포스팅 내용

국내외 보안동향

명령 제어 위해 Gmail 사용하는 ComRAT 백도어 변종 발견

New Turla ComRAT backdoor uses Gmail for Command and Control


사이버 보안 연구원들이 Agent.BTZ로도 알려진 ComRAT 백도어의 새로운 버전을 발견했습니다. 


이 악성코드는 Turla APT 그룹의 과거 캠페인에서 사용된 적이 있습니다.


Agent.BTZ의 최신 버전은 2008년 중동의 미군 네트워크를 해킹하는데 사용되었습니다.


이 새로운 변종은 Gmail의 웹 인터페이스를 활용해 은밀히 명령을 수신하고 민감 데이터를 유출시킵니다.


ComRAT v4는 2017년 활동을 시작했으며, 아직 많은 공격자들이 사용하고 있습니다. 


이 새로운 변종은 최근 동유럽의 두 외무부와 코카서스 지역의 국회를 노린 공격에 사용되었습니다.



<이미지 출처: https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/>



이 새로운 버전은 처음부터 직접 개발되었으며, 이전 버전보다 훨씬 복잡합니다.


Snake, Uroburos, Waterbug, Venomous Bear, KRYPTON으로도 알려진 Turla APT 그룹은 최소 2007년부터 활동을 시작해 중동, 아시아, 유럽, 북미, 남미, 구 소련 지역의 외교 및 정부 기관, 민간 기업을 공격해 왔습니다.


이 그룹의 공격을 받은 피해자 수는 어마어마하며, 스위스 국방 회사인 RUAG, 미 국무부, 미 중앙 사령부 또한 포함됩니다.


ComRAT은 C++로 개발된 정교한 백도어로 감염된 기기에서 추가 페이로드를 실행하거나 파일을 추출하는 등 많은 악성 행위를 실행할 수 있습니다.


이 백도어는 FAT16으로 포맷된 가상 FAT16 파일 시스템을 사용하며, PowerStallion 파워 셸 백도어를 포함한 기존 방식을 통해 배포됩니다.


ComRAT은 아래 C2 채널을 활용합니다.

HTTP: ComRAT v3과 정확히 동일한 프로토콜 사용

Email: 명령을 수신하고 데이터를 유출하기 위해 Gmail 웹 인터페이스 사용



ComRAT v4의 새로운 컴포넌트는 아래와 같습니다.

오케스트레이터: explorer.exe 프로세스에 주입되어 ComRAT 기능 대부분을 제어하는데 사용됨

통신 모듈(DLL): 오케스트레이터가 기본 브라우저에 주입함. 네임드 파이프를 통해 오케스트레이터와 통신함

가상 FAT16 파일 시스템: 구성 및 로그 파일을 포함함



ComRAT의 주 용도는 기밀문서를 훔쳐 유출하는 것입니다. 


한 공격 사례에서는 운영자가 조직의 문서를 저장하고 있는 피해자의 중앙 MS SQL 서버 데이터베이스에 접근하기 위해 .NET 실행파일을 배포한 것을 발견했습니다.


탐지를 피하기 위해 오케스트레이터 DLL 및 지속성을 위한 예약 작업을 제외한 ComRAT 파일은 모두 가상 파일 시스템(VFS)에 저장됩니다. 


기본 VFS 컨테이너 파일은 처음 실행될 때 드롭되는 오케스트레이터 컴포넌트에 하드코딩 되어 있습니다.


C&C 메일 모드는 Gmail 이메일 제공자에 따라 달라집니다.



<이미지 출처: https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf>



오케스트레이터는 Gumbo HTML 파서를 통해 '/etc/transport/mail/mailboxes/0/command_addr'에서 받은 편지함 HTML 페이지를 파싱하여 이메일을 읽습니다.


그리고  '/etc/transport/mail/mailboxes/0/cookie'에서 Gmail 인증을 위한 쿠키를 찾아냅니다. 쿠키의 수명은 제한적이기 때문에 매번 업데이트되어야 합니다.


이 Gmail 파서는 VFS의 “subject.str” 파일과 이메일의 제목을 매칭시킵니다.


ComRAT 백도어는 위 조건을 만족하는 이메일의 첨부파일을 다운로드합니다. (예: “document.docx,” “documents.xlsx”) 


이후 두 번 처리하는 것을 방지하기 위해 해당 이메일을 삭제합니다.


이 첨부파일은 오피스 문서가 아니라 악성코드가 실행할 특정 명령어를 포함된 암호화된 데이터 덩어리입니다.


백도어는 해당 명령에 대한 결과를 포함하는 첨부파일을 만듭니다. 파일 이름은 랜덤 숫자 20개와 이중 확장자인 .jpg.bfe로 구성됩니다.


한 달 동안 이 명령이 전송된 시간을 확인해본 결과, 운영자는 UTC+3 또는 UTC+4 시간대를 사용하고 있음을 알아낼 수 있었습니다.


ComRAT v4는 2017년에 공개된 악성코드 패밀리를 완전히 개선했습니다.


가장 흥미로운 기능은 FAT16 포맷을 사용하는 가상 파일 시스템과 명령을 수신하고 데이터를 유출하기 위해 Gmail 웹 UI를 사용한다는 점입니다. 


악성 도메인을 사용하지 않기 때문에 일부 보안 제어를 우회할 수 있습니다.


현재 알약에서는 해당 악성코드 샘플에 대해 'Backdoor.Turla.A'으로 탐지 중에 있습니다.





출처:

https://securityaffairs.co/wordpress/103790/malware/turla-comrat-backdoor.html

https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/

https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf

티스토리 방명록 작성
name password homepage