상세 컨텐츠

본문 제목

새로운 PurpleFox 봇넷, C2 통신에 웹 소켓 사용

국내외 보안동향

by 알약4 2021. 10. 21. 09:00

본문

 

 

New PurpleFox botnet variant uses WebSockets for C2 communication

 

PurpleFox 봇넷이 새로운 취약점 익스플로잇과 페이로드를 드롭하고, C2 양방향 통신에 웹 소켓을 활용하기 시작했습니다.

 

PurpleFox 봇넷은 주로 중국에 기반을 두고 있지만 전 세계 수백 대의 손상된 서버에도 여전히 존재합니다.

 

이 봇넷의 활동은 사용 가능한 C2 서버를 가리키는 지정된 URL에서 악성 페이로드를 다운로드하는 파워셸 명령을 실행하여 시작됩니다.

 

Trend Micro의 연구원이 추적한 최근 캠페인에 사용된 이 페이로드는 세 가지 권한 상승 컴포넌트로 구성된 긴 스크립트입니다.

 

이들은 윈도우 7~10 시스템을 노리지만, 타깃은 64비트 시스템으로 제한됩니다.

 

최신 PurpleFox 변종이 악용하는 취약점은 아래와 같습니다.

 

Windows 7/Windows 서버 2008: CVE-2020-1054, CVE-2019-0808

Windows 8/Windows 서버 2012: CVE-2019-1458

Windows 10/Windows 서버 2019: CVE-2021-1732

 

PurpleFox는 호스트 시스템을 탐지하고 적절한 익스플로잇을 선택한 다음 PowerSploit 모듈을 사용해 로드합니다.

 

MSI 패키지 또한 사용자와의 어떠한 상호 작용 없이도 관리자 수준 프로세스에서 시작되며, PurpleFox의 이전 버전이 설치되어 있는지 확인 후 해당 컴포넌트를 새로운 것으로 교체합니다.

 

호스트 시스템에 설치된 백도어는 VMProtect 파일 압축 유틸리티로 난독화된 DLL 파일입니다.

 

 

<이미지 출처 : https://www.trendmicro.com/en_us/research/21/j/purplefox-adds-new-backdoor-that-uses-websockets.html>

<PurpleFox 백도어 설치 프로세스>

 

 

또한 이 악성코드는 파일, 레지스트리 키, 프로세스를 숨기는 루트킷 드라이버를 사용하여 해킹된 서버에서 탐지될 가능성을 줄입니다.

 

 

WebSocket 채널을 열어 활성 상태로 유지해

 

최근 캠페인에서 발견된 새로운 .NET 백도어는 C2 통신용 WebSocket을 활용하기 위해 초기 침입 후 며칠이 지나 드롭됩니다.

 

이 컴포넌트는 통신 구성 설정과 암호화 기능 초기화를 담당합니다.

 

악성코드에서 통신에 웹 소켓을 사용하는 것은 이례적이지만, 그럼에도 PurpleFox는 이 방법이 매우 효과적일 수 있음을 보여줍니다.

 

감염된 컴퓨터와 선택된 C2 서버 사이에서 주고받는 메시지는 세션 RSA 암호화 키 협상으로 시작됩니다. 이 첫 번째 교환 또한 기본 키를 사용하여 AES 암호화됩니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-purplefox-botnet-variant-uses-websockets-for-c2-communication/>

<AES로 암호화된 기기와 C2 간의 교환>

 

 

"keepalive" 메시지를 보낼 경우 TCP 연결이 필요한 만큼 유지됩니다.

 

TrendMicro에서 발견한 웹 소켓 명령의 목록은 광범위하며 다양한 변종 간에 일치하지 않는 점이 다소 있지만 아래 표에 모두 요약되어 있습니다.

 

 

<이미지 출처 : https://www.trendmicro.com/en_us/research/21/j/purplefox-adds-new-backdoor-that-uses-websockets.html>

<WebSocket 명령 개요>

 

 

현재까지도 PurpleFox는 여전히 활성화된 상태이며, 웹 소켓 클라이언트를 제어하는 ​​C&C 서버도 아직까지 많이 있습니다.

 

TrendMicro는 타깃 프로파일링을 통해 미국, 터키, UAE, 이라크, 사우디 아라비아에서 가장 주목할만한 활동 핫스팟을 발견했다고 보고했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-purplefox-botnet-variant-uses-websockets-for-c2-communication/

https://www.trendmicro.com/en_us/research/21/j/purplefox-adds-new-backdoor-that-uses-websockets.html

관련글 더보기

댓글 영역