2016년 가장 활발히 활동한 'Exploit Kit' 정리

2016년 가장 활발히 활동한 'Exploit Kit' 정리

Exploit Kit 이란?

셋업파일, 제어판, 악성코드 및 각종 공격툴을 한데 모아둔 것으로, 일반적으로 PHP 프로그램을 기반으로 합니다. 

Angler Exploit Kit

Angler Exploit Kit (EK)는 피싱 공격 툴 중 하나로, 2013년에 처음 발견되었습니다. 이 툴은 고도의 난독화 기술과 백신 및 VM 테스트 코드, Payload를 암호화 하여 IDS/IPS를 우회하는 기능, Fileless infections 기능을 탑재했을 뿐만 아니라, 최신 취약점에 이용되는 코드를 빠르게 업데이트하며, 제로데이 취약점을 이용하는 코드까지 포함하고 있습니다. 보안연구원들은 Angler Exloit Kit을 세계에서 가장 선진화된 EK라고 평가했습니다. 그러나 6월 둘째주부터 무슨 이유에서인지 Angler의 업데이트가 중단된 상태입니다. 

Angler는 2016년 봄까지 매우 활발한 활동을 보였으며, 제로데이 공격을 할 수 있는 다양한 툴을을 지속적으로 업데이트 하였으며, 그 중에는 Domain Shadowing이라는 새로운 기술도 포함되어 있었습니다.  오랫동안 활동한 EITest악성코드 캠페인은 2014년부터 상승세를 보였으며, Darkleech악성코드 역시 지속적인 활동을 보였습니다. 

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

위 이미지에서 볼 수 있듯이, 2014년 4월부터 5월 중순까지 6.500개의 Angler session이 차단당했습니다. 활동 시간과 서부국가의 업무시간이 서로 겹치는 양상을 보이며, 토요일과 일요일에는 그 활동량이 현저히 줄어들었습니다. 

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

Angler Exploit Kit 실행

대부분의 Angler 공격은 미국을 대상으로 하였으며, 동시에 서유럽 국가에서도 대규모의 Angler 공격행위가 탐지되었습니다. 

한편, 2016년 6월 중순부터 Angler의 활동이 눈에 띄게 줄어들었습니다. 이전까지 서비스되던 Angler의 EITest campaign gates는 현재 Neutrino 혹은 Sundown Exploit Kit 로그인 페이지만 제공되고 있습니다. 동시에 Angler가 소멸함에 따라 CryptXXX 랜섬웨어 역시 급격히 줄어들었는데, 이는 Angler가 CryptXXX의 주요 유포 수단이기 때문인 것으로 보입니다.

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

2016년 4월 초, 연구원들이 기존에 사용하던 난독화 기술을 수정하고, 분석난이도를 높인 결과 Angler Landing Page의 새로운 변화를 발견했습니다. 4월과 5월에 발견된 Angler 샘플은 이러한 새로운 변화의 패턴과 일치했습니다. 이 기간 동안 Angler Domain Shadowing 기술이 발견되었는데, 두개의 각기 다른 랜딩 페이지에 각기 다른 자바스크립 난독화 기술을 사용했습니다.

* Domain Shadowing은 드라이브-바이 다운로드에서 악성코드 유포지로 흘러가는 길목에 사용되는 도메인들이 수많은 서브 도메인으로 구성하여 백신의 탐지를 우회하려는 기술입니다. 

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

Angler 공격자는 더욱 효과적으로 탐지를 우회하기 위해 Payload를 암호화 하고, 최종 단계에서 Shellcode를 이용하여 복호화합니다. 공격 페이로드, 즉 Bedep은 악성코드는 아니지만 다른 악성코드를 내려받는데 사용됩니다. 

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

Angler는 주로 Flash와 Silverlight의 취약점을 이용합니다. 4월에 수집된 샘플 중에는 CVE-2016-1019 Flash 취약점을 이용하는 페이로드가 발견되었으며, 이 취약점은 Flash 21.0.0.182 이전 버전 모두 영향을 받습니다. 특히 20.0.0.306 버전에는 대규모 공격이 진행된 적도 있었습니다. 또한 연구원들은 Silverlight 4.0.50524.0 버전을 타겟으로 하는 샘플을 발견했다고 밝혔습니다.

TeslaCrypt는 4월 내내 주로 유포되는 악성 페이로드였습니다. 그러나 5월 중순부터는 더욱 새로워진 Angler는 Bedep과 CryptXXX를 유포하기 시작했습니다.

그후 6월 1일부터 Nuclear와 Angler가 거의 사라졌고 이는 다른 Exploit Kit의 성장을 촉진시켰습니다.

RIG Exploit Kit

RIG는 2014년에 발견되었으며, 주로 Java, Flash, Silverlight 취약점을 타겟으로 합니다. 2015년 초 RIG 소스코드가 유출된 적이 있었으나, 이후에도 RIG의 주요 아키텍쳐는 변한 것이 없습니다. 현재까지도 여전히 활발히 활동 중에 있습니다. 

RIG는 랜딩 페이지와 페이로드 다운로드에 동일한 URI 스키마를 사용합니다. 보안연구원들은 4월과 5월의 대부분의 샘플이 'topgunn' gate를 사용하는 것을 확인했는데, 이는 RIG EK을 통해 유포되었다는 것을 뜻합니다. 

RIG 랜딩 페이지 도메인은 6월 초에 새로운 방식을 사용하기 시작했습니다. 기존의 2-character subdomain에서 동적 DNS를 사용하기 시작한 것입니다.

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

또한 연구원들은 Exploit Cycle의 gate 리다이렉션 흐름의 변화를 발견했습니다. 감염된 홈페이지는 우선 .html 파일을 리다이렉트시킨 후 동일한 파일명으로 .phtml을 리다이렉트시킵니다. 그후 랜딩페이지로 이동됩니다. 

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

위에서 볼 수 있듯이, RIG 감염은 4월 말 눈에 띄게 감소했습니다. 그러나 곧 5월부터 6월 중순까지 다시 증가하는 양상을 보였습니다.

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

대부분의 RIG 공격은 미국을 타겟으로 발생하였습니다. 

RIG Exploit Kit 실행

4월과 5월, 대량의 'Quad Power' gate가 사용되었습니다. 이 'Quad Power' gate는 2단계 도메인 .win, .top, .party, .bid 를 랜딩 페이지에 사용하였습니다. 

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

2016년 초, 보안연구원은 RIG가 취약점 공격을 위해 Tofsee백도어를 이용하는 것을 발견하였습니다. 그리고 최근에는 RIG가 새로운 Zeus 페이로드를 사용하는 것으로 확인되었습니다. 

어떤 보고서는 Tofsee 페이로드를 사용하는 RIG 샘플에 대해 분석했는데, 이는 2015년 가을 보안연구원들이 탐지한 악성코드 활동과 완전히 일치했습니다. 

4월 초, 연구원들은 'Whoads' 광고서버가 악성코드에 감염된 것을 발견했니다. 악성코드의 감염된 과정은 RIG 랜딩페이지가 하나의 HTTPS 연결과 2단계 gate를 지나 최종적으로 Qbot 악성코드를 내려받는 순이었습니다. BAE System 및 Kaspersky Threatpost 보도에 따르면, 이 사건이 Qbot 악성코드의 활동량 증가와 관련이 있는 것으로 보인다고 밝혔습니다.

Neutrino Exploit Kit

Neutrino 아키텍쳐는 매우 간단하며, 다른 익스플로잇킷처럼 강력한 난독화 기술이나 안티 VM기술을 갖고있지 않습니다. 그러나 사용자들의 꾸준한 환영을 받고 있습니다. 최근 Angler의 업데이트가 갑자기 중단되었고, 두번째로 유행했던 'Nuclear' 역시 서비스를 중단하면서 다른 익스플로잇킷들이 인기를 얻기 시작하였습니다. 'Neutrino' 역시 인기를 얻은 익스플로잇 킷 중 하나입니다.

Neutrinos는 RIG나 Angler처럼 매우 활발한 활동을 보이지는 않았지만, 2015년 가을부터 현재까지 꾸준히 활동하고 있습니다. 거의 매주 새로운 공격활동을 위해 새로운 랜딩페이지를 제작하고 있습니다. Angler에서 제공하던 EITest gate역시 Neutrino 랜딩 페이지에서 해당 서비스를 제공하기 시작했으며, 특히 Angler 감염률이 감소한 후 EITest gate가 Neutrino 랜딩페이지에서 장기 서비스를 시작했습니다. 

2016년 1분기부터 연구원들은 대부분의 Neutrino감염 랜딩 페이지가 .top TLD 도메인을 사용하며, 주로 Adobe Flash Player를 타겟으로 한다는 것을 확인했습니다. 또한 Neutrino 랜딩 페이지에서 Tofsee, Gamarue/Andromeda、Panda Banker 및 각종 랜섬웨어 등 다양한 악성코드를 로딩할 수 있다는 것을 알아냈습니다.

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

Neutrino는 주로 미국, 이탈리아, 루마니아를 주요 타겟으로 하고 있습니다. 

Neutrino Exploit Kit 실행

감염된 웹페이지에서의 Neutrino footprint는 매우 작으며, 일반적으로 메인 페이지에 iFream 형식으로 존재합니다. Neutrino는 EITest gate를 제외하고 다른 gate는 거의 사용하지 않습니다. 

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

Neutrino의 랜딩페이지는 Angler 및 다른 Exploit Kit처럼 복잡한 JavaScript 난독화 기술을 적용하지 않았습니다. 2016년 1분기, 보안연구원들은 모든 랜딩페이지가 비교적 간단한 형식으로 제작되어 있으며, SWF exploit을 로딩하는 Flash Player 대상도 거의 비슷하다고 밝혔습니다. 

올해 4월, Luis Rocha는 'SANS whitepaper'을 공개했습니다. 여기에는 Neutrino 아키텍쳐에 대한 상세한 분석이 포함되어 있습니다. 

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

보안연구원들은 4월과 5월의 악성코드 활동중 관찰된 Neutrino 랜딩 페이지는 매우 간단하며, 랜딩 페이지로 리다이렉션 하는 iFrame만 있거나 혹은 실제 광고내용을 로딩하는 두번째 iFrame만을 포함하고 있다고 밝혔습니다.

또한 5월 중순경 Neutrino를 이용하는 전체 과정을 발견하였는데, 최종적으로 Bamarue 악성코드의 페이로드를 로드시켜 주는 것이었습니다. 이 광고서버 페이지 중 casino-themed 광고를 로드시켜주는 iFrame 코드가 포함되어 있었으며, 동일한 호스트에 중간 페이지를 로딩하여 iFrame을 숨겼습니다. 이 중간 페이지는 Neutrino 페이지로 리다이렉션 되었습니다. 

<이미지 출처 : https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup>

정리 및 결론

Exploit Kit은 사용자 브라우저 보안에 심각한 영향을 끼칩니다. 이런 Exploit Kit의 개발자들은 주기적으로 우회기술과 난독화 기술을 업데이트하여, 분석가들이 이를 분석하지 못하도록 방해하고 있습니다. 

따라서 PC사용자 여러분들께서는 출처가 불분명한 서드파티 스크립트나 파일들을 로드하지 말고, 악성광고를 클릭하지 않는 등의 주의가 필요합니다.

출처 : 

https://www.zscaler.com/blogs/research/top-exploit-kit-activity-roundup