메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

Contents 공유하기

Contents 공유하기

카카오 스토리 공유하기

가입하기

Contents 공유하기

인스타그램 공유하기

가입하기

Contents 공유하기

네이버밴드 공유하기

가입하기

2017 년 9 월, 우리는 금융 기관에 대한 새로운 표적 공격을 발견했습니다. 피해자는 주로 러시아 은행이지만 말레이시아와 아르메니아의 감염된 기관도 발견했습니다. 공격자들은 돈을 벌기 위해 알려진 사이버 범죄자들에게 알려진 기술이지만 여전히 효과적인 기술을 사용하고있었습니다. 장기간 내부 은행 네트워크에 지속적으로 액세스하고, 은행 직원 PC의 일상적인 활동을 녹화하고, 일은 대상 은행에서 작동하고, 어떤 소프트웨어가 사용되고 있으며, 그 지식을 사용하여 가능한 한 많은 돈을 훔칩니다.

Carbanak에서 이전에이 기술을 보았습니다. 감염 벡터는 악성 첨부 파일이있는 스피어 피싱 전자 메일입니다. Silence 공격의 흥미로운 점은 사이버 범죄자가 실제 은행 직원의 주소에서 스피어 피싱 전자 메일을 보내고 가능한 한 불행한 사람을 미래의 희생자로 보이기 위해 이미 은행 인프라를 손상 시켰기 때문입니다.

공격은 현재 진행 중입니다.


files/attach/outimage/d1srlirzdlmpew.cloudfront.net/wp-content/uploads/sites/92/2017/11/01110802/ac752e1d0626be5e445b4072936221e7..gif 

 

기술적 세부 사항

침묵을 사용하는 사이버 범죄자들은 ​​스피어 피싱 이메일을 초기 감염 벡터로 보내고, 이미 감염된 금융 기관의 직원 주소를 사용하여 공격당한 은행에서 계좌 개설을 요청합니다. 메시지는 일상적인 요청과 같습니다. 이 사회 공학 트릭을 사용하면 수신자에게는 좋지 않은 것처럼 보입니다.

 

 

 

러시아어로 스피어 피싱 이메일.

 

 

 

악의적 인 .chm 첨부 파일

md5 dde658eb388512ee9f4f31f0f027a7df
유형 Windows 도움말 .chm 파일

이 새로운 웨이브에서 발견 된 첨부 파일은 "Microsoft Compiled HTML Help"파일입니다. 이것은 HTML 페이지 모음, 인덱싱 및 기타 탐색 도구로 구성된 Microsoft의 독점 온라인 도움말 형식입니다. 이러한 파일은 .CHM (컴파일 된 HTML) 확장명을 사용하여 압축되고 이진 형식으로 배포됩니다. 이 파일들은 상호 작용이 매우 뛰어나며 JavaScript를 포함한 일련의 기술을 실행할 수 있습니다.이 기술은 단순히 CHM을 연 후 희생자를 외부 URL로 리디렉션 할 수 있습니다. 공격자는 CHM 파일을 악용하여 일단 파일에 액세스하면 악의적 인 페이로드를 자동으로 실행합니다. 피해자가 첨부 파일을 열면 포함 된 .htm 콘텐츠 파일 ( "start.htm")이 실행됩니다. 이 파일에는 JavaScript가 포함되어 있으며 목표는 하드 코딩 된 URL에서 다른 스테이지를 다운로드하고 실행하는 것입니다.

 

 

 

내장 된 start.htm 파일의 일부

 

 

 

스크립트의 목표는 최종 dropper를 다시 다운로드하고 실행하는 obfuscated .VBS 스크립트를 다운로드하여 실행하는 것입니다.

 

 

 

바이너리 드롭퍼를 다운로드하는 난독 화 된 VBS 스크립트

 

 

 

Dropper

md5 404D69C8B74D375522B9AFE90072A1F4
편집 Thu Oct 12 02:53:12 2017
유형 Win32 실행 파일

Dropper는 win32 실행 바이너리 파일이며 명령 및 제어 (C & C) 서버와 통신하고 감염된 시스템의 ID를 보내고 악의적 인 페이로드를 다운로드하여 실행하는 것이 주 목적입니다.

실행 후 dropper는 GET 요청을 사용하여 C & C에 연결하고 생성 된 희생 ID를 전송하고 페이로드를 다운로드 한 다음 CreateProcess 함수를 사용하여 실행합니다.

 

 

 

ID와 함께 C & C 연결 요청 문자열

 

 

 

 

 

 

C & C 연결 절차

 

 

 

페이로드

페이로드는 스크린 레코딩, 데이터 업로드 등과 같은 다양한 작업을 위해 감염된 시스템에서 실행되는 많은 모듈입니다.

우리가 식별 할 수 있었던 모든 페이로드 모듈은 Windows 서비스로 등록됩니다.

모니터링 및 제어 모듈

md5 242b471bae5ef9b4de8019781e553b85
편집 Tue Jul 19 15:35:17 2016
유형 Windows 서비스 실행 파일

이 모듈의 주요 작업은 희생자의 활동을 모니터링하는 것입니다. 그렇게하기 위해 희생자의 활성 화면을 여러 스크린 샷으로 캡처하여 실시간 의사 비디오 스트림에 모든 희생자의 활동을 제공합니다. Carbanak 사건에서 매우 유사한 기술이 사용되었는데,이 모니터링은 피해자의 일상 활동을 이해하는 데 사용되었습니다.

이 모듈은 "Default monitor"라는 Windows 서비스에 의해 등록되고 시작됩니다.

 

 

 

악성 서비스 모듈 이름

 

 

 

초기 시작 후 "\\. \ pipe \ {73F7975A-A4A2-4AB6-9121-AECAE68AABBB}"하드 코드 값이있는 Windows 명명 된 파이프를 만듭니다. 이 파이프는 모듈 간의 악의적 인 프로세스 간 통신에서 데이터를 공유하는 데 사용됩니다.

 

 

 

명명 된 파이프 생성

 

 

 

맬웨어는 데이터 블록을 암호 해독하고 하드 코드 된 이름 "mss.exe"가 포함 된 이진 파일로 Windows 임시 위치에 저장 한 다음 나중에 CreateProcessAsUserA 기능을 사용하여 실행합니다. 이 드롭 된 바이너리는 실시간 화면 활동 기록을 담당하는 모듈입니다.

그런 다음 모니터링 모듈은 명명 된 파이프를 사용하여 기록 된 데이터를 다른 모듈과 공유하기 위해 새 삭제 된 모듈이 시작될 때까지 기다립니다.

화면 활동 수집 모듈

md5 242b471bae5ef9b4de8019781e553b85
편집 Tue Jul 19 15:35:17 2016
유형 Windows 32 실행 파일

이 모듈은 Windows 그래픽 장치 인터페이스 (GDI)와 Windows API를 사용하여 피해 화면 활동을 기록합니다. 이 작업은 CreateCompatibleBitmap 및 GdipCreateBitmapFromHBITMAP 함수를 사용하여 수행됩니다. 그런 다음 모듈은 앞에서 설명한 모듈에 의해 만들어진 명명 된 파이프에 연결하고 거기에 데이터를 씁니다. 이 기법을 사용하면 수집 된 모든 비트 맵을 조합하여 희생자 활동의 의사 비디오 스트림을 만들 수 있습니다.

 

 

 

파이프에 비트 맵 작성하기

 

 

 

콘솔 백 링크가있는 C & C 통신 모듈

md5 6A246FA30BC8CD092DE3806AE3D7FC49
편집 Thu Jun 08 03:28:44 2017
유형 Windows 서비스 실행 파일

C & C 통신 모듈은 다른 모든 모듈과 마찬가지로 Windows 서비스입니다. 주요 기능은 콘솔 명령 실행을 사용하여 대상 컴퓨터에 대한 백 커커 액세스를 제공하는 것입니다. 서비스 초기화가 끝나면 필요한 Windows API 함수 이름을 해독하고 LoadLibrary로로드 한 다음 GetProcAddress 함수로 해결합니다.

 

 

 

WinAPI 해결

 

 

 

WinAPI 기능을 성공적으로로드 한 후 맬웨어는 하드 코드 된 IP 주소 (185.161.209 [.] 81)를 사용하여 C & C 서버에 연결을 시도합니다.

 

 

 

C & C IP

 

 

 

맬웨어는 ID가있는 명령 서버에 특수 요청을 보내고 응답을 기다립니다.이 응답은 실행할 작업의 코드를 제공하는 문자열로 구성됩니다. 옵션은 다음과 같습니다.

  • "htrjyytrn" 은 "reconnect" (러시아 레이아웃의 "реконнект") 음역입니다 .
  • "htcnfhn" 은 "재시작" (러시아어 레이아웃의 "рестарт") 음역입니다 .
  • "ytnpflfybq" 는 "нет заданий"의 음역이며 "no tasks"를 의미 합니다.

마지막으로 맬웨어는 실행할 콘솔 명령에 대한 지침을받습니다.이 명령은 매개 변수 명령과 함께 새로운 cmd.exe 프로세스를 사용합니다.

 

 

 

지시 사항 확인

 

 

 

설명 된 절차를 통해 공격자는 다른 악성 모듈을 설치할 수 있습니다. 이는 "sc create"콘솔 명령을 사용하여 쉽게 수행 할 수 있습니다.

Winexecsvc 도구

md5 0B67E662D2FD348B5360ECAC6943D69C
편집 Wed May 18 03:58:26
유형 Windows 64 실행 파일

또한 일부 감염된 컴퓨터에서 Winexesvc 도구라는 도구를 발견했습니다. 이 도구는 기본적으로 잘 알려진 "psexec"도구와 동일한 기능을 제공합니다. 가장 큰 차이점은 Winexesvc 도구가 Linux 기반 운영 체제에서 원격 명령을 실행할 수 있다는 점입니다. Linux 바이너리 "winexe"가 Windows 서버에 대해 실행되면 winexesvc.exe 실행 파일이 생성되어 서비스로 설치됩니다.

결론

금융 기관에 대한 공격은 사이버 범죄자들이 돈을 벌 수있는 매우 효과적인 방법입니다. 이 사례에 대한 분석을 통해 새로운 트로이 목마가 생겨 났으며이 트로이 목마는 여러 국가에서 사용 된 것으로 추측됩니다. 트로이 목마는 Carbanak 그룹에서 사용하는 것과 유사한 모니터링 기능을 제공합니다.

그룹은 합법적 인 관리 도구를 사용하여 악용 후 탐지 단계에서 레이더를 통해 비행하며 이로 인해 악의적 인 활동을 감지하고 더 복잡한 속성이 생성됩니다. 이러한 종류의 공격은 최근 몇 년 동안 널리 퍼져 나갔고, 이는 범죄자들이 공격에 성공했다는 것을 보여주는 매우 걱정스러운 추세입니다. 우리는이 새로운 캠페인에 대한 활동을 계속 모니터링 할 것입니다.

스피어 - 피싱 감염 벡터는 여전히 타겟 캠페인을 시작하는 가장 보편적 인 방법입니다. 이미 손상된 인프라와 함께 사용하고 .chm 첨부 파일과 함께 사용하면 적어도 금융 조직간에 퍼져 나가는 것이 효과적입니다.

권장 사항

금융 기관에 집중된 표적 공격으로부터 효과적인 보호 방법은 모든 유형의 예외를 탐지하고 의심스러운 파일을 더 깊은 수준에서 조사하여 사용자 시스템에 표시 할 수있는 솔루션과 같은 예방 차원의 고급 탐지 기능입니다. Kaspersky Anti-Targeted Attack 솔루션 (KATA)은 여러 인프라 수준에서 발생한 이벤트를 일치시키고 예외를 식별하여 사고로 집계하며 안전한 환경에서 관련 아티팩트를 연구합니다. 대부분의 카스퍼 스키 제품과 마찬가지로 KATA는 사내 및 실험실 운영 기계 학습 프로세스와 실시간 분석 전문가의 전문 지식 및 위협 정보 대용량 데이터에 대한 이해로 뒷받침되는 HuMachine Intelligence를 기반으로합니다.

공격자가 보안 취약점을 발견하고 활용하지 못하도록 막는 가장 좋은 방법은 부적절한 시스템 구성이나 독점적 인 응용 프로그램의 오류와 관련된 취약점을 포함하여 구멍을 완전히 없애는 것입니다. 이를 위해 Kaspersky 침투 테스트 및 응용 프로그램 보안 평가 서비스는 발견 된 취약점에 대한 데이터뿐만 아니라 문제 해결 방법에 대한 자문을 제공하여 기업 보안을 강화하는 편리하고 효과적인 솔루션이 될 수 있습니다.

IOC

카스퍼 스키 랩 제품은 다음과 같은 평결을 통해 침묵 트로이 목마를 탐지합니다.

Backdoor.Win32.Agent.dpke 
Backdoor.Win32.Agent.dpiz 
Trojan.Win32.Agentb.bwnk 
Trojan.Win32.Agentb.bwni 
Trojan-Downloader.JS.Agent.ocr 
HEUR : Trojan.Win32.Generic 
전체 IOC 및 YARA 규칙 제공 개인 보고서 구독.

MD5
Dde658eb388512ee9f4f31f0f027a7df 
404d69c8b74d375522b9afe90072a1f4 
15e1f3ce379c620df129b572e76e273f의 
D2c7589d9f9ec7a01c10e79362dd400c 
1b17531e00cfc7851d9d1400b9db7323 
242b471bae5ef9b4de8019781e553b85 
324D52A4175722A7850D8D44B559F98D 
6a246fa30bc8cd092de3806ae3d7fc49 
B43f65492f2f374c86998bd8ed39bfdd의 
cfffc5a0e5bdc87ab11b75ec8a6715a4

추천 컨텐츠