워터베어 배후에 있는 건 블랙테크...여러 단계로 감염 기술 사용해 정찰
이번에는 API 후킹이라는 새로운 기술도 선보여...백도어 감추는 모습 처음
[보안뉴스 문가용 기자] 오래된 공격 캠페인 중 하나인 워터베어(Waterbear)가 API 후킹(API Hooking)이라는 새로운 탐지 우회 기능을 가지고 부활했다. 이 기술을 통해 워터베어 공격자들은 자신들이 네트워크 안에서 벌이는 행위를 감출 수 있게 된다고 한다. 보안 업체 트렌드 마이크로(Trend Micro)가 발표했다.
[이미지 = iclickart]
워터베어 캠페인의 배후에는 블랙테크(BlackTech)라는 사이버 정찰 그룹이 있는 것으로 알려져 왔다. 보안 업체 이셋(ESET)은 올해 초 블랙테크가 에이수스(ASUS) 업데이트 절차를 악용해 멀웨어를 퍼트리고 있는 것을 발견하기도 했다. 워터베어 캠페인에서 블랙테크는 모듈화 된 멀웨어를 활용해, 원격에서 각종 기능을 덧붙이는 것을 특징으로 한다.
이번에 새롭게 시작된 워터베어 캠페인의 경우 “API 후킹이라는 기술이 새롭게 추가됐”는데, “아태지역에 있는 한 보안 업체의 탐지를 피하기 위해 활용되고 있다”고 한다. 이 업체는 블랙테크가 표적으로 삼고 있는 국가들과 밀접한 관련이 있는 것으로 나타났다. “블랙테크는 이 업체에서 내는 제품들이 정보를 수집하고 분석하는 방식을 잘 알고 있는 것으로 보입니다.”
워터베어는 DLL 로더를 사용해 RC4로 암호화 된 페이로드를 복호화 하고 실행시킨다. 이 페이로드는 1단계 백도어로, 성공적으로 안착해 실행될 경우 또 다른 페이로드를 가져와 실행시킨다. 이 두 번째 페이로드 역시 백도어로, C&C 서버와 접속하거나 특정 포트를 관찰하는 기능을 수행한다.
워터베어 캠페인의 일환으로 벌어지는 공격 중 일부에서는 암호화 된 페이로드에 대한 파일 경로가 하드코드 되어 있기도 했다. “이를 봤을 때 공격자들은 표적의 환경에 대해 아주 잘 알고 있다는 걸 알 수 있습니다. 워터베어 캠페인을 운영하는 자들은 표적의 네트워크에 오래 머물기 위해 여러 장치를 활용하고 있을 가능성이 높습니다.” 트렌드 마이크로의 설명이다.
DLL 로더의 경우 두 가지 종류가 발견됐다. 하나는 정상 서버 애플리케이션을 바꿔 로더를 임포트 하고 로딩하는 방식으로 작동하고, 다른 하나는 가짜 DLL 하이재킹 및 DLL 사이드 로딩을 실시하는 방식으로 작동한다. 두 DLL 로더 모두 실행된 이후 하드코드 된 파일 경로를 찾고, 그 경로에 걸려 있는 페이로드를 가져와 복호화 한다. 복호화 된 페이로드는 정상 윈도우 서비스인 LanmanServer에 주입된다(svchost.exe).
페이로드는 악성 행위를 실행하기 직전까지 기능을 암호화 해서 감춘다. 메모리 내에서의 스캐닝을 피하기 위해서다. 필요할 때마다 기능을 복호화 해서 실행시키고, 일이 끝나면 다시 암호화 한다. “최근 공격에서는 두 가지 페이로드가 사용됐습니다. 하나는 특정 보안 제품에 코드를 주입해 백도어를 감추는 것이었습니다. 워터베어 캠페인에서는 처음 보는 것이었습니다. 다른 페이로드는 전형적인 1단계 백도어였습니다.”
1단계 백도어를 감추기 위해 API 후킹을 통해 보안 제품을 무력화시킨다. 트렌드 마이크로는 이를 다음과 같이 풀어서 설명한다. “페이로드가 보안 제품 프로세스의 메모리에 있는 기능을 조작합니다. 이 때문에 해당 보안 제품이 정상적으로 작동하지 않게 되고, 따라서 탐지가 잘 되지 않게 됩니다.”
트렌드 마이크로는 “워터베어 캠페인을 운영하는 자들이 백도어를 감추려고 하는 건 처음 있는 일”이라고 말한다. “그것도 이렇게 구체적인 제품만을 불능 상태로 만드는 걸 보면 이들이 자신의 표적을 매우 꼼꼼하게 이해하고 있다는 걸 알 수 있습니다. 해당 조직이 어떤 보안 제품을 사용하는지, 그 제품이 어떤 식으로 작동하는지까지도요.”
3줄 요약
1. 오래된 캠페인 워터베어, 새롭게 등장.
2. 이번에는 특정 보안 제품을 무력화시키는 기능을 탑재.
3. 표적에 대한 이해도가 뛰어난 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
이번에는 API 후킹이라는 새로운 기술도 선보여...백도어 감추는 모습 처음
[보안뉴스 문가용 기자] 오래된 공격 캠페인 중 하나인 워터베어(Waterbear)가 API 후킹(API Hooking)이라는 새로운 탐지 우회 기능을 가지고 부활했다. 이 기술을 통해 워터베어 공격자들은 자신들이 네트워크 안에서 벌이는 행위를 감출 수 있게 된다고 한다. 보안 업체 트렌드 마이크로(Trend Micro)가 발표했다.
[이미지 = iclickart]
워터베어 캠페인의 배후에는 블랙테크(BlackTech)라는 사이버 정찰 그룹이 있는 것으로 알려져 왔다. 보안 업체 이셋(ESET)은 올해 초 블랙테크가 에이수스(ASUS) 업데이트 절차를 악용해 멀웨어를 퍼트리고 있는 것을 발견하기도 했다. 워터베어 캠페인에서 블랙테크는 모듈화 된 멀웨어를 활용해, 원격에서 각종 기능을 덧붙이는 것을 특징으로 한다.
이번에 새롭게 시작된 워터베어 캠페인의 경우 “API 후킹이라는 기술이 새롭게 추가됐”는데, “아태지역에 있는 한 보안 업체의 탐지를 피하기 위해 활용되고 있다”고 한다. 이 업체는 블랙테크가 표적으로 삼고 있는 국가들과 밀접한 관련이 있는 것으로 나타났다. “블랙테크는 이 업체에서 내는 제품들이 정보를 수집하고 분석하는 방식을 잘 알고 있는 것으로 보입니다.”
워터베어는 DLL 로더를 사용해 RC4로 암호화 된 페이로드를 복호화 하고 실행시킨다. 이 페이로드는 1단계 백도어로, 성공적으로 안착해 실행될 경우 또 다른 페이로드를 가져와 실행시킨다. 이 두 번째 페이로드 역시 백도어로, C&C 서버와 접속하거나 특정 포트를 관찰하는 기능을 수행한다.
워터베어 캠페인의 일환으로 벌어지는 공격 중 일부에서는 암호화 된 페이로드에 대한 파일 경로가 하드코드 되어 있기도 했다. “이를 봤을 때 공격자들은 표적의 환경에 대해 아주 잘 알고 있다는 걸 알 수 있습니다. 워터베어 캠페인을 운영하는 자들은 표적의 네트워크에 오래 머물기 위해 여러 장치를 활용하고 있을 가능성이 높습니다.” 트렌드 마이크로의 설명이다.
DLL 로더의 경우 두 가지 종류가 발견됐다. 하나는 정상 서버 애플리케이션을 바꿔 로더를 임포트 하고 로딩하는 방식으로 작동하고, 다른 하나는 가짜 DLL 하이재킹 및 DLL 사이드 로딩을 실시하는 방식으로 작동한다. 두 DLL 로더 모두 실행된 이후 하드코드 된 파일 경로를 찾고, 그 경로에 걸려 있는 페이로드를 가져와 복호화 한다. 복호화 된 페이로드는 정상 윈도우 서비스인 LanmanServer에 주입된다(svchost.exe).
페이로드는 악성 행위를 실행하기 직전까지 기능을 암호화 해서 감춘다. 메모리 내에서의 스캐닝을 피하기 위해서다. 필요할 때마다 기능을 복호화 해서 실행시키고, 일이 끝나면 다시 암호화 한다. “최근 공격에서는 두 가지 페이로드가 사용됐습니다. 하나는 특정 보안 제품에 코드를 주입해 백도어를 감추는 것이었습니다. 워터베어 캠페인에서는 처음 보는 것이었습니다. 다른 페이로드는 전형적인 1단계 백도어였습니다.”
1단계 백도어를 감추기 위해 API 후킹을 통해 보안 제품을 무력화시킨다. 트렌드 마이크로는 이를 다음과 같이 풀어서 설명한다. “페이로드가 보안 제품 프로세스의 메모리에 있는 기능을 조작합니다. 이 때문에 해당 보안 제품이 정상적으로 작동하지 않게 되고, 따라서 탐지가 잘 되지 않게 됩니다.”
트렌드 마이크로는 “워터베어 캠페인을 운영하는 자들이 백도어를 감추려고 하는 건 처음 있는 일”이라고 말한다. “그것도 이렇게 구체적인 제품만을 불능 상태로 만드는 걸 보면 이들이 자신의 표적을 매우 꼼꼼하게 이해하고 있다는 걸 알 수 있습니다. 해당 조직이 어떤 보안 제품을 사용하는지, 그 제품이 어떤 식으로 작동하는지까지도요.”
3줄 요약
1. 오래된 캠페인 워터베어, 새롭게 등장.
2. 이번에는 특정 보안 제품을 무력화시키는 기능을 탑재.
3. 표적에 대한 이해도가 뛰어난 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
