MS Office 매크로를 이용하여 키로깅 프로그램을 다운받는 공격활동 분석

MS Office 매크로를 이용하여 키로깅 프로그램을 다운받는 공격활동 분석

MWI-5: Operation HawkEye

개요

MS Office 악성코드는 90년대처럼 유행하지는 않지만, 여전히 주의해야 할 악성코드입니다. 

최근 강력한 Office 악성코드 개발툴인 Microsoft Word Intruder(MWI)가 러시아에서 개발되었습니다. WMI는 2015년 파이어아이에 의해 처음으로 공개되었지만, 이 악성코드의 파급력을 인지하지 못한 사용자들의 주목을 끌지 못했습니다. 하지만 파이어아이는 끊임없이 WMI에 관한 연구 보고서를 공개하였습니다. 

MWI을 이용한 공격 규모는 의도적으로 작은 규모를 유지하였습니다. 공격조직들은 수많은 컴퓨터들을 감염시키기 보다 몇 천대 혹은 몇 십대의 컴퓨터를 감염시켜, 백신 회사들이 관심을 갖는 것을 피했습니다.

최근 연구에 따르면, 2015년 5월부터 8월까지 다른 종류의 MWI 공격이 이루어 졌는데, 보고서에는 WMI 악성코드 내부 정보 및 내장되어 있는 MWISTAT모듈의 정보도 포함하고 있습니다. (블로그 글에서는 독자들이 이미 이 보고서들을 읽었다고 가정하고 더 자세한 정보를 제공할 예정입니다.) 이 악성코드를 통해서 최소 12개의 서로 다른 범죄조직들을 조사하였으며, 그들은 MWI악성코드 생성기를 통하여 서로 다른 40여개의 MWI 악성코드 변종들을 만들어 냈습니다.

 

MWI 악성코드의 가장 큰 특징은 상업적으로 이용되는 키로깅 툴을 이용하였으며, 아시아 대부분의 지역을 감염시켰다는 것입니다. 

감염벡터

2015년 3월 중순에 발견된 악성코드의 활동은 2015년 7월 말까지 지속적으로 포착되었습니다. 이 악성코드는 두 종류의 서로 다른 MWISTAT 서버를 사용했으며, 이후에는 어떤 활동도 확인하지 못했습니다. 이 공격의 처음 감염 벡터는 MWI 파일로부터 생성되는 실행가능한 RTF 문서를 첨부한 피싱메일 이였습니다.

공격자는 인도에서 베트남으로 구매문의를 가장한 이메일을 보냈으며, 우리는 시간이 얼마 지나지 않아 이 두 국가들이 공격자의 주요 목표국가였다는 것을 확인할 수 있었습니다. 

첫 번째 C&C서버가 차단된 후에, 공격자는 새로운 서버로 변경하였는데, 이 기간 동안 우리는 은행거래내역을 위장한 또 하나의 피싱 메일을 확인했습니다. 

시간이 지남에 따라, 우리는 이 조직이 각기 다른 첨부파일을 사용하고 있는 것을 확인할 수 있었습니다. 

최초 발견일	파일 이름	SHA1
2015-03-13	Vietnam rder.doc	bec0dbb5bd468da8f92a038d547f8e3e3bfef828
2015-05-27	Plans and Designs.doc	80ac4199c7c519cbbcc04087a684b776cfe2b24a
2015-05-29	Invoice.doc	4aa4e3d70a5af774d95db2a1926fc2c455072f73
2015-06-08		8b628278c6b032b26ac5cac84abbdb1ab0777668
2015-06-08	Payment Copy.doc	2894a0e6bf28e18cf820064dc1ad12d0fee05052
2015-06-09		e9e294e6cfaf064373e4600319657f69e2bed278
2015-06-11	Label Sample.doc	8afd513d177f99fe4ef95ba5a26c009f9e48b637
2015-06-11	Original BL	b724a030ef3d3ca5aacba76c11bbeb72193f7558
2015-06-11		27f59ac9b5796b46bb13cf9dc85bb5e8893a96d5
2015-06-12	Remodel+plan.doc	bbb7e5d092f7e4a56cf0be51d1c586c61f63f44d
2015-06-15	Shipping Doc.doc	bb33f094b2f9c940b25518efcb9eb1dc38612be8
2015-07-28	Payment copy.eml	9aa2372ebaac689c503a07a693a305aa845539b2
2015-07-28	PO_Vietnam Order.doc	05468cb85b2ef4f63ffc2256414eb984315e7600
2015-07-28		c17f283852e9054c5a99fab2ced81dcdb7717ae0
2015-07-28		5cc410e31e5e84e980039e99cae47cbabae85a5c

이 첨부파일들은 앞에서 언급했던 운송이라던지 지불영수증과 같은 주제들을 위장하고 있습니다. 

모든 악성샘플들은 HawkEye 라는 비밀번호 탈취 프로그램을 내려받습니다. 일단 사용자가 이메일에 첨부된 파일을 실행하게 되면, payload가 다운로드 및 실행되게 됩니다. 설치된 HawkEye 키로거는 사용자들의 정보들을 수집합니다. HawkEye는 상업적 키로거 툴로, 사용자가 키보드로 입력한 값 및 클립보드 안에 있는 내용들을 수집하여, 비밀번호로 추정되는 모든 정보를 수집합니다. 

이렇게 수집된 정보들은 이메일 혹은 웹서버로 전송되는데, 주로 FTP를 이용하여 전송합니다. 하지만 아래 캡쳐화면을 보면 공격자들은 이메일로 전송을 꾸준히 시도합니다.

악성코드들은 정기적으로 탈취한 정보들을 웹서버로 보내며, 암호화 되지않은 평문으로 전송합니다. 

HawkEye는 공격자들에게 아우 유용한 툴인 것 같습니다. 가장 최근 발견된 기록들은 모두 아래의 보고서들에서 확인하실 수 있습니다. 또한 MWI-5같은 경우, 트렌드 마이크로 보고서에 묘사된 범죄조식이 제작한 것으로 추정됩니다. (보고서 1, 보고서 2)

서버 구조

공격에는 MWISTAT의 C&C 서버가 악용되었습니다. 

six-bro.com

amittrade.com

Six-bro.com은 악성코드가 활동할 당시 가장 활발하게 이용되었던 서버입니다. DB에서 보면, 이 서버는 2015년 3월 중순부터 6월 말까지의 활동들과 연관이 있어 보이며, 그 이후에는 이용하지 않는 것처럼 보입니다. 서버가 운영되는 기간 동안, 여러 개의 인스톨 목록들을 확인할 수 있었으며, MWISTAT는 wetstat, webbie, sbst 3개의 각기 다른 하위 목록을 갖고 있었음을 확인할 수 있었습니다. 

2015-06-12	http://six-bro.com/webstat/img.php?id=70998668
2015-06-12	http://six-bro.com/webstat/img.php?id=33816634
2015-06-12	http://six-bro.com/webstat/img.php?id=23900374
2015-06-11	http://six-bro.com/webstat/img.php?id=12464729
2015-06-11	http://six-bro.com/webstat/img.php?id=38915948
2015-06-09	http://six-bro.com/webstat/img.php?id=55731239
2015-06-08	http://six-bro.com/webstat/img.php?id=82357659
2015-06-08	http://six-bro.com/webstat/img.php?id=88290212
2015-05-29	http://six-bro.com/webstat/img.php?id=50981746
2015-04-22	http://six-bro.com/webbie/img.php?id=90222451
2015-04-20	http://six-bro.com/webbie/img.php?id=84085197
2015-04-20	http://six-bro.com/webbie/img.php?id=95536720
2015-03-20	http://six-bro.com/wbst/image.php?id=88321021
2015-03-17	http://six-bro.com/wbst/image.php?id=89864851
2015-03-17	http://six-bro.com/wbst/image.php?id=40074095
2015-03-13	http://six-bro.com/webstat/image.php?id=35878151

이러한 이유는 아마도 MWISTAT툴이 업데이트가 필요한데, 공격자들은 이미 설치되어 공격에 사용되고 있는 프로그램들이 새 버전으로 업데이트 하는 것을 원하지 않아 새로운 하위 폴더를 생성한 후 새 버전으로 새로운 공격을 한 것이라고 추측하고 있습니다. 

Six-bro.com 서버가 활발히 운영되고 있을 때, 또 다른 도메인인 labercounty.com 역시 동일한 ip주소를 갖고 있었습니다. 이 사실을 단독으로 보았을 때는 별다른 연관관계가 없어 보이지만, six-bro.com은 namecheap.com에 위탁되어 관리되어 있었으며, 몇 십 개의 서로 다른 도메인이 동일한 ip를 갖고 있었습니다. 하지만, 그러나 웹서버 에는 labelcounty라는 하위 폴더 형태로 존재하였습니다. 

주요 C&C 서버는 현재 이미 운영하지 않고 있는 상황이며, labelcounty.com 역시 서버를 이전하였습니다. 하지만 접속하면 여전히 “공사중”으로 표시되고 있습니다. 더 이상 이 서버가 악의적으로 혹은 정상적으로 운영되고 있는지 추적하지 않았지만, 공격자는 아마 이 서버를 추후에 공격활동을 재개할 때 사용하고자 하는 것으로 추측됩니다. 

현재까지 공격자들의 공격 동기는 확실하지 않지만, 지금까지 조사한 내용들을 바탕으로 추측을 해보자면, 탈취된 정보들은 산업기밀정보들부터 개인정보까지 많은 정보들을 포괄하고 있으며, 이 정보들을 이용하고자 하는 목적으로 보입니다. 하지만, 공격자는 이런 정보들보다 은행정보에 더 관심이 있는 것으로 보여집니다.  Six-bro.com 도메인에는 또 다른 하위페이지가 존재하였는데, 이 페이지에는 사용자들이 쉽게 피싱 공격을 당할 수 있도록 정교하게 가짜 은행 페이지를 구축해 놓았습니다. 

어떤 보고서에는 six-bro.com에 국가은행 페이지와 동일한 피싱 페이지를 구축되어 있었다고 언급하였습니다. 공격자는 2012년도에 사용하였던 피싱 페이지를 이용하여 공격을 시도하였습니다. 하지만 공격자는 기업의 이메일에 접근할 수 있는 계정정보가 필요하였으며, 이런 정보들을 탈취하기 위하여 이런 산업스파이 활동을 시작한 것으로 추측됩니다. 

악성코드 활동 데이터

악성코드에는 MWUSTAT로 돌아가는 주소가 포함되어 있었습니다. 

INCLUDEPICTURE "http://{serverpath}/{mainscript}?id={campaign_ID}

공격기간 당시 두 개의 다른 서버를 사용하였으며, 첫 번째 서버에는 3개의 각기 다른 인스톨 파일을 포함하고 있었습니다. 공격자가 십여 개의 서로 다른 ID로 공격활동을 하였는데, 이는 공격자가 최소한 열 번 이상의 공격시도가 있었음을 나타내는 것으로 보여집니다. 

한번의 공격당 피해를 받는 사용자 수는 몇 십 명부터 몇 천명까지 상이했습니다. Zbot 악성코드와 비교하였을 때, 표면적으로 드러나는 MWI 공격  피해자들은 상대적으로 적었습니다. MWI가 대규모의 공격을 진행하지 않은 이유는 아마도 공격자가 비교적 안정적 수익을 원해서 그런것으로 추측됩니다. 

공격자의 공격활동지역은 대부분 아시아와 아프리카 대륙에 집중되어 있었으며, 그 중 가장 많은 공격을 받은 국가는 인도네시아, 인도, 태국, 오만, 말레이시아 이였습니다. 

결론

MWI악성코드의 주요 목적은 사용자들의 정보, 특히기업의 이메일 계정을 탈취하는 것으로 보여집니다. 공격 배후에 존재하는 조직들은 이메일로 그들의 공격목표대상을 찾으며, 이메일에 RTF 문서를 첨부하는 방식으로 공격을 진행하였습니다. 이 문서 중에는 CVE-2012-0518, CVE-2013-3906, CVE-2014-1761 3가지 취약점을 이용하는 악성코드가 포함되어 있었습니다. 비록 CVE-2014-1761 취약점이 3가지 취약점 중에서 가장 최근에 발견된 취약점이지만, 1년전에 이미 패치된 취약점 입니다. 

정기적으로 MS Office의 보안업데이트만 진행해 주어도 이 조직의 공격을 쉽게 막을 수 있습니다. 

 

현재 알약에서는 해당 악성코드들에 대하여  Exploit.CVE-2013-3906, Exploit.DOC.CVE-2014-1761, Exploit.DOC.Agent.Gen, Exploit.CVE-2012-0158.Gen로 탐지하고 있습니다.

참고 : 

https://www.virusbtn.com/virusbulletin/archive/2015/10/vb201510-MWI-5.dkb#citation.8

https://www.fireeye.com/blog/threat-research/2015/04/a_new_word_document.html.

http://blog.checkpoint.com/2015/06/26/microsoft-word-intruder-rtf-sample-analysis/.

http://blog.0x3a.com/post/117760824504/analysis-of-a-microsoft-word-intruder-sample.

https://www.proofpoint.com/threat-insight/post/Foot-in-the-Door.

http://www.welivesecurity.com/2015/04/09/operation-buhtrap/.

https://blogs.sophos.com/2015/09/02/microsoft-word-intruder-revealed-new-sophoslabs-research-goes-inside-a-malware-creation-kit/.

http://hawkeyeproducts.com/.

http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/hawkeye-nigerian-cybercriminals-used-simple-keylogger-to-prey-on-smbs.

http://www.isightpartners.com/2015/06/hawkeye-keylogger-campaigns-affect-multiple-industries/.

http://blog.checkpoint.com/2015/06/26/microsoft-word-intruder-rtf-sample-analysis/.

http://db.aa419.org/fakebanksview.php?key=94793.

http://www.malwareurl.com/ns_listing.php?ip=176.8.205.173.