Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Haffnium 그룹이 사용한 China Chopper 도구 분석 보고서 공개
작성일 2021-03-16 조회 130

최근, 보안 연구원들이 Haffnium 해킹 그룹이 사용하는 China Chopper 웹 쉘의 분석 보고서를 공개했다. Haffnium은 중국에서 활동중인 공격 그룹이며 최근 Microsoft Exchange Server에서 발생한 제로데이 취약점들을 사용한 것으로 주목을 받았다.

 

Microsoft는 Haffnium이 다양한 연구 기관, 법, 고등 교육등 다양한 산업들을 중심으로 미국에서 임대한 VPS(Virtual Private Server)를 통해 공격을 진행했다고 밝혔다. Haffnium의 관심이 높아지고 있는 지금 Trustwave는 이번 주 월요일, 이들의 도구 중 하나인 China Chopper 웹쉘에 대한 분석 보고서를 발표했다. 해당 웹쉘은 DearCry 랜섬웨어 유포와 함께 Exchange 서버 관련 공격에서 탐지됐다.

 

China Chopper는 10년 전부터 인터넷 상에서 흔히 구할 수 있었던 웹쉘이며 용량이 4kb밖에 되지 않는다. 웹쉘에는 쉘 명령 및 제어(C2) 클라이언트 바이너리와 텍스트 기반 페이로드(서버)가 포함되어 있다.

 

인터넷 상에서는 ASP, ASPX, PHP, JSP 등 다양한 언어로 작성된 China Chopper 변형들이 있으며 모두 비슷한 기능을 가지고 있다. 

 

TrustWave는 China Chopper 분석을 통해 HTTP POST 요청을 받을경우 요청 변수 내에 존재하는 문자열들을 실행시키게 된다고 밝혔다. payload는 host 서버에서 바로 실행할 수 있는 명령어들을 주입할 수 있으며 터미널 실행, 파일 다운로드, 기타 악성코드 스크립트 등 추가 악성 행위들을 수행할 수 있게 된다.

 


[그림1. china_chopper 웹쉘 post payload]

 


[그림2. 웹쉘 File Manager 기능]

 

 

 

또한 연구원들은 손상된 서버에서 ASP.NET 런타임 파일로 위장한 DLL 모듈도 발견했다. 해당 모듈은 China Chopper 를 C#으로 변환한 파일이며 감염될 경우 동일한 악성 행위를 수행할 수 있게 된다.

 


[그림3. 컨버팅된 China Chopper]

 


[그림4. C# Payload 전송]

 

 

 

Microsoft에 따르면 적어도 10개의 APT그룹이 Exchange 서버를 공격하고 있는것으로 보고 있으며 최소 82,000대의 서버가 패치되지 않은 상태로 남아있다고 전했다. 또한, 취약한 Exchange 서버들에 대해서 신속한 보안 패치를 수행해야 한다고 조언했다.

 

출처

 

https://www.zdnet.com/article/hafniums-china-chopper-a-slick-and-tiny-web-shell-for-creating-server-backdoors/

 

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/hafnium-china-chopper-and-aspnet-runtime/

첨부파일 첨부파일이 없습니다.
태그 Haffnium  China Chopper