시작 시간이 설정된 RAT "PlugX"C & C 설정 다운로드에 Dropbox를 악용

네트워크 트래픽 모니터링은 IT 관리자가 네트워크 내에서 표적 형 공격을 받고 있는지 확인하는 수단의 하나입니다."Remote Access Tool (RAT) '는 일반적으로 표적 공격 캠페인에서 보인 명령 및 제어 (C & C)과의 통신을 위해 사용됩니다. RAT 네트워크 트래픽 중에서도 특히 "Gh0st」나 「PoisonIvy", "Hupigon", "PlugX"같은 RAT은 잘 알려져 있으며, 검출되어 있습니다. 그러나 공격자는 여전히 이러한 RAT를 표적 형 공격에 효과적으로 이용하고 있습니다.

트렌드 마이크로는 2014 년 5 월, 대만의 정부 기관을 겨냥한 표적 공격을 확인했습니다. 공격자는이 표적 공격에서 RAT "PlugX"을 이용하여 온라인 스토리지 서비스 "Dropbox"을 악용하여 자신의 C & C 설정을 다운로드했습니다. 이전에도 Dropbox에 업로드 된 악성 프로그램에 유도하는 공격 이 확인되고 있으며, Dropbox가 공격 자체는 새로운 것이라고는 할 수 없습니다. 그러나 이것은 우리가 표적 공격에 대한 분석을하는 가운데, C & C 설정을 업데이트하기 위해 Dropbox를 이용한 최초의 사례가되었습니다.

트렌드 마이크로는 2014 년 6 월, "몸값 요구 형 악성 프로그램 (랜섬웨어)"이다 "CryptoLocker」나 「UPATRE"같은 다른 위협 이 Dropbox를 이용하여 악성 활동을 확대시키고 있는지에보고합니다 했다. 이번 불법 활동에서 당사가 입수 한 검체는 "BKDR_PLUGX.ZTBF-A"와 "TROJ_PLUGX.ZTBF-A"로 감지됩니다.

"BKDR_PLUGX.ZTBF-A"가 실행되면 원격 사용자의 다양한 명령을 수행합니다. 이 명령에는 단축키 기능 정보의 기록 및 포트 매핑을 실행 원격 셸 실행 등이 포함됩니다. 이 명령이 실행 됨으로써, 표적 형 공격을 다음 단계로 진행할 수 있습니다. 일반적으로 공격자는 원격 셸을 실행하여 감염 PC에서 모든 명령을 실행하여 보안을 침해 할 수 있습니다.

"BKDR_PLUGX.ZTBF-A '도 특정 URL에 접속하여 자신의 C & C 설정을 다운로드합니다. Dropbox는 파일이나 문서를 저장하기위한 일반 Web 사이트이기 때문에 공격자는 Dropbox를 사용하여 네트워크에서 악성 트래픽을 은폐 할 수 있습니다.또한 당사는이 백도어 악성 프로그램은 2014 년 5 월 5 일이 발병 이후로 설정되어 있는지 확인합니다. 즉,이 악성 프로그램은 2014 년 5 월 5 일 이후에 실행됩니다. 아마도 이것은 PC에서의 모든 부정 행위가 사용자에게 즉시 눈치 채지 위해 간 것이라고 생각됩니다.

이 악성 프로그램은 type I에서 새로운 기능과 변경 한 PlugX의 type II의 변종입니다. 변경 사항 중 하나는 기존 사용하고 있던 헤더 "MZ / PE"대신 헤더 'XV'를 이용하는 점을들 수 있습니다. 이 악성 프로그램은 먼저 헤더 "XV"을로드합니다. 헤더 "XV"헤더 "MZ / PE"로 대체되지 않는 한 이진을 실행하지 않습니다. 이것은 법정 검사에 대항하기위한 기술 일 가능성이 있습니다. 또한이 악성 프로그램은 공격자로부터 인증 코드를 제공합니다. 이번 사례는 "20140513"입니다. 그러나 PlugX의 일반적인 기능에 일반 응용 프로그램이 잘못된 DLL 파일을로드 "DLL 사전로드 공격 (일명 : 이진 이식) '라는 기술이 있습니다. 이 악성 DLL 파일은 다음 악성 활동의 중심이되는 암호화 된 요소를로드합니다. 또한이 악성 프로그램은 특정 보안 제품을 이용합니다.

■ 공격 도구 : 네트워크의 심층에 침투하는
우리가 이번 공격과 관련된 C & C 서버 "<생략> <생략> .24.12 '을 분석 한 결과, 미국의 호스트 회사"Krypt Technologies "이 관계하고 있는지 확인했습니다. 또한 "<생략> <생략> .206.172"는 "Zhou Pizhong"라는 인물이 소유하고있는 것으로 보인다 "Wholesale Internet"에 연결됩니다. "imm.heritageblog.org"의 whois 정보를 검토 한 결과, 메인 도메인이다 "heritageblog.org"가 "Whois Privacy Protection Service, Inc"에 등록되어있는 것을 발견했습니다. 이것은 도메인의 등록 정보를 은폐하기 위해 수행 된 것으로 생각됩니다.

Dropbox를 악용 한 공격과 마찬가지로 공격자는 도메인 "firefox-sync.com"이 " FireFox Sync '와 관련이 있다는 것을 암시하고 정규 무해한 것이라고 생각했습니다. 또한이 메인 도메인이다 "firefox-sync"는 Gmail 주소에 등록되어 있습니다. 수동 DNS의 정보는 "firefox-sync.com"IP 주소 "0.0.0.0"으로 매핑 레코드를 보유하고있는 것으로 밝혀졌다. IP 주소 "0.0.0.0"특별히 확보 된 주소로 일반적으로 로컬 네트워크의 미확인으로 해당하지 않는 대상에 할당됩니다. 공격자는이 주소를 작동시킬 필요가있을 때까지 수익을 얻을 목적으로 광고를 게재 할 '도메인 파킹'로 사용하고있을 수 있습니다.

일단 C & C 통신이 이루어지면 공격자는 네트워크에서 " 정보 검색 "을 실시합니다. 또한 공격자는 추적 및 탐지를 피해 다른 잘못된 도구와 정규 도구를 사용합니다. 이번 공격에서 우리가 확인하는 도구는 다음과 같습니다.

• 암호 복구 도구
• 원격 관리 도구
• 프록시
• 네트워크 유틸리티 도구
• 포트 스캐너
• 정보 전송 "Htran"

암호 복구 도구는 로컬 드라이브 나 레지스트리에있는 응용 프로그램이나 운영 체제 (OS)의 암호를 추출하는 도구입니다. 공격자는 " Pass the Hash '라는 기법을 이용하여 관리자 권한과 높은 수준의 권한을 얻습니다. 이를 통해 기밀 정보 나 기업의 "가장 귀중한 정보"가있는 네트워크의 특정 위치에 액세스 할 수 있습니다.

"Htran"는 TCP 트래픽을 다른 나라에 걸쳐 연결하여 공격자의 접근 IP를 숨 깁니다. 이는 IT 관리자가 쉽게 공격자의 접근 IP를 추적 할 수 없도록하기 위해 이루어집니다. 이렇게하면 공격자가 네트워크에 오래 머물 수 있습니다.

■ 위협 인텔리전스의 중요성
당사는 2012 년에 특주 된 RAT "PlugX"보고했습니다. 이 RAT는 2008 년 에 이미 여러 표적 공격 캠페인에 이용되고있었습니다. 당사의 조사에서 PlugX의 특정 변종은 한국 기업과 미국의 기술 기업을 공격 한 것을보고 있습니다.

PlugX에 관련된 다양한 보안 사례에 대해서는 다음 게시물을 참조하십시오.

• Adobe Flash Player에 존재하는 제로 데이 취약점, RAT "PlugX"유도
• 정규 응용 프로그램을 노리는 'PLUGX」의 새로운 변종을 확인
• 표적 형 공격에 사용되는 "PlugX」를 철저 분석

types I 및 types II의 PlugX 기능에 차이가 있지만, 특정 기술이나 "침입 흔적 (Indicators of Compromise, IOC)"에 유사성이 있기 때문에 기밀 정보에 인한 위험을 줄일 수 이 가능합니다. PlugX를 이용하는 표적 공격 캠페인은 위협 인텔리전스를 통해 검색 할 수 있습니다. IOC 대한 정보는 일반적으로 사용 가능하기 때문에 기업이 표적 공격을 받았는지 확인 할 수 있습니다. IOC는 보안 제품에 통합 할 수 있기 때문에 표적 형 공격의 마지막 단계 인 ' 정보 전달 '에 도달하기 전에 공격의 사슬을 끊을 수 있습니다.

트렌드 마이크로는 기업을 표적 형 공격으로부터 보호하기 위해 네트워크 모니터링 솔루션 제품 " Trend Micro Deep Discovery "를 제공하여 악성 프로그램 및 C & C 서버와 통신 모든 공격 단계에 걸친 부정 활동을 감지 대응합니다.

당사의 조사에서 Dropbox에는 어떠한 취약점도 확인할 수 없습니다. 이것은 다른 유사한 클라우드 응용 프로그램도 Dropbox와 마찬가지로 불법 활동에 이용 될 수 있다는 것을 보여줍니다. 2014 년 6 월 25 일 현재 이미 Dropbox는이 사례에 대한보고를하고 있습니다.

※ 협력 작성자 : Rhena Inocencio 및 Marco Dela Vega

참고 기사 :

" PlugX RAT With "Time Bomb"Abuses Dropbox for Command-and-Control Settings " 
by Maersk Menrige (Threats Analyst)