"BIFROSE"를 표적 공격에서 확인 Tor를 이용하여 감지가 더 어려워 져

트렌드 마이크로는 2014 년 8 월, 제조 회사를 노린 표적 형 공격에 대해 조사했습니다. 그 결과, 표적으로 한 네트워크에서 확인 된 것은 잘 알려진 백도어 악성 프로그램 "BIFROSE"변종 인 것으로 판명되었습니다. "BIFROSE"몇 년 전부터 감염이 확인되고있어 다양한 사이버 범죄에 이용되고 있습니다. 또한 사이버 범죄자도 언더 그라운드에서 쉽게 사용할 수 있습니다.

"BIFROSE"가 이용 된 과거 사례의 하나는 2010 년부터 확인되고있다 " Here you have '라는 스팸 메일 활동이 있습니다. 이 공격은 아프리카 연합과 "북대서양 조약기구 (NATO) '등 정부 관련 기관의 인사 부서를 대상으로하고있었습니다. 이러한 사례는 현재 표적 공격 또는 지속적인 표적 공격이라는 것이 흡사합니다. 따라서 이번 "BIFROSE"이 표적 공격 공격에 이용 된 것은 놀라운 일이 아닐 것입니다.

이번이 기업에 표적 형 공격에 이용 된 "BIFROSE"변종은 당사의 제품은 " BKDR_BIFROSE.ZTBG-A"로 감지됩니다. 이 악성 프로그램의 해시 값은 다음과 같습니다.

• 5e2844b20715d0806bfa28bd0ebcba6cbb637ea1

또한이 악성 프로그램은 다음 정보 절취 활동을합니다.

• 파일 다운로드
• 파일 업로드
• 파일 크기와 최신 수정 한 날짜 등의 파일 정보의 취득
• 폴더 만들기
• 폴더 삭제
• 함수 "ShellExecute"을 이용하여 파일을 열
• 명령 줄 실행
• 파일 이름의 개칭
• 모든 창과 프로세스 ID의 열거
• 창 닫기
• 창을 맨 앞으로 이동
• 창 숨기기
• 키 입력 조작 정보를 창으로 전송
• 마우스 작업 기록 창으로 전송
• 프로세스의 종료
• 디스플레이 해상도의 취득
• "<Windows> \ winieupdates \ klog.dat"콘텐츠 업로드
• 스크린 샷 및 Web 카메라의 이미지 수집

그림 1 : "BIFROSE"가 사용하는 관리자 패널

그림 2 : "BIFROSE"가 감염된 PC에서 가져온 스크린 샷

"BIFROSE"는 주로 키 입력 조작 정보 수집 활동으로 알려져 있습니다 만, 키 입력 조작 정보뿐만 아니라 훨씬 더 많은 정보를 절취하는 기능을 제공합니다. 이 악성 프로그램은 키 입력 작업 정보 및 마우스 작업 기록 창에 보낼 수도 있습니다. 즉, 공격자는 사용자 계정을 탈취 않고 감염된 PC의 사용자로 조작 할 수 있다는 것입니다. 예를 들어, 공격자가 내부 시스템에 로그인하거나 네트워크의 다른 사용자에게 메일을 보낼 수 있습니다. 또한이 "BIFROSE"변종 탐지를 어렵게하고있는 것은 자신의 명령 및 제어 (C & C) 서버와의 통신에 익명 통신 시스템 "The Onion Router (Tor) '를 이용하고있는 것입니다.

■이 "BIFROSE"변종 탐지는 가능 하나
보안 제품 탐지뿐만 아니라 IT 관리자는 네트워크에서이 "BIFROSE"변종을 확인 할 수 있을지도 모릅니다. IT 관리자는 보안 제품에 의한 검색 이외에도 네트워크에 숨어 "BIRFOSE"변종을 확인 할 수 있습니다. 가장 쉬운 방법 중 하나는 PC에서 "klog.dat"의 유무를 확인하는 것입니다. "klog.dat"키 입력 조작 정보 수집 활동에 관련된 파일입니다.

공격을 확인하는 또 다른 방법은 네트워크 및 메일 로그에 비정상적인 활동이 있는지를 확인하는 것입니다. 당사가 2014 년 8 월 22 일에 본 블로그에 게시 한 기사 " 기업의 네트워크를 노리는 표적 공격의 징후를 알 7 점 "에서 설명한 바와 같이, 불규칙한 시간의 로그인 또는 E 메일 등의 네트워크 활동을 확인해야합니다.

마지막으로, 부정이라고 생각되는 동작을 감지하는 기능을 갖춘 보안 조치를 통해 IT 관리자는 공격의 가능성을 확인 할 수 있습니다. 예를 들어,이 악성 프로그램은 자신의 C & C 서버와의 통신에 Tor를 사용하기 때문에 네트워크의 Tor의 활동을 감지 할 수있는 것은 특히 네트워크에 잠재적 인 공격을 확인하는 데 도움이됩니다.

Trend Micro 제품을 사용할 사용자가 당사의 클라우드 형 보안 기초 " Trend Micro Smart Protection Network "에 의해 지켜지고 있습니다. 특히 " Web 평판 "기술은이 위협에 대한 잘못된 Web 사이트에 대한 액세스를 차단합니다. 그리고 " 파일 평판 "기술은 위의 악성 프로그램을 감지하고 제거합니다.

※ 협력 저자 : Ronnie Giagone

참고 기사 :

• " BIFROSE Now More Evasive Through Tor, Used for Targeted Attack " 
  by Christopher Daniel So (Threat Response Engineer)

　번역 : 절구 본 将貴 (Core Technology Marketing, TrendLabs)

Related Posts :

1. 대만 정부 기관을 겨냥한 표적 공격 캠페인 "PLEAD"확인
2. Mac OS X를 노리는 악성 프로그램 "MORCUT"확인이 위협에 유의하는 이유는?
3. 기업의 네트워크를 노리는 표적 공격의 징후를 알 7 점
4. 취약성을 악용 문서의 "편지지"여러 표적 공격 확인