z5yu3xkj.jj1

Similar documents
untitled

ActFax 4.31 Local Privilege Escalation Exploit

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

Windows 8에서 BioStar 1 설치하기

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

#WI DNS DDoS 공격악성코드분석

Cloud Friendly System Architecture

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

*2008년1월호진짜

Microsoft Word - src.doc

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

untitled

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

5th-KOR-SANGFOR NGAF(CC)

Windows Server 2012

당신의 AD 는안녕하십니까? AD(Active Directory) 관리자계정탈취를통한기업내부망장악사례와대응방안 본사고노트의전부나일부를인용시반드시 [ 자료 : 한국인터넷진흥원 ] 을명시하여주시기바랍니다.

untitled

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

PowerPoint Template

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

PowerPoint 프레젠테이션


Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

PowerPoint 프레젠테이션

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

슬라이드 1

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770>

Windows 10 General Announcement v1.0-KO

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc


*****

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

SANsymphony-V

게시판 스팸 실시간 차단 시스템

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

SBR-100S User Manual

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

PowerPoint 프레젠테이션

제목 레이아웃

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

[Brochure] KOR_TunA

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

PowerPoint 프레젠테이션

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

소프트웨어설치 1. 소프트웨어설치및제거 ( 소스코드 ) 소스코드컴파일을이용한 S/W 설치 1. 소스코드다운로드 - 예 ) httpd tar.gz - 압축해제 : #tar xzvf httpd tar.gz - INSTALL 또는 README파일참조

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

PowerPoint 프레젠테이션

DBMS & SQL Server Installation Database Laboratory

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

로거 자료실

The Pocket Guide to TCP/IP Sockets: C Version

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2

슬라이드 1

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Contents Test Lab 홖경... 3 Windows 2008 R2 서버를도메인멤버서버로추가... 4 기존 Windows 2003 AD 홖경에서 Windows 2008 R2 AD 홖경으로업그레이드를위한사젂작업 7 기존 Windows 2003 AD의스키마확장...

08_spam.hwp

Table of contents 1. 구성도 Maxgauge For MySQL 설치정보... 6 설치파일정보... 6 포트정보... 6 주요디렉토리... 6 소프트웨어기동 / 종료... 7 기동... 7 종료 Maxgauge For MySQ

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

PowerPoint 프레젠테이션

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

Secure Programming Lecture1 : Introduction


1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

AhnLab_template

System Recovery 사용자 매뉴얼

PowerPoint 프레젠테이션

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

PowerPoint 프레젠테이션

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

Snort Install Manual Ad2m VMware libnet tar.gz DebianOS libpcap tar.gz Putty snort tar.gz WinSCP snort rules 1. 첫번째로네트워크설정 1) ifconf

제20회_해킹방지워크샵_(이재석)

임베디드시스템설계강의자료 4 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

Adobe Flash 취약점 분석 (CVE )

슬라이드 1

07_alman.hwp

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

호스팅사업자보안안내서 ( 해킹경유지악용방지 ) 침해사고분석단사고분석팀

네이버블로그 :: 포스트내용 Print VMw are 에서 Linux 설치하기 (Centos 6.3, 리눅스 ) Linux 2013/02/23 22:52 /carrena/ VMware 에서 l

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

Microsoft PowerPoint - chap01-C언어개요.pptx

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

Contents 03 Introduction 04 17년보안사고사례관리서버의취약점을이용한 APT 공격 Apache Struts2 취약점을이용한사고급증다양한랜섬웨어악성코드가상화폐마이너 (Miner) 악성코드원격관리 S/W 해킹사고지속발생보안솔루션우회기법의고도화 S/W 공

침입방지솔루션도입검토보고서

EQST Insight_201910

Microsoft PowerPoint - 10Àå.ppt

Transcription:

목차 1. 개요... 2 2. CYBER ATTACK LIFECYCLE & TTPS... 4 2.1. 정찰 (Reconnaissance)... 6 2.2. 초기침투 (Initial Compromise)... 8 2.3. 거점확보 (Establish Foothold)... 10 2.4. 권한상승 (Escalate Privileges)... 12 2.5. 내부정찰 (Internal Reconnaissance)... 13 2.6. 내부확산 (Move Laterally)... 14 2.7. 지속실행 (Maintain Presence)... 16 2.8. 목표달성 (Complete Mission)... 17 3. 결론... 25 Top-CERT 1

1. 개요 최근 22 년상반기연일귀신 (Gwisin) 랜섬웨어의해킹소식에관심과이목이집중되었다. 귀신 (Gwisin) 랜섬웨어는 21 년부터한국의의료기관, 제약사, 금융기관등국내불특정다수의기업을대상으로공격을진행하고있으며, 그피해규모가점차증가하고있다. 특히, 현재까지국외기업피해사례는존재하지않으며, 국내기업만을타깃으로한공격그룹으로국내기업들의피해가확산될가능성이높다고할수있어주의가필요하다. 해당공격그룹은내부시스템을최초침투후내부구조확인및정보유출, 랜섬웨어감염까지평균적으로 21 일로기존 APT 공격기간 (67 일 ) 보다짧은것으로파악되었으며, 랜섬웨어감염이전모든공격행위를삭제하는등의정확하고신속하게해킹을수행하는것을미루어봤을때, 조직적인팀단위의상당히고도화된해킹기술을보유하고있다고판단된다. 귀신 (Gwisin) 공격그룹은한국에서사용되는단어 귀신 을사용하고있다는점과국내기업을 타깃으로한다는점, 국내사이버침해기관및민간기업을잘알고있다는점 3 가지를근거로 한국어를사용하는조직이거나, 국내사정에능통한해커가가담했을것으로추정하고있다. 귀신 (Gwisin) 랜섬웨어를수행한해커들은피해자개인 기업을 3 중으로협박하는등, 수법도더악랄해졌다. 금전을요구하는 3 가지유형으로 1 티어 ( 데이터복호화 ), 2 티어 ( 유출데이터의외부판매없음 ), 3 티어 ( 보안취약점분석보고서제공 ) 로협박하며, 협상에응하지않으면데이터를외부에유출한다. 기업뿐만이아니라, 심지어기업으로부터유출한개인정보를기반으로다크웹검색사이트를개설하여수많은 Enduser 들에게까지도협박을시도하고금전을요구하는형태로진화하고있다. 이렇듯귀신 (Gwisin) 랜섬웨어를공격하는공격그룹은어떻게해서든피해기업으로부터암호화폐를탈취하기위해할수있는모든협박을동원하고기업담당자및 Enduser 를압박해그최종목적을이루고있는것으로보인다. 이렇게악랄한귀신 (Gwisin) 랜섬웨어공격그룹의피해를예방하기위해서는해당공격그룹이자주사용하는공격전략을분석하여이에대한대비가필요해보인다. 해킹징후사전탐지및침해발생상황에서무엇을분석하고조치해야할지에대한방향설정및기준수립등이존재한다면랜섬웨어피해를최소화할것으로판단되기때문이다. 따라서본문에서는해당귀신 (Gwisin) 랜섬웨어조직의침해유형및특징점을알아보고사용된기법을 사이버공격라이프사이클에맞춰세분화하여기술하고자한다. 참고로, 현재사이버공격유관기관에서귀신 (Gwisin) 랜섬웨어공격그룹을추적, 조사중이다. 따라서, 귀신랜섬웨어공격그룹이사용한침해지표 (IoC) 는공개하지않기로내부적으로결정하였다. Top-CERT 2

[ 귀신 (Gwisin) 랜섬웨어감염화면 ] [ 귀신 (Gwisin) 공격전략개요 ] Top-CERT 3

2. Cyber Attack Lifecycle & TTPs Cyber Attack Lifecycle 은공격대상의네트워크에침투하여목표를달성하기까지일련의단계를뜻한다. 해커가성공적인공격을완료하려면아래의단계를진행하며, 각사이클의어느지점에서차단되면공격에대한연결점은끊어지게된다. 이러한공격으로부터자산을보호하기위해서는조직내에서각단계에대한예방이수행되어야한다. [Cyber Attack Life cycle] 귀신 (Gwisin) 랜섬웨어조직이각단계에서사용한전략과전술을체계적으로정리하기위해 TTPs(Tactisc, Techniques, Procedures) 를활용하였다. TTPs 는 IoC(Indicator of Compromise) 와는다르게 공격자가많은시간을들여확보하기때문에쉽게바뀌지않고, 세분화되어있어기업에서침해사고에 대한방어전략을구성할때유효하다. No Life cycle Tactic(ID) 1 정찰 (Reconnaissance) Vulnerability Scanning(T1595.002) Credentials(T1589.001) 2 초기침투 (Initial Compromise) Brute Force(T1110) Stage Capabilities: Upload Malware(T1608.001) 3 거점확보 (Establish Foothold) Command and Scripting Interpreter: Windows command Shell(T1059.003) Develop Capabilities: Malware(T1587.001) System Binary Proxy Execution: Msiexec(T1218.007) 4 권한상승 (Escalate Privileges) OS Credential Dumping: LSASS Memory(T1003.001) Masquerading: Rename System Utilities(T1036.003) 5 내부정찰 (Internal Reconnaissance) Gather Victim Network Information(T1590) 6 내부확산 (Move Laterally) Command-Line Interface(T0807) Remote Services: Remote Desktop Protocol(T1021.001) Remote Services: SMB/Windows Admin Shares(T1021.002) Remote Services: SSH(T1021.004) Remote Services: Windows Remote Management(T1021.006) Windows Management Instrumentation(T1047) 7 지속실행 (Maintain Presence) Command and Control(TA0011) 8 미션완료 (Complete Mission) Exfiltration Over C2 Channel(T1041) Windows Management Instrumentation(T1047) Indicator Removal on Host: Clear Windows Event Logs(T1070.001) File and Directory Discovery(T1083) Deobfuscate/Decode Files or Information(T1140) System Binary Proxy Execution: Msiexec(T1218.007) Data Encrypted for Impact(T1486) Inhibit System Recovery(T1490) Top-CERT 4

[ 공격흐름도 ] Top-CERT 5

2.1. 정찰 (Reconnaissance) 초기정찰은공격대상의정보수집및대상시스템을파악하는해킹의첫번째프로세스이며, 귀신 (Gwisin) 랜섬웨어에서사용된것으로추정되는초기정찰유형에대해살펴본다 I) 오픈검색엔진 (Shodan, Censys) 을통한정보수집해커는공격에앞서공격대상웹서버의종류와취약점, 외부에공개된원격접속서비스, 외부에오픈된포트, 노출된관리자페이지등공격대상의여러정보를수집한다. 이러한정보를수집하기위해해커는 OSINT(Open Source Intelligence) 검색엔진인 SHODAN, Censys 를통해공격대상의공략지점을탐색한다. #OSINT: 공개된출처로부터정보를모으고이를분석해정보를얻는첩보수집방법 [SHODAN( 좌 ), Censys( 우 )] - OSINT 검색엔진을통해포트, 서비스, 운영체제, 어플리케이션서버및방화벽등정보수집. [SHODAN 검색엔진 ( 예시 )] Top-CERT 6

II) DarkWeb 을통한공격대상정보구매공격대상에접근하기전임직원및시스템계정정보를입수하는데큰노력을기울인것으로보인다. 그방법으로는 1) 공격대상임직원정보구매, 2) 구매한정보를이용하여계정유출기능악성코드를포함한피싱메일발송, 3) 크리덴셜스터핑 으로파악된다. 이를통해공격대상의 VPN, WEB, E-Mail 정보를획득한것으로추정된다. # 크리덴셜스터핑 : 다크웹에서유통되는계정정보를토대로다른사이트계정을해킹하는무차별대입공격 [Dark Web] - 다크웹은일반웹브라우저가아닌토르등의특정프로그램을사용하에접속가능한웹페이지 - 다크웹에서판매되는계정, DB 는크리덴셜스터핑공격및피싱공격으로 2 차공격수행 - 가상화폐를통해거래하여현금보다익명성이보장되고자금세탁용이 Top-CERT 7

2.2. 초기침투 (Initial Compromise) 초기침투에서는해커가정찰에서확보한정보를통해공격대상을공략한다. 귀신 (Gwisin) 랜섬웨어는한가지방법이아닌계정정보를활용한 VPN 접근, 노출된관리자페이지, 워터링홀등의공격대상의다양한취약요소들을공격한것으로확인된다. 침투성공시, RAT 악성코드실행또는웹쉘업로드를통해초기거점을확보하였다. I) 미들웨어관리자페이지를통한웹쉘업로드특정미들웨어는관리자페이지를통해 WAR 파일 (Web Application archive) 을업로드할수있으며, 외부에공개된관리자페이지를통해공격자는웹쉘을업로드할수있다. # 미들웨어 : OS 와 APP 중간에중개역할을하는소프트웨어 (Apache Tomcat, WebLogic 등 ) [WAR 업로드 ( 예시 )] - 외부에오픈된 Apache Tomcat 관리자페이지에무작위대입및확보된크리덴셜로인증성공 - WAR 파일업로드기능을악용하여웹쉘업로드및초기거점확보 Top-CERT 8

II) VPN 을통한내부네트워크침투 VPN 은재택근무자와회사내부를연결하는가상의네트워크를만들어주는기술로해커는이를 악용해 VPN 취약점, 크리덴셜공격등으로내부네트워크에침투할수있다. - 외부에오픈된 VPN 로그인페이지의무작위대입및확보된크리덴셜로인증성공 - 기업내부의네트워크접근후다음단계공격진행 Top-CERT 9

2.3. 거점확보 (Establish Foothold) 거점확보는초기침투로확보된시스템의정보 ( 호스트이름, 네트워크, OS 버전등 ) 를수집하고 기능이보강된악성코드를추가설치한다. [ 웹쉘및악성코드업로드를통한거점확보 ] I) 웹쉘업로드주로 ASP 한줄웹쉘이나웹에공개된 JSP 웹쉘을변형해서사용한다. 웹쉘로명령어를전달하여실행하며, 서버에서사용하는프로세스목록, 네트워크정보, 계정정보가담긴파일을스캔하는등의행위를한다. 1 한줄웹쉘 - 업로드경로 : [ 웹서버경로 ]\aspnet_client\system_web\[ 버전폴더 ] - 해당경로에한줄웹쉘이포함된 ASP 파일업로드 - 명령어실행기능 [ASP - 한줄웹쉘 (China Chopper)] 2 JSP 웹쉘 - 업로드경로 : [ 웹서버경로 ]\upload - 해당경로에웹쉘코드가담긴 JSP 파일업로드 - 명령어실행 (URL 파라미터로받은인자값을변수로저장하여 CMD 명령어실행 ) 기능 Top-CERT 10

[GitHub 에공개된 JSP 웹쉘 ( 상 ), 실제사용된 JSP 웹쉘 ( 하 )] II) MSI 패키지설치 MSI(Microsoft Installer) 는마이크로소프트윈도우운영체제에서사용하는설치패키지로유포지에서 악성코드를다운로드하는방법으로기존의보안제품들을우회하여악성코드를설치한다. - 귀신 (Gwisin) 랜섬웨어에서는공통적으로 MSI 패키지파일에악성코드를삽입하며 msiexec 명령어를사용하여 C2 에서 MSI 패키지다운로드및실행한다. - MSI 실행에사용된방법은웹쉘을통해명령어를전달하거나명령어가하드코딩된다운로더 (DLL) 를통해실행 - MSI 로다운로드, 실행된악성코드는 RAT 와랜섬웨어두가지종류확인. [MSI 패키지파일내부의 DLL Binary Data] Top-CERT 11

2.4. 권한상승 (Escalate Privileges) 권한상승은단말내의사용자계정패스워드를알아내거나추가적인계정을생성한다. 또한, 감염단말의계정권한이관리자권한이아닐경우권한상승을위해 OS 의권한상승취약점을유발하여관리자권한을획득한다. I) 크리덴셜탈취크리덴셜탈취도구를이용하면 LSASS 덤프파일의관리자및유저계정정보획득할수있으며, 해당서버에서다른서버로원격으로로그인하여접속하였다면다른서버의크리덴셜또한획득할수있다. #LSASS: 시스템에접속하는유저의로그인을감사하는윈도우기본프로세스 - 공격자는침투서버의보안솔루션을회피하기위해크리덴셜탈취도구 (Mimikatz) 를서버에 업로드하지않고, 윈도우작업관리자를통해 LSASS 프로세스덤프파일을생성후 GZIP 압축하여탈취 [ 작업관리자에서 LSASS 프로세스덤프파일탈취 ( 예시 )] [ 탈취한 LSASS 덤프파일에서탈취서버의크리덴셜정보획득 ( 예시 )] Top-CERT 12

2.5. 내부정찰 (Internal Reconnaissance) 네트워크스캐닝도구를사용하여현재단말이속한네트워크구조를파악하고같은네트워크내에 있는단말혹은서버에대한정보를탐색및수집한다. 이는향후공격방향을결정하는데사용된다. I) 내부네트워크포트스캐닝초기거점확보후추가확산을위해주변시스템의정보및대상시스템의인증정보 ( 크리덴셜 ) 수집과정이필요하다. 주변시스템의정보를수집하기위한방법으로는연결상태확인을위해기본명령어를이용하거나 Nmap 등의네트워크스캐너를이용하는등여러방법이있다. [ 내부네트워크정보수집 ] 1 내부네트워크포트스캐닝 - 스캐닝도구 (Nmap) 를이용하여시스템에특정패킷을보내포트의활성화유무체크 [Nmap 포트스캔 ( 예시 )] Top-CERT 13

2.6. 내부확산 (Move Laterally) 최종타깃시스템을찾기위해내부정찰을통해확보된네트워크구성및서버, 단말정보를 이용하여악성코드를내부서버로전파한다. I) 원격관리도구 (RDP, SSH, SMB, WinRM) 를악용한내부이동 내부정찰에서수집한정보를이용해윈도우원격관리도구를사용하여타네트워크로이동한다. 내부이동으로공격대상을추가확보한다. - SMB( 윈도우관리자공유 ) 를이용하여 Domain Controller 에조인된다른시스템명령 - RDP( 원격데스크톱연결 ) 를이용하여확보한계정으로원격접근 - WinRM( 윈도우원격관리 ) 을이용한파워쉘명령 II) XP_CMDSHELL 을악용한시스템명령사용 XP_CMDSHELL 프로시저를활성화및이용하여쉘을획득하고이를통해서버의주요 정보 ( 어플리케이션의 DB 로그온정보등 ) 를획득한다. 1 XP_CMDSHELL (MS-SQL SP) - MS-SQL 서버의구성옵션중 show advanced options, xp_cmdshell 값이 1 일때활성화 [Application Log : show advanced options 활성화 ] [Application Log : xp_cmdshell 활성화 ] Top-CERT 14

III) 국내솔루션의 PMS 기능을악용한악성코드배포 국내솔루션의 PMS(Patch Management System) 기능을악용하여, RAT 악성코드를내부네트워크에 배포하였다. 해당솔루션으로배포되는프로그램의유효성검증을하지않는다는것이취약점이되었다. 1 국내솔루션 PMS 기능사용악성코드 (Downloader) 배포 - 국내솔루션은파일명과파일타입, 저장경로등을 txt 파일내정의해서주기적으로업데이트파일 (************.txt) 을배포 - 특정조건에만족되는경우업데이트즉시해당파일 (.****) 이실행되는취약점이발생 -.**** 파일은 RAT 악성코드 (*****.bmp) 를다운로드받아 msiexec 로해당파일을설치하는코드 [.**** 파일코드 ] IV) 원격관리도구 (WMI) 를악용한랜섬웨어배포 WMI 는윈도우관리도구로, 악성프로그램을설치하지않아도레지스트리, 파일시스템등중요한정보에접근할수있다. 해당케이스에서는 AD 서버의 WMI TCP Port(135) 가오픈되어있었고 AD 서버에서 WMI 공급자호스트 (wmiprvse) 를이용하여랜섬웨어를내부서버에배포및실행한다. 1 원격관리도구 (WMI) 를악용한랜섬웨어배포 - WMI 을사용하여윈도우인스톨러형식으로되어있는랜섬웨어 (****.msi) 실행 [ 원격관리도구 (WMI) 로 msi 패키지설치 ] Top-CERT 15

2.7. 지속실행 (Maintain Presence) 해커는악성코드를서비스등록또는작업스케줄러등록을통해지속성을유지하며, Cyber Attack Lifecycle 의 4 단계 ~ 7 단계를반복하여피해대상의전산자원을점차확보후공격을확산한다. [ 지속공격매커니즘 ] I) 주요거점서버및 C2 간지속적인통신 내부이동이후에주요거점서버에다운로드한 RAT 악성코드를이용하여 C2 와지속적인통신을 수행한다. 추가적인거점확보및데이터유출을목적으로 C2 연결을지속한것으로확인된다. II) 지속공격해커는 권한상승 내부정찰 내부확산 지속실행 단계를반복수행하며, 이러한행위를 지속공격 이라고한다. 이과정은미션이완료된이후에도반복될수있으며, 피해네트워크에오랜기간동안잔존하는것을목표로한다. Top-CERT 16

2.8. 목표달성 (Complete Mission) 해커는랜섬웨어실행전에침해시스템의다양한정보를수집해외부로전송한다. 데이터탈취이후 AD, PMS 등의시스템을악용하여랜섬웨어를배포및실행한다. I) C2 데이터유출귀신 (Gwisin) 공격그룹은한국 IP 의 C&C 서버를이용하여, 랜섬웨어실행전에피해시스템의정보를유출한다. 파일암호화이후, 복호화의대가와유출자료를공개한다는협박을하며금전을추가요구한다. 복호화대가로는금전을 3 가지유형으로 1 티어 ( 데이터복호화 ), 2 티어 ( 유출데이터의외부판매없음 ), 3 티어 ( 보안취약점분석보고서제공 ) 로확인된다. [C2 데이터유출 ] - 방화벽로그확인결과, 거점서버와공격자 C2 서버간대량의유출트래픽발생 - 피해기업에유출자료공개등지속적인협박을통한금전요구로피해확대 - 비협조적인피해기업 A 사의경우, A 사의고객다수에게고객의개인정보유출을목적으로협박하여금전을요구 [ 피해기업의고객에게발송된 SMS] Top-CERT 17

II) 귀신 (Gwisin) 랜섬웨어 for Windows 귀신 (Gwisin) 랜섬웨어공격에사용된 RAT, 랜섬웨어는정상프로세스에인젝션하고원본파일을삭제하는 Fileless 형태의악성코드이다. L 기업에서는 AD 서버를통해배포및실행을하였으나, 배포후 AD 서버에사용된랜섬웨어를삭제하지않아채증이가능하였다. 귀신 (Gwisin) 랜섬웨어는 MSI 설치파일형태로유포되며, 악성코드동작에는특정인수가필요하다. 랜섬웨어실행시, 공격대상의기업정보가커스텀된랜섬노트와암호화확장자가생성된다. [ 귀신 (Gwisin) 랜섬웨어동작구성도 ] 1 귀신 (Gwisin) 랜섬웨어실행 - 랜섬웨어실행시특정문자열을인수로주어실행 : msiexec.exe /qn /i ***.msi SERIAL=**************** LICENSE=**************** ORG=*** [ 명령인수점검코드 ] Top-CERT 18

- 랜섬웨어실행시간설정 : 시스템타이머를이용해랜섬웨어의초기실행을위한작업을수행 [ 악성코드실행시간설정 ] 2 귀신 (Gwisin) 랜섬웨어주요행위 - 인자검증이후쉘코드를복호화하여정상프로그램인 WerFalut.exe 에악성코드인젝션 #WerFalut.exe: 윈도우시스템에서에러가발생했을시에러에대한내용을리포팅해주는프로세스 [ 귀신 (Gwisin) 랜섬웨어프로세스트리 WerFalut.exe 인젝션 ] - 감염서버정보를수집난독화하여 { 서버정보 }.cb.***********.com 도메인에대한 DNS Query 를수행 Query 결과문자열을추가연산하여 Mutex 를생성해중복실행을방지 피해기업자회사도메인 http://***********z.com 공격자 Fake 도메인 http://***********.com [DNS Query, Mutex 생성코드 ] Top-CERT 19

- 특정서비스및프로세스종료 [ 서비스종료코드 ] [ 프로세스종료코드 ] - 파일암호화수행 : 암호화는대상파일의 Offset 0x00 위치부터 256Byte 만큼의데이터만덮어쓰는형태로 동작 [ 파일암호화코드 ] Top-CERT 20

- Volume Shadow Copy 를삭제하는 Anti-Forensic 을수행 - 행위추적을차단하기위해시스템내 Windows EventLog 삭제 [ 볼륨섀도삭제 ( 좌 ), 이벤트로그삭제 ( 우 )] - 침입한시스템과탈취한정보들의리스트가포함된랜섬노트생성 한국의법집행기관이나보안전문회사에연락하지말라는경고메시지가포함되어 있으며, 귀신 (Gwisin) 랜섬웨어의대상기업이한국기업으로확인됨. [ 귀신 (Gwisin) 랜섬웨어랜섬노트 ] Top-CERT 21

III) 귀신 (Gwisin) 랜섬웨어 for Linux Linux 귀신 (Gwisin) 랜섬웨어는 ELF 파일형태로유포되며, 악성코드동작에는특정인수없이실행된다. 랜섬웨어실행시, 공격대상의기업정보가커스텀된랜섬노트와암호화확장자가생성된다. 1 귀신 (Gwisin) 랜섬웨어실행 - 랜섬웨어에실행시 /tmp/.********************* 파일을뮤텍스로사용하여중복실행을방지하고암호화에필요한데이터를복호화 - 복호화된데이터 - 프로세스, 서비스, 디렉토리경로, 명령어, 확장자, 랜섬노트 [ 문자열복호화루틴 ] 2 귀신 (Gwisin) 랜섬웨어주요행위 - 종료할서비스및프로세스목록 Apache, httpd, nginx, oracle, mysql, mariadb, postgres, mo ngod, elasticsearch, jenkins, gitlab, docker, svnserve, yona, zabbix, graylog, java Top-CERT 22

- 특정프로세스및서비스종료 [ 프로세스종료명령어 ] [ 서비스종료명령어 ] - 암호화제외폴더명 bin, boot, dev, etc, lib, lib64, proc, run, sbin, srv, sys, tmp, usr, var, bootbank, mbr, tardisks, tardisks.noauto, vmimages - 주요암호화대상경로 /Information/Database/, /Information/korea_data/, /Information/, /Infra/, /var/www/, /var/opt/, /var/lib/mysql/, /var/lib/postgresql/, /var/log/, /usr/local/svn/, /var/lib/docker, /var/db/mong odb, /var/lib/mongodb/, /var/lib/elasticsearch/, /u01/, /ORCL/,/var/lib/graylog-server/, /usr/local/ Top-CERT 23

IV) 귀신 (Gwisin) 랜섬웨어진화 현재진화된귀신 (Gwisin) 랜섬웨어는안전모드로재부팅하여랜섬웨어를실행시키는기능이 추가되었다. 안전모드를통해서비스와프로세스를직접종료하지않고도랜섬웨어기능을수행한다. 1 랜섬웨어실행명령인수중 SMM 값이 1 일때 ProgramData 의특정경로에랜섬웨어복사후, 서비스등록 (0 인경우, 일반적인암호화수행 ) 2 5 초후에강제재부팅하여안전모드로부팅후, 등록된서비스로랜섬웨어실행 [ 귀신 (Gwisin) 랜섬웨어명령인수추가 ( 기능추가 )] Top-CERT 24

3. 결론 본보고서를통해한국기업을대상으로랜섬웨어캠페인을수행하는귀신 (Gwisin) 랜섬웨어공격 그룹의 Cyber Attack Lifecycle 를살펴보았다. 이공격그룹은데이터복구의대가로금전을요구할뿐만아니라, 기업의크리티컬한정보를유출시켜지속적인협박을통해피해를확대하는것으로확인된다. 타겟형 APT 공격을막아내기란사실상불가능에가깝다. 어떻게든해커가들어온다는가정하에각단계별적절한보안요소를마련하여, 목표를달성하기전에탐지하고차단하는것이중요하다. 아래 Cyber Attack Lifecycle 각단계별로공격자가해당공격에성공할수있었던취약한요소들을 제거해나간다면, 침해사고를예방할수있을것이다. Cyber Attack Lifecycle 사고주요원인대응방안솔루션 정찰 (Reconnaissance) 오픈검색엔진 (OSINT) 정보수집다크웹크리덴셜정보구매 다크웹모니터링, 위협정보모니터링 TI (Threat Intelligence) 솔루션침해사고흔적점검서비스 초기침투 외부미들웨어관리자페이지로그인 미들웨어관리자페이지외부노출차단무작위대입공격모니터링 웹방화벽솔루션 (Initial Compromise) VPN 비인가유저접근 VPN 취약점패치 / 2 차인증적용주기적인 PW 변경 - 거점확보 (Establish Foothold) 웹쉘업로드 RAT 악성코드실행 비정상파일탐지 Anti Virus 권한상승 (Escalate Privileges) 내부정찰 (Internal Reconnaissance) 크리덴셜프로세스탈취비정상행위탐지 EDR 솔루션 내부네트워크스캐닝내부네트워크악성행위모니터링 IDS/IPS SMB, WinRM, RDP, SSH 서비스악용 Trust to Trust 접근제어접근제어솔루션 내부확산 (Move Laterally) 패치관리서버로 RAT 악성코드배포내부네트워크트래픽가시성확보 Network APT 솔루션 MS-SQL 명령실행 (xp_cmdshell) Xp_cmdshell 비활성화취약점점검서비스 지속실행 (Maintain Presence) RAT 명령제어 (C2 통신 ) Outbound 트래픽모니터링 F/W SIEM 목적달성 데이터유출 Outbound 트래픽모니터링 F/W SIEM (Complete Mission) 랜섬웨어실행 비정상파일탐지백업시스템운영 Anti Virus 데이터백업솔루션 Top-CERT 25

2024 © docsplayer.org 개인정보보호 | 약관 | 지원