보안정보

글로벌 정보보안 리더 윈스
PowerShell 실행Word 매크로ImgurGitHub

GitHub 호스팅 멀웨어는 Imgur pic에서 Cobalt Strike를 계산한다

침해사고분석팀 2020.12.29

악성 코드

 

 

새로운 맬웨어는 매크로가 포함된 Word 파일을 사용하여 GitHub에서 PowerShell 스크립트를 다운로드한다.

 

이 PowerShell 스크립트는 이미지 호스팅 서비스 Imgur에서 합법적인 이미지 파일을 다운로드하여 Windows 시스템에서 Cobalt Strike 스크립트를 디코딩한다.

 

여러 연구원들은 이 변종을 정부 지원을 받는 지속적 위협(APT) 그룹인 MuddyWater(일명 SeedWorm 및 TEMP.Zagros)와 잠재적으로 연관시켰으며, 이 그룹은 주로 중동 을 대상으로 2017년에 처음 관찰되었다.

 


Word 매크로는 GitHub에서 호스팅되는 PowerShell 스크립트를 실행시킨다

 

이번 주 연구원 Arkbird는 페이로드를 다각적인 단계로 생성하는 새로운 매크로 기반 멀웨어에 대한 세부 정보을 공유했다.

 

연구원에 따르면 "MuddyWater"처럼 보이는 이 맬웨어는 APT 그룹의 방식인 Microsoft Word(*.doc) 파일 내에 포함된 매크로로 제공된다.

 

BleepingComputer의 테스트에서 Word 문서를 열면 내장된 매크로가 실행됐으며, 
매크로에서는 추가로 powershell.exe를 시작하고 GitHub에서 호스팅되는 PowerShell 스크립트의 위치를 제공했다.

 

 

GitHub에 대한 링크가있는 Word 매크로

[그림1. 악성 Word 문서에 포함된 매크로 스크립트]

 

 

한 줄짜리 PowerShell 스크립트에는 이미지 호스팅 서비스 Imgur에서 실제 PNG 파일(아래 그림 참조)을 다운로드하라는 지침이 있었다.

 

이 이미지 자체는 무해할 수 있지만 해당 픽셀 값은 PowerShell 스크립트에서 다음 단계 페이로드를 계산하는 데 사용된다.

 

 

맬웨어는 이미지 픽셀 값을 디코딩하여 다음 단계 페이로드를 계산합니다.

[그림2. 해당 이미지 내의 픽셀 값을 디코딩 하여 다음 단계 페이로드를 계산]

 

 

일반 파일(예: 이미지) 내에서 코드, 비밀 데이터 또는 악의적인 페이로드를 숨기는 기술을 "steganography(스테가노그래피)"라고 한다.

 

Invoke-PSImage와 같은 도구는 PNG 파일의 픽셀 내에서 PowerShell 스크립트를 인코딩하고 페이로드를 실행하는 한 줄 명령을 생성함으로써 이를 가능하게 한다.

 

Bleeping Computer가 관찰하고 아래에 표시된대로 페이로드 계산 알고리즘은 각 루프를 실행하여 PNG 이미지 내의 픽셀 값 집합에 대해 반복하고 특정 산술 연산을 수행하여 기능적인 ASCII 명령을 얻는다.

 

 

imgur 페이로드 다운로드

[그림3. 페이로드 계산 알고리즘]

 

 

디코딩된 스크립트는 Cobalt Strike 페이로드를 실행한다

 

PNG의 픽셀 값을 조작하여 얻은 디코딩된 스크립트는 Cobalt Strike 스크립트이다.

 

Cobalt Strike는 공격자가 손상된 장치에 "비콘"을 배포하여 원격으로 쉘을 만들거나, PowerShell 스크립트를 실행하거나, 권한 상승 또는 새 세션을 생성하여 공격 대상 시스템에 수신기를 만들 수 있는 합법적인 침투 테스트 툴킷이다.

 

실제로 디코딩된 쉘 코드는 EICAR 문자열로 구성되어 보안 툴과 SOC 팀이 악의적인 페이로드를 보안 전문가가 수행하는 바이러스 백신 테스트로 착각하도록 한다.

 

그러나 Arkbird에 따르면, 페이로드는 추가 지침을 수신하기 위해 실제로 WinInet 모듈을 통해 명령 및 제어(C2) 서버에 연결된다.

 

Nextron Systems의 보안 연구원 Florian Roth는 모방 공격의 가능성을 고려하여 이 맬웨어와 관련된 침해 지표(IOCs)를 MuddyWater IOCs 목록에 추가했다.

 

또한 Roth는 사용자 환경에서 변형을 탐지하는 데 사용할 수 있는 YARA 규칙도 제공했다.

 

이 멀웨어 캠페인에 사용된 매크로가 포함된 Word 문서와 관련된 IOC는 아래와 같다.

 

1. d1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81

 

2. ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866

 

피싱 이메일이나 다른 방법을 통해 의심스러운 Word 문서를 수신할 경우, 문서를 열거나 그 안에서 "매크로"를 실행하지 않는 것을 권장한다.

 

GitHub 및 Imgur와 같은 합법적인 서비스가 맬웨어를 제공하기 위해  악용된 것은 이번이 처음이 아니다.

 

최근 웜이 가능한 봇넷 Gitpast-12는 GitHub와 Pastebin을 모두 활용하여 악의적인 페이로드를 호스팅하고 탐지를 회피했다.

 

또한 CryLocker와 같은 랜섬웨어 그룹은 데이터 저장을 위해 Imgur를 남용하는 것으로 알려져 있다.

 

 

출처

https://www.bleepingcomputer.com/news/security/github-hosted-malware-calculates-cobalt-strike-payload-from-imgur-pic/
목록