1단계 다운로더 툴, 스스로도 2~3단계에 걸쳐 시스템에 정착
2017년 이후부터는 주기적으로 등장...면밀히 살펴야 할 필요 있어
[보안뉴스 문가용 기자] 보안 업체 이셋(ESET)이 러시아의 사이버 공격 단체인 소파시(Sofacy)가 주로 사용하는 도구를 분석하고 나섰다. 특히 제브로시(Zebrocy)라는 1단계 침투 툴을 집중적으로 해부해 그 내용을 발표했다.
[이미지 = iclickart]
제브로시는 델파이(Delphi) 다운로더, 오토잇(AutoIt) 다운로더, 델파이 백도어로 구성되어 있다. 다양한 공격에 사용되며, 두 번째 혹은 최종 페이로드인 엑스에이전트(Xagent) 백도어를 다운로드 하는 것을 주요 목적으로 하고 있다.
한편 소파시는 APT28, 팬시 베어(Fancy Bear), 폰스톰(Pawn Storm), 세드닛(Sednit), 스트론티움(Strontium)이라고도 불리는 단체로, 2007년부터 활동했으며 정부 기관, 군 기관, 방산업체들을 대상으로 사이버 스파이 행위를 일삼고 있다.
또한 2016년 미국 대선 기간 동안 각종 사이버 공격을 감행한 것으로 유명하며, 미국, 우크라이나, NATO 국가들이 주요 공격 대상이지만 최근에는 아시아 국가로 그 대상을 확대시키기도 했다. 제브로시는 소파시가 공격한 여러 국가들에서 발견됐는데, 이는 아제르바이잔, 보스니아헤르체고비나, 이집트, 조지아, 이란, 카자흐스탄, 한국, 키르기스스탄, 러시아, 사우디아라비아, 세르비아, 스위스, 타지키스탄, 터키, 투르크메니스탄, 우크라이나, 우루과이, 짐바브웨다.
제브로시는 주로 이메일의 악성 첨부파일 형태로 사용자들에게 퍼진다. 주로 MS 오피스 문서로, VBA 매크로나 익스플로잇, DDE, 실행파일이 포함된 아카이브 등을 포함하고 있으며, 공식 문서와 같은 파일 이름 및 아이콘을 가지고 있다.
이러한 악성 파일을 사용자가 실행시키면 제브로시의 1단계 요소인 델파이 다운로더가 먼저 설치된다. 경우에 따라 오토잇 요소가 곧바로 실행될 때도 있긴 하지만, 보통은 델파이 다운로더가 자리를 잡고, 다음 공격을 실시한다. 이 때 델파이 다운로더는 문서 혹은 윈도우 라이브러리 아이콘으로 위장되어 있고, 어떤 경우는 UPX로 패키징 되어 있기도 하다.
델파이 다운로더가 실행되기 시작하면 화면에 로딩창이 하나 뜬다. 이는 가짜 오류 메시지를 포함하고 있는데, 사용자의 눈길을 집중시키기 위해서다. 그러는 동안 배경에서는 새로운 파일이 %TEMP% 폴더로 드롭되고 윈도우 레지스트리에 추가된다. 또한 침해 시스템에 대한 정보를 수집해 C&C 서버로 HTTP POST 요청을 통해 전송하기도 한다.
이 정보를 받아들인 공격자들이 ‘공격해볼만한 시스템’이라고 판단을 내리면 다음 단계의 공격이 시작된다. 이것이 바로 오토잇 다운로더인데, 이 요소 역시 주요 목적은 정찰이다. 한 번 더 정찰을 확실히 하기 위함인데, 델파이 다운로더 단계와 오토잇 다운로더가 동시에 작동하는 사례도 존재한다.
오토잇의 가장 큰 기능은 샌드박스 환경을 탐지하는 것이다. 또한 컴퓨터 시스템의 하드웨어 정보만이 아니라 설치된 소프트웨어들, 윈도우 버전, 프로세스 목록, 하드드라이브 정보, 스크린샷 등까지 세세하게 수집한다.
오토잇 다음으로는 델파이 백도어가 등장한다. 제브로시의 최종 단계에 있는 요소다. 델파이 백도어는 여러 버전이 있는데 이 버전 번호와 공격 캠페인 간에는 별 다른 관계성이 없는 것으로 보인다. 델파이 백도어에는 여러 환경설정 관련 데이터가 있다. 1) C&C 통신에 사용되는 AES 키, 2) 각종 URL, 3) 멀웨어 버전, 4) 윈도우 레지스트리 킷값, 5) 임의 파일 저장 경로, 6) 숨겨진 디렉토리 이름(여기에 임시 파일들이 저장된다) 등이다.
이렇게 해서 제브로시가 완전히 설치되면 윈도우의 API 함수인 SetTimer를 통해 콜백 함수를 실행한다. 이로써 공격자들이 각종 기능들과 명령들을 처리할 수 있게 된다. 여기에는 스크린샷 만들고 저장, 키스트로크 캡처, 드라이브 및 네트워크 리소스 정보 수집, 윈도우 레지스트리 관련 읽기 및 쓰기 명령, 파일 시스템 객체의 복사, 이동, 삭제, 파일 실행 등이 포함된다.
제브로시가 실행할 수 있는 명령어는 약 30가지인 것으로 나타났다. 그러나 버전마다 이 명령들이 조금씩 다르다.
제브로시는 소파시가 이전에 사용했던 다운델프(Downdelph)의 후속 버전일 수도 있다. 다운델프 역시 델파이로 만들어진 멀웨어이며 정찰 및 정보 수집에 활용됐다. 마지막으로 발견된 건 2015년 9월로, 제브로시가 등장하기 두 달 전 시점이다. 이셋에 의하면 이 두 멀웨어는 설치되는 방법이 유사하다고 한다.
“소파시는 지난 2년 동안 제브로시를 활발하게 사용했습니다. 또한 2017년부터는 제브로시 공격을 주기적으로 하고 있기도 합니다. 주력 무기로 소파시 내에서 인정받은 것이 틀림없습니다. 앞으로 소파시는 제브로시를 지속적으로 활용할 것으로 전망되며, 그러므로 보안 업계는 이 툴을 면밀히 들여다 볼 필요가 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
2017년 이후부터는 주기적으로 등장...면밀히 살펴야 할 필요 있어
[보안뉴스 문가용 기자] 보안 업체 이셋(ESET)이 러시아의 사이버 공격 단체인 소파시(Sofacy)가 주로 사용하는 도구를 분석하고 나섰다. 특히 제브로시(Zebrocy)라는 1단계 침투 툴을 집중적으로 해부해 그 내용을 발표했다.
[이미지 = iclickart]
제브로시는 델파이(Delphi) 다운로더, 오토잇(AutoIt) 다운로더, 델파이 백도어로 구성되어 있다. 다양한 공격에 사용되며, 두 번째 혹은 최종 페이로드인 엑스에이전트(Xagent) 백도어를 다운로드 하는 것을 주요 목적으로 하고 있다.
한편 소파시는 APT28, 팬시 베어(Fancy Bear), 폰스톰(Pawn Storm), 세드닛(Sednit), 스트론티움(Strontium)이라고도 불리는 단체로, 2007년부터 활동했으며 정부 기관, 군 기관, 방산업체들을 대상으로 사이버 스파이 행위를 일삼고 있다.
또한 2016년 미국 대선 기간 동안 각종 사이버 공격을 감행한 것으로 유명하며, 미국, 우크라이나, NATO 국가들이 주요 공격 대상이지만 최근에는 아시아 국가로 그 대상을 확대시키기도 했다. 제브로시는 소파시가 공격한 여러 국가들에서 발견됐는데, 이는 아제르바이잔, 보스니아헤르체고비나, 이집트, 조지아, 이란, 카자흐스탄, 한국, 키르기스스탄, 러시아, 사우디아라비아, 세르비아, 스위스, 타지키스탄, 터키, 투르크메니스탄, 우크라이나, 우루과이, 짐바브웨다.
제브로시는 주로 이메일의 악성 첨부파일 형태로 사용자들에게 퍼진다. 주로 MS 오피스 문서로, VBA 매크로나 익스플로잇, DDE, 실행파일이 포함된 아카이브 등을 포함하고 있으며, 공식 문서와 같은 파일 이름 및 아이콘을 가지고 있다.
이러한 악성 파일을 사용자가 실행시키면 제브로시의 1단계 요소인 델파이 다운로더가 먼저 설치된다. 경우에 따라 오토잇 요소가 곧바로 실행될 때도 있긴 하지만, 보통은 델파이 다운로더가 자리를 잡고, 다음 공격을 실시한다. 이 때 델파이 다운로더는 문서 혹은 윈도우 라이브러리 아이콘으로 위장되어 있고, 어떤 경우는 UPX로 패키징 되어 있기도 하다.
델파이 다운로더가 실행되기 시작하면 화면에 로딩창이 하나 뜬다. 이는 가짜 오류 메시지를 포함하고 있는데, 사용자의 눈길을 집중시키기 위해서다. 그러는 동안 배경에서는 새로운 파일이 %TEMP% 폴더로 드롭되고 윈도우 레지스트리에 추가된다. 또한 침해 시스템에 대한 정보를 수집해 C&C 서버로 HTTP POST 요청을 통해 전송하기도 한다.
이 정보를 받아들인 공격자들이 ‘공격해볼만한 시스템’이라고 판단을 내리면 다음 단계의 공격이 시작된다. 이것이 바로 오토잇 다운로더인데, 이 요소 역시 주요 목적은 정찰이다. 한 번 더 정찰을 확실히 하기 위함인데, 델파이 다운로더 단계와 오토잇 다운로더가 동시에 작동하는 사례도 존재한다.
오토잇의 가장 큰 기능은 샌드박스 환경을 탐지하는 것이다. 또한 컴퓨터 시스템의 하드웨어 정보만이 아니라 설치된 소프트웨어들, 윈도우 버전, 프로세스 목록, 하드드라이브 정보, 스크린샷 등까지 세세하게 수집한다.
오토잇 다음으로는 델파이 백도어가 등장한다. 제브로시의 최종 단계에 있는 요소다. 델파이 백도어는 여러 버전이 있는데 이 버전 번호와 공격 캠페인 간에는 별 다른 관계성이 없는 것으로 보인다. 델파이 백도어에는 여러 환경설정 관련 데이터가 있다. 1) C&C 통신에 사용되는 AES 키, 2) 각종 URL, 3) 멀웨어 버전, 4) 윈도우 레지스트리 킷값, 5) 임의 파일 저장 경로, 6) 숨겨진 디렉토리 이름(여기에 임시 파일들이 저장된다) 등이다.
이렇게 해서 제브로시가 완전히 설치되면 윈도우의 API 함수인 SetTimer를 통해 콜백 함수를 실행한다. 이로써 공격자들이 각종 기능들과 명령들을 처리할 수 있게 된다. 여기에는 스크린샷 만들고 저장, 키스트로크 캡처, 드라이브 및 네트워크 리소스 정보 수집, 윈도우 레지스트리 관련 읽기 및 쓰기 명령, 파일 시스템 객체의 복사, 이동, 삭제, 파일 실행 등이 포함된다.
제브로시가 실행할 수 있는 명령어는 약 30가지인 것으로 나타났다. 그러나 버전마다 이 명령들이 조금씩 다르다.
제브로시는 소파시가 이전에 사용했던 다운델프(Downdelph)의 후속 버전일 수도 있다. 다운델프 역시 델파이로 만들어진 멀웨어이며 정찰 및 정보 수집에 활용됐다. 마지막으로 발견된 건 2015년 9월로, 제브로시가 등장하기 두 달 전 시점이다. 이셋에 의하면 이 두 멀웨어는 설치되는 방법이 유사하다고 한다.
“소파시는 지난 2년 동안 제브로시를 활발하게 사용했습니다. 또한 2017년부터는 제브로시 공격을 주기적으로 하고 있기도 합니다. 주력 무기로 소파시 내에서 인정받은 것이 틀림없습니다. 앞으로 소파시는 제브로시를 지속적으로 활용할 것으로 전망되며, 그러므로 보안 업계는 이 툴을 면밀히 들여다 볼 필요가 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
