상세 컨텐츠

본문 제목

해커들, 악성 페이로드를 숨기기 위해 가짜 윈도우 에러 로그 사용

국내외 보안동향

by 알약(Alyac) 2020. 6. 22. 09:39

본문

Hackers use fake Windows error logs to hide malicious payload


해커들이 스크립트 기반 공격 기반을 마련하기 위해 악성 페이로드를 디코딩하도록 설계된 16진수 값으로 위장한 ASCII 문자를 저장할 목적으로 가짜 에러 로그를 사용하고 있는 것으로 나타났습니다.


이 트릭은 결국 정찰 목적 스크립트를 전달하게 되는 중간 단계 PowerShell 명령을 포함한 더욱 긴 체인의 일부입니다.



행간 읽기


Huntress Labs는 타깃 기기에서 지속성을 획득한 공격자가 공격 루틴을 수행하기 위한 특이한 트릭을 실행하는 공격 시나리오를 발견했습니다.


공격자가 이미 타깃 시스템에 접근해 지속성을 획득했을 경우, 응용 프로그램의 윈도우 에러 로그를 모방한 “a.chk” 파일을 사용했습니다. 


파일의 마지막 열은 16진수 값인 것처럼 보입니다.



<이미지 출처: https://blog.huntresslabs.com/hiding-in-plain-sight-556469e0a4e>



하지만 이는 사실 ASCII 문자의 10진 표현입니다. 디코드 되면 공격의 다음 단계에서 C&C 서버에 연결하는 스크립트를 만듭니다.


Huntress Labs의 보고에 따르면 가짜 로그 파일을 간략히 살펴볼 경우 데이터에 타임스탬프와 윈도우 내부 버전 넘버에 대한 참조가 포함되어 있기 때문에 어떠한 플래그도 발생하지 않을 것으로 보입니다.


“이를 처음 봤을 때는 어떤 애플리케이션의 로그인 것처럼 보였습니다. 이는 타임스탬프와 윈도우 8 및 윈도우 서버 2012의 내부 버전인 OS 6.2에 대한 참조를 포함하고 있었습니다.”


자세히 살펴볼 경우 공격자가 관련 데이터 덩어리를(숫자) 추출하고 인코딩된 페이로드를 빌드하기 위해 사용하는 트릭을 발견할 수 있습니다. 


아래에서 숫자가 텍스트로 변환되어 스크립트를 구성하는 것을 확인할 수 있습니다.

 


<이미지 출처: https://blog.huntresslabs.com/hiding-in-plain-sight-556469e0a4e>



Ferrell은 페이로드가 호스트 내 합법적인 것으로 위장한 예약 작업(한 글자만 다름) 및 동일한 설명을 사용한다고 설명했습니다.


실행 파일 2개는 무해한 것으로 보이기 위한 합법적인 파일의 이름이 변경된 복사본이었습니다.



합법적인 파일 명 사용해


이중 한 파일의 이름은 “BfeOnService.exe” 이며, 마이크로소프트 HTA(HTML Applications)를 실행하는 유틸리티인 “mshta.exe” 파일의 복사본입니다. 


이는 악성 HTA 파일을 배치하는데 악용되어 왔습니다. 이 경우 PowerShell을 시작하고 명령을 실행하기 위해 VBScript를 실행합니다.


다른 하나의 이름은 “engine.exe” 이며, 이는 “powershell.exe”의 복사본입니다. 이 파일의 목적은 페이로드를 얻기 위해 가짜 로그에서 ASCII 번호를 추출하여 변환하기 위한 것입니다.



<이미지 출처: https://blog.huntresslabs.com/hiding-in-plain-sight-556469e0a4e>



Ferrell은 스크립트가 이러한 방식으로 디코딩된 스크립트가 우회를 위해 AMSI(Antimalware Scan Interface)에 in-memory 패치를 적용한다고 밝혔습니다.


다운로더 역할을 하는 두 번째 명령은 동일한 기능을 가진 PowerShell 명령을 받아오기 위해 실행됩니다. 


이 공격 체인의 끝에는 해킹된 시스템에 대한 정보를 수집하는 페이로드가 있습니다.


공격자의 의도가 무엇인지는 정확히 알 수 없지만, 마지막 스크립트는 설치된 브라우저, Lacerte, ProSeries, Kaspersky, Comodo, Defender와 같은 일반 및 특정 세무 및 보안 프로그램과 PoS 소프트웨어에 대한 정보를 수집합니다.


이는 그리 정교한 공격은 아니지만, 사이버 범죄자들은 목표 네트워크에서 공격 발판을 마련하고 창의적인 방법을 통해 보상을 받을 수 있는 수단을 모색하고 있음을 보여줍니다.





출처:

https://www.bleepingcomputer.com/news/security/hackers-use-fake-windows-error-logs-to-hide-malicious-payload/

https://blog.huntresslabs.com/hiding-in-plain-sight-556469e0a4e

관련글 더보기

댓글 영역