상세 컨텐츠

본문 제목

해커들, WAV 오디오 파일에 백도어와 크립토마이너 숨겨

국내외 보안동향

by 알약(Alyac) 2019. 10. 17. 16:29

본문

Attackers Hide Backdoors and Cryptominers in WAV Audio Files


새로운 악성 캠페인을 실행하는 공격자들이 WAV 오디오 파일을 사용해 타깃 시스템에 백도어와 모네로 크립토마이너를 숨기고 드롭하는 것으로 나타났습니다.


과거에는 스테가노그라피 기술을 사용하여 JPEG나 PNG 이미지 파일에 페이로드를 주입하는 방식 대부분이었는데, 오디오 파일을 악용한 것이 발견된 것은 이번이 두 번째 입니다.


지난 6월, 러시아의 지원을 받는 Turla 그룹(a.k.a Waterbug, Venomous Bear)이 Metasploit Meterpreter 백도어를 WAV 트랙에 내장시켜 해킹된 피해자의 컴퓨터에 드롭한 것을 발견되었습니다.


잘 보이는 곳에 숨겨져 있는 크립토마이너


공격자는 XMRig 모네로 크립토마이너 또는 리버스 쉘을 시작하도록 설계된 Metasploit 코드에 타깃 기기를 감염시키기 위해 스테가노그라피 기술을 사용했습니다.


WAV 파일은 악성 콘텐츠를 은밀하게 디코딩 및 실행하기 위한 로더 컴포넌트와 짝을 이루고 있었습니다.


파일이 재생될 경우, 일부 WAV 파일은 아무런 문제 없이 음악을 재생했고 다른 파일은 단순히 백색 잡음만을 재생했습니다.


Metasploit과 XMRig 페이로드는 동일한 기기에서 발견되었습니다.


이는 운영자가 피해자의 기기를 크립토재킹 목적으로 사용하는 동시에 C&C 역방향 연결을 시작하도록 이 캠페인을 설계했다고 추측할 수 있습니다.


또한 WAV 파일 로더가 악성코드를 디코딩 및 실행하기 위해 아래 3가지 방법을 사용한다는 것이 발견되었습니다.


- PE 파일을 디코딩 및 실행하기 위해 LSB(Least Significant Bit)을 사용하는 로더

- PE 파일을 디코딩 및 실행하기 위해 Rand() 기반 디코딩 알고리즘을 사용하는 로더

- 쉘코드를 디코딩 및 실행하기 위해 Rand() 기반 디코딩 알고리즘을 사용하는 로더


연구원들은 공격자가 컨테이너 포맷의 구조와 프로세싱을 손상시키지 않을 경우, 3 가지 기술 모두 이론적으로 공격자들이 모든 파일 형식 내에 페이로드를 숨길 수 있다고 밝혔습니다.


또한 이 전략을 사용하면 코드가 메모리 내에서만 공개되기 때문에 탐지가 어렵게 되어 난독화 계층이 추가된다고도 밝혔습니다.


비슷하지만 달라


Turla 그룹은 Metasploit 백도어를 드롭하기 전 WAV 오디오 파일과 스테가노그라피 로더를 사용했습니다.


보안 연구원은 이번 공격이 다른 공격자들 또한 유사한 악성 툴 및 TTP로 사용할 수 있어 더욱 위험하다고 밝혔습니다.


현재 알약에서는 해당 악성코드에 대해 ‘Backdoor.Turla.A’으로 탐지 중에 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/attackers-hide-backdoors-and-cryptominers-in-wav-audio-files/

https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html

관련글 더보기

댓글 영역