Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[중요] DNS 쿼리로 C&C 통신을 하는 파일리스 악성코드
작성일 2017-03-31 조회 1951

 

 

[출처 : http://blog.talosintelligence.com/2017/03/dnsmessenger.html]

 

Sniper-IPS 탐지 패턴

[3458] Win32/Backdoor.PowerShellCXL.DNStxtConnection
[3459] Win32/Backdoor.PowerShellCXL.DNStxtConnection.A

 

Sniper-APTX 탐지

MS-Office Macro Trojan Behavior 분석 (악성 100%)

 

[DNS Messenger BackDoor 샌드박스 분석 결과]
 

 

 

이번에 발견된 Win32/Backdoor.PowerShellCXL는 DNS TXT 레코드 내에 저장된 파워쉘을 악용해 압축, 난독화 해제, 백도어 실행 등을 수행한다.

 

Win32/Backdoor.PowerShellCXL 악성코드는 Windows 플랫폼을 대상으로하는 백도어로 시스템에 파일을 생성하지 않고, 메모리에서 실행되는 파일리스 형태의 악성코드이다.


Win32/Backdoor.PowerShellCXL 악성코드는 실행을 위해 유명 보안업체를 사칭하여 사용자가 Word문서 파일의 매크로 기능을 사용하도록 유도하고 최종적으로, 스크립트에 하드코딩 된 여러 도메인 중 하나의 도메인으로 명령을 주고 받게된다.

 

 

KISA에서는 주요이슈로 3월 20일 공지했으며, 이를 봤을 때 이미 다수의 공격이 포착 되었으리라 짐작 할 수 있다.

 

[출처 : http://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=25323]

 

악성코드는 DNS 요청을 통해 코드를 읽어 들이므로 감염 시스템에는 기록이 남지 않아 파악하기 어렵다.


공격이 성공하면 윈도우 커맨드 라인에서의 STDOUT과 STDERR 응답을 MSG 메시지로 전송한다.
또한 대체 데이터 스트림을 사용하여 데이타를 복사하고 실행 키 레지스트리 항목과 지속성을 위해 예약 된 작업을 만들게 된다.

 

 

유포 경로

대부분 메일을 통해 첨부파일 형태의 MS-Office DOC문서파일이 유포 된다.

 

Subject : Payment Receipt Attached

Subject : Attached Resume

Subject : Adobe Billing

Subject : your payment No.000000000

 

위와 같은 메일 제목으로 악성 Macro가 포함된 DOC파일을 사용자에게 전송하게 된다.

 

[출처 :http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=TROJANDOWNLOADER:O97M/DONOFF]

 

공격자는 무작위로 수집된 메일을 통해 악성파일을 유포하고 있으며, 사회공학적 관점에서 메일 본문의 내용이 단순하고, 과거부터 사용해오던 방식을 사용하고 있다. 이러한 메일 본문 사회공학기법은 러시아 또는 유럽동부권 해킹 조직의 공격에서 자주 드러나는 방법 중 하나이다.

 

국내에도 한글이 아닌 위와 동일한 형태의 메일이 다수 유입되고 있는 상황이며,

1. 동일 도메인에 여러 계정을 보내는 방식

2. 메일 유입 시간 텀

등을 고려했을 때 스팸 봇을 이용한 자동화 공격으로 대량 유포를 실시하고 있다고 유츄할 수 있다.

 

 

Fileless 악성행위

 

[출처 : http://blog.talosintelligence.com/2017/03/dnsmessenger.html]

 

VBA 매크로가 포함된 악성 워드문서를 열면 백도어 기능을 하는 내장된 파워쉘 스크립트가 실행된다. 이 과정은 모두 어떠한 파일도 기록하지 않고 메모리 내에서만 이뤄진다.

이후 VBA 스크립트는 감염PC의 여러 환경정보를 유출하는 두 번째 파워쉘 스크립트를 현재 로그인한 유저 권한으로 압축해제하고 실행한다.

 

[출처 :http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=TROJANDOWNLOADER:O97M/DONOFF]

 

이 정보는 윈도우 레지스트리를 수정하는 방식으로 감염PC에 대한 감염 지속성(?)을 확보하고, 이후 백도어 기능을 하는 세 번째 파워쉘 스크립트를 설치하는데 이용된다. 이 백도어는 WMI DB에 등록하고, 감염당시 PC에 로그인한 유저가 관리자 권한이 있었다면, 재부팅 이후에도 악성코드가 자동실행 되게 한다.

 

 

-- DNS Messenger (DNS를 이용한 C2와 통신) --

이후 백도어는 DNS 를 이용, C&C 서버와 양방향 통신채널을 확보한다. 여기에는 DNS TXT 레코드가 이용된다. 이 레코드는 DNS 서버의 응답에 비규격 텍스트(unformatted text) 를 삽입(attach)할 수 있도록 해준다.

 

[출처 : http://blog.talosintelligence.com/2017/03/dnsmessenger.html]

 

현재까지 백도어는 하드코딩된 도메인목록중 하나에 주기적으로 DNS 쿼리를 전송한다. 이 DNS 요청으로 PC에서 실행되는(하지만 파일로 전혀 기록되진 않는)파워쉘 명령어를 포함한 DNS TXT 레코드를 가져온다.

 

[출처 : http://blog.talosintelligence.com/2017/03/dnsmessenger.html]

 

이렇게 가져온 네 번째 파워쉘 스크립트는 공격자가 사용하는 원격제어 툴이다. 이 네 번째 스크립트 또한 명령 수신에 DNS TXT 메시지를 이용한다.

 

실제 DNS Messenger C2 통신은 SYN->MSG->FIN으로 이루어지는데.

최초 Syn에서는 Session을 통해 C2와의 채널을 형성한다. 이후 이 채널을 이용해 Command 및 내부정보를 주고받게 된다.

 

[출처 : http://blog.talosintelligence.com/2017/03/dnsmessenger.html]

 

이 작업이 완료되면 Windows CMD 프로세스에서 위 단계 이전에 캡쳐한 STDOUT 및 STDERR 출력을 MSG메시지로 전송하게 된다.

 

이를 통해 공격자는 CMD를 통해 실행될 명령어를 보내고 DNS TXT 요청 및 응답을 사용하여 명령의 출력을 모두 수신할 수 있다.

 

[WSEC 테스트 시연 Windows CMD를 이용해 IPCONFIG 명령 수행]

 

위의 쿼리 내용을 보면 쿼리 내용이 난독화 되어 있는것이 확인 가능하다.

DNS 요청 쿼리를 실행하고 디코딩 기능을 통해 실행하면 Winsdows 명령행 처리기가 C2 서버로 전송하게 된다.

디코드 코드 예제는 다음과 같고 TXT Value에 포함된 HEX를 ascii 코드 decode하게되면 평문을 얻을 수 있다.

특이 사항은 Encode Hex 전송문자열 30byte마다 .(dot)을 찍어 보내 구분을 하고 있으며, TXT Value 앞단에는 Session 및 Seq_num을 통해 통신을 하고 있다.

 

[출처 : http://blog.talosintelligence.com/2017/03/dnsmessenger.html]

 

 

DNS Messenger 악성코드 C2 Message Structure

 

[출처 : http://blog.talosintelligence.com/2017/03/dnsmessenger.html]

 

 

대응방안
 

1. 최신의 백신으로 치료한다.

  + 문서 Macro 공격의 경우 변종이 많고, 시그니쳐 기반의 탐지가 어렵다. 그러므로 샌드박스 기반의 행위분석 시스템을 활용한 분석이 예방에 월등한 효과를 가져온다.

 + Macro에 의해 추가 설치된 악성코드는 다음과 같은 위치에 설치된다.

%APPDATA% fdataupdate.com

%APPDATA% VTAYOVKKIET.exe

%TEMP% 1101.exe

%TEMP% 8fvk.exe

%TEMP% enu.exe

%TEMP% HZLAFFLTDDO.exe

%TEMP% msml.exe

%TEMP% NYHEFLJDPZR.exe

%TEMP% sentinel.exe

%TEMP% xml.exe

%USERPROFILE% EPGRE.exe

%USERPROFILE% fkjhlkj23.com

%USERPROFILE% SHIPA.exe

C:JGSNUWKJRFC.exe

 

2. DNS 트래픽 부분을 악용하므로 DNS 쿼리 모니터링/필터링 강화 필요

  + 현재까지 확인 C2 도메인은 다음과 같다.

algew[.]me
aloqd[.]pw
bpee[.]pw
bvyv[.]club
bwuk[.]club
cgqy[.]us
cihr[.]site
ckwl[.]pw
cnmah[.]pw
coec[.]club
cuuo[.]us
daskd[.]me
dbxa[.]pw
dlex[.]pw
doof[.]pw
dtxf[.]pw
dvso[.]pw
dyiud[.]com
eady[.]club
enuv[.]club
eter[.]pw
fbjz[.]pw
fhyi[.]club
futh[.]pw
gjcu[.]pw
gjuc[.]pw
gnoa[.]pw
grij[.]us
gxhp[.]top
hvzr[.]info
idjb[.]us
ihrs[.]pw
jimw[.]club
jomp[.]site
jxhv[.]site
kjke[.]pw
kshv[.]site
kwoe[.]us
ldzp[.]pw
lhlv[.]club
lnoy[.]site
lvrm[.]pw
lvxf[.]pw
mewt[.]us
mfka[.]pw
mjet[.]pw
mjut[.]pw
mvze[.]pw
mxfg[.]pw
nroq[.]pw
nwrr[.]pw
nxpu[.]site
oaax[.]site
odwf[.]pw
odyr[.]us
okiq[.]pw
oknz[.]club
ooep[.]pw
ooyh[.]us
otzd[.]pw
oxrp[.]info
oyaw[.]club
pafk[.]us
palj[.]us
pbbk[.]us
ppdx[.]pw
pvze[.]club
qefg[.]info
qlpa[.]club
qznm[.]pw
reld[.]info
rnkj[.]pw
rzzc[.]pw
sgvt[.]pw
soru[.]pw
swio[.]pw
tijm[.]pw
tsrs[.]pw
turp[.]pw
ueox[.]club
ufyb[.]club
utca[.]site
vdfe[.]site
vjro[.]club
vkpo[.]us
vpua[.]pw
vqba[.]info
vwcq[.]us
vxqt[.]us
vxwy[.]pw
wfsv[.]us
wqiy[.]info
wvzu[.]pw
xhqd[.]pw
yamd[.]pw
yedq[.]pw
yqox[.]pw
ysxy[.]pw
zcnt[.]pw
zdqp[.]pw
zjav[.]us
zjvz[.]pw
zmyo[.]club
zody[.]pw
zugh[.]us
cspg[.]pw


3. Microsoft Word의 매크로 기능을 사용하지 않는다.

  + 현재까지 확인된 Macro를 이용해 다운로드 되는 추가 악성코드의 URL

adobe-support.us/.exe

bringbackourgals.biz/php//ken.exe

bustedrubberbabies.com/js/.exe

chinamanwoody.com/.php

chopsecurity.ru/microsoft/word/.com

climate54.ru/modules/mod_araticlhess/.php

colfdoc.it/cart/.exe

dhanophan.co.th/js/.exe

getimgdcenter.ru/.png

goldriverlinedancers.nl/components/dancers/.exe

goo.gl/

iloveberniemovie.ru/.png

internetincomeengine.net/.exe

joeniclesd.hostingsiteforfree.com/.exe

legendarydownloads.com/.exe

managercomponent.usa.cc/errors/.0.exe

offshorebags.asia/.exe

omc.hostingsiteforfree.com/.exe

papeleriaelcid.com/aurora/ajax/.exe

rghost.net/download/57465888/967d4c206f2a944160ffcc0f2b889f90a506653d/.exe

s1.directxex.net/uploads/

socialnetchat.tk/uch/.exe

u.to/

 

 


 

첨부파일 첨부파일이 없습니다.
태그 DNSMessenger    dns c2  pwershell  fileless