새로운 설치 기술을 사용하는 DePriMon 다운로더 발견

DePriMon downloader uses a never seen installation technique

Lambert (Longhorn)APT 그룹이 악성코드 배포를 위해 사용하는 새로운 DePriMon 다운로더가 발견되었습니다.

2017년 시만텍에서 공개한 보고서에 따르면, Longhorn은 2011년부터 활동해온 북미의 해킹 그룹으로, 이 그룹은 매우 복잡한  제로데이 익스플로잇과 악성코드를 사용하여 정부와 금융, 에너지, 통신사, 교육, 항공 우주를 포함한 거의 모든 업계 조직에 APT 공격을 실행했습니다.

이들의 타깃 국가는 중동, 유럽, 아시아, 아프리카였습니다.

시만텍은 2017년 총 16개국의 최소 40 타깃이 이 공격에 피해를 입었다고 밝혔습니다.

이 그룹이 사용하는 악성코드 중 하나는 Black Lampert로 감염 시스템을 제어하기 위해 사용합니다. 수동 네트워크 기반 백도어인 Wite Lampert, 2단계 페이로드인 Blue Lampert와 Green Lampert 및 Pink Lampert 툴도 사용합니다.

DePriMon 다운로더는 새로운 로컬 포트를 등록함으로써 지속성을 얻어냅니다.

ESET에 따르면, DePriMon은 최소 2017년 3일부터 활동을 시작했으며, 유럽 중부의 사기업과 중동의 컴퓨터 수십 대에서 발견되었습니다.

C&C 서버에서 사용하는 도메인명에 아랍 단어가 포함되어 있어, 이 공격자는 중동의 타깃을 노리고 있는 것으로 추측해볼 수 있습니다.

DePriMon은 메모리에 다운로드되어 리플렉티브 DLL 기술(reflective DLL)을 사용하여 DLL로써 실행됩니다. 또한 키, 값과 함께 등록되며 이 작업을 위해서는 관리자 권한이 필요합니다.

등록된 DLL은 시스템 시작 시 spoolsv.exe이 시스템 권한으로 로드합니다.

“첫 단계에서 DePriMon의 2단계 및 3단계가 피해자의 디스크로 전달됩니다. 2단계는 자기 자신을 설치하고 암호화된 하드코딩 경로를 통해 3단계를 설치합니다. 이는 첫 단계 공격이 이루어진 후 구성되었을 가능성이 있습니다.”

“이 악성코드의 설치 기술은 매우 독특합니다. MITRE ATT&CK은 이 기술을 지속성을 가지고 권한을 상승시키는 “Port Monitors”라 설명했습니다. DePriMon은 이 기술을 사용하는 최초 악성코드인 것으로 판단됩니다.”

이 악성코드는 C2 통신을 위해 마이크로소프트의 SSL/TLS, 시큐어 채널 구현을 사용합니다. 연구원들은 DePriMon 악성코드의 제작자가 분석을 막기 위해 암호화에 많은 공을 들였다고 밝혔습니다.

DePriMon은 TLS를 통해 통신을 보호하고, 연결은 Windows 소켓을 통해 초기화되며, Negotiate / NTLM SSP로 인증된 SSPI(Security Support Provider Interface) 세션으로 초기화를 계속할 수 있습니다.

<출처: https://www.welivesecurity.com/2019/11/21/deprimon-default-print-monitor-malicious-downloader/>

ESET은 “DePriMon은 개발자들이 구조를 만들고 중요 컴포넌트를 제작하는데 상당히 공을 들인 매우 고급화된 다운로더입니다.” “DePriMon은 페이로드를 다운로드하고 실행하며, 시스템과 사용자에 대한 기본 정보를 수집하도록 설계된 강력하고 유연하며 지속적인 툴입니다.”라고 결론지었습니다.

출처 : 

https://securityaffairs.co/wordpress/94204/malware/deprimon-downloader-installation-technique.html

https://www.welivesecurity.com/2019/11/21/deprimon-default-print-monitor-malicious-downloader/