포스팅 내용

국내외 보안동향

HTTP 에러코드에서 명령을 가져오는 새로운 COMpfun 악성코드 변종 발견

New COMpfun malware variant gets commands from HTTP error codes


새로운 COMpfun 원격 액세스 트로이목마(RAT) 변종이 흔하지 않은 HTTP 상태 코드를 통해 제어되는 것으로 나타났습니다. 이 악성코드는 유럽의 외교 기관을 노린 공격에 사용되었습니다.


이 악성코드는 G-Data에서 2014년 처음 발견 및 분석하였습니다.


2019년에는 카스퍼스키가 암호화된 트래픽에 중간자 공격이 가능하며 코드가 매우 유사한 또 다른 트로이목마를 발견해 Reductor라 명명했습니다.


카스퍼스키는 이 악성코드가 Turla APT와 관련이 있을 가능성이 있다고 밝혔습니다.



업그레이드된 원격 접속 트로이목마


2019년 11월 카스퍼스키에서 발견한 새로운 COMpfun 악성코드 변종은 RAT 악성코드 기능을 모두 갖추고 있었습니다.


일단 타깃 시스템을 감염 시키는데 성공하면 정보를 수집하여 압축 후 C2 서버로 전송합니다.


COMpfun은 지리적 위치 정보와 시스템 데이터를 수집하며, 윈도우 창의 제목과 모든 키 입력을 기록하고, 스크린샷을 찍어 피해자의 화면에서 민감 정보를 수집합니다.

 


<COMpfun 감염 체인>

<이미지 출처: https://securelist.com/compfun-http-status-based-trojan/96874/>



다른 RAT과 달리 이는 해킹된 기기에 연결된 모든 이동식 기기 또한 감염 시킬 수 있습니다.

 


<트로이목마 기능>

<이미지 출처: https://securelist.com/compfun-http-status-based-trojan/96874/>



악성코드, HTTP 상태 코드를 통해 제어돼


새로운 COMpfun 버전에 추가된 것 중 가장 흥미로운 기능은 HTTP 상태 메시지 기반 통신 모듈입니다. 


이를 통해 이 악성코드 제작자는 기존에 알려진 악성 트래픽 패턴을 피하고 탐지를 우회할 수 있었습니다.


전문가는 드문 HTTP/HTTPS 상태 코드(check IETF RFC 7231, 6585, 4918)를 활용하는 C2 커뮤니케이션 프로토콜을 발견했다고 밝혔습니다.


감염된 시스템이 수신하는 HTTP 상태 코드에 따라 공격자는 수집된 모든 정보를 C2 전송, 지속성 획득, 호스트 지문 채취, 네트워크 리소스 열거, USB 이동식 기기로 전파 등과 같은 명령을 내릴 수 있습니다.


 

<감염된 호스트를 제어하기 위한 HTTP 상태 코드>

<이미지 출처: https://securelist.com/compfun-http-status-based-trojan/96874/>



COMpfun RAT에 관한 자세한 내용은 카스퍼스키의 보고서에서 확인하실 수 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/new-compfun-malware-variant-gets-commands-from-http-error-codes/

https://securelist.com/compfun-http-status-based-trojan/96874/

티스토리 방명록 작성
name password homepage