든 로그 및 수집한 파일을 삭제합니다.

보고서에 설명된 대로, Win32/StealthFalcon 백도어는 해킹된 시스템에서 데이터를 훔치고 공격자가 C&C 서버를 통해 명령을 보내 더 많은 악성 툴을 설치하고 해당 구성을 업데이트할 수 있도록 설계되었습니다.

Win32/StealthFalcon 백도어는 2015년 생성된 것으로 보이며, 공격자가 해킹된 컴퓨터를 원격으로 제어할 수 있도록 도와줍니다. 

해당 백도어는 UAE, 사우디아라비아, 태국, 네덜란드 및 중동 국가의 외교 공관을 타깃으로 공격이 수행되었습니다.

연구원들은 해당 악성코드가 C&C 서버와 코드 베이스를 Stealth Falcon 그룹의 PowerShell 기반 백도어와 공유하고 있다고 밝혔습니다.

출처:

https://thehackernews.com/2019/09/stealthfalcon-virus-windows-bits.html

https://www.welivesecurity.com/2019/09/09/backdoor-stealth-falcon-group/