Hive ransomware uses new 'IPfuscation' trick to hide payload
연구원들이 Hive 랜섬웨어가 IPv4 주소와 Cobalt Strike 비컨 다운로드로 이어지는 변환을 포함한 새로운 난독화 기술을 사용한다는 것을 발견했습니다.
코드 난독화는 공격자가 탐지를 피하기 위해 인간 또는 보안 소프트웨어가 코드의 악의적인 특성을 발견할 수 없도록 돕습니다.
난독화에는 장단점이 다른 여러 방법이 있지만, Hive 랜섬웨어 관련 사고를 대응한 결과 이들이 새롭고 은밀한 방법을 찾고 있음을 알 수 있었습니다.
Sentinel Labs의 연구원들은 새로운 난독화 기술인 "IPfuscation"에 대한 보고를 공개했습니다. 이는 간단하지만 똑똑한 방법이 실제 악성코드를 배포하는데 얼마나 효과적인지 확인할 수 있는 또 다른 예입니다.
IP에서 셸코드로
분석가들은 Cobalt Strike를 배포하는 페이로드를 포함한 64비트 윈도우 실행 파일을 분석하던 중 새로운 기술을 발견했습니다.
해당 페이로드 자체는 ASCII IPv4 주소 배열 형식을 사용하여 난독화되기 때문에 무해한 IP 주소 목록처럼 보입니다.
악성코드 분석 시 해당 목록은 하드코딩된 C2 통신 정보로 착각할 수 있습니다.
<페이로드가 어셈블될 IPv4 주소 목록>
파일이 문자열을 바이너리로 변환하는 변환 함수인 ip2string.h에 전달되면 셸코드 블랍이 나타납니다.
이 단계가 완료되면, 악성코드는 직접적인 SYSCALL을 사용하거나, 또는 사용자 인터페이스 언어 열거자(winnls.h)에서 콜백을 통해 실행을 프록싱하는 방법으로 셸코드를 실행해 표준 Cobalt Strike 스테이저를 생성합니다.
아래는 Sentinel Labs의 보고서에서 든 예입니다.
첫 번째 하드코딩된 IP 형식 문자열은 ASCII 문자열 "252.72.131.228"로 0xE48348FC(빅 엔디언)의 이진 표현을 가지고 있으며, 그 다음 변환될 “IP”는 0xC8E8F0의 이진 표현을 가진 “240.232.200.0”입니다.
이러한 "이진 표현"을 분석할 경우 일반적인 침투 테스트 프레임워크에서 생성된 셸코드의 시작을 확인할 수 있습니다.
<두 IP 주소의 결과 셸코드>
연구원은 IPv4 주소 대신 IPv6, UUID, MAC 주소를 사용하는 추가적인 IPfuscation 변종을 발견했으며 모두 위에서 설명한 것과 거의 동일한 방식으로 작동합니다.
<Cobalt Strike 스테이저 형태의 난독화 문자열>
이로써 오늘날 악성 페이로드 탐지를 위해서는 정적 서명에만 의존해서는 안된다는 것을 알 수 있었습니다.
연구원들은 행동 탐지, AI 지원 분석, 여러 지점에서 의심스러운 요소를 집계하는 전체적인 엔드포인트 보안을 통해 IPfuscation의 뚜껑을 열 수 있을 것이라 밝혔습니다.
현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.GenericKD.39269628’로 탐지 중입니다.
출처:
https://www.sentinelone.com/blog/hive-ransomware-deploys-novel-ipfuscation-technique/ (IOC)
Zyxel, 방화벽과 VPN 기기에 존재하는 치명적인 취약점 수정해 (0) | 2022.04.01 |
---|---|
PJSIP 원격코드실행 취약점(CVE-2021-43299, CVE-2021-43300, CVE-2021-43301, CVE-2021-43302, CVE-2021-43303) 주의! (0) | 2022.03.31 |
Spring Expression Resource Access 취약점(CVE-2022-22963) 주의! (0) | 2022.03.31 |
새로운 Spring Java 프레임워크 제로데이, 원격 코드 실행 허용해 (0) | 2022.03.31 |
Spring Java 프레임워크 원격코드실행 취약점(CVE-2022-22965) 주의! (0) | 2022.03.31 |
댓글 영역