RAT와 대화하기: 원격 액세스 트로이 목마 감염을 분석하여 기업 위험 평가하기

RAT와 대화하기: 원격 액세스 트로이 목마 감염을 분석하여 기업 위험 평가하기

레코디드 퓨처는 표적이 된 피해 조직과 부문을 프로파일링하기 위해 여러 멀웨어 제품군에서 일부 RAT 명령 및 제어 서버와 관련된 네트워크 통신을 분석했습니다. 이 보고서는 Recorded FutureⓇ 플랫폼, VirusTotal, Farsight DNS, 쇼단, 그레이노이즈 및 기타 OSINT 기법에서 얻은 데이터를 기반으로 합니다.

이 보고서는 제3자 공급망으로부터 발생하는 위험에 대해 우려하는 기업 내 네트워크 보안 담당자와 기업 리스크 관리 전문가들에게 가장 유용할 것입니다. Recorded Future를 활용하여 제3자 위험 모니터링 및 조사에 대해 자세히 알아보려면 다음을 읽어보세요. 우리의 새로운 제3자 위험 관리 서비스. 이 평가에서는 제3자 위험을 위한 새로운 네트워크 트래픽 분석 위험 규칙의 데이터를 활용하여 실행 가능한 인사이트를 생성합니다.

Executive Summary

기업 시스템의 원격 액세스 트로이목마(RAT)는 기업 네트워크 내에서 정보에 측면적으로 액세스하는 주요 구심점 역할을 할 수 있습니다. 네트워크 메타데이터를 분석하여 레코디드 퓨처의 분석가들은 RAT 명령 및 제어(C2) 서버를 식별할 수 있었고, 더 중요한 것은 어떤 기업 네트워크가 이러한 컨트롤러와 통신하고 있는지 파악할 수 있었습니다. 이러한 접근 방식을 통해 Recorded Future는 고객이 의존할 수 있는 타사 조직에 대한 인사이트를 제공하여 자체 데이터에 대한 잠재적인 타사 위험을 더 잘 이해할 수 있습니다.

인식트 그룹은 2018년 12월 2일부터 2019년 1월 9일까지 레코디드 퓨처와 쇼단 멀웨어 헌터 공동 프로젝트와 레코디드 퓨처 플랫폼을 사용하여 14개의 멀웨어 제품군에 대한 활성 멀웨어 컨트롤러를 식별했습니다. 그런 다음 멀웨어의 하위 집합인 Emotet, Xtreme RAT 및 ZeroAccess에 분석을 집중하여 타사 조직에서 컨트롤러로 전송되는 RAT 통신을 프로파일링했습니다.

주요 판단

쥐-기업-위험-평가-11-2.png

배경

전 세계의 공공 및 민간 기관들은 디지털 침해 사고를 지속적으로 겪고 있으며, 대규모 침해 사고 소식은 거의 매일 발생하고 있습니다. 영국 국가사이버보안센터(NCSC)는 2018년 연간 보고서에서 2017년 9월 1일부터 2018년 8월 31일까지 총 557건의 사이버 공격 사건을 직접 처리했다고 밝히며, 이는 영국 내 사이버 보안 문제의 규모를 보여주는 사례라고 강조했습니다.

종종 공격은 RAT(원격 액세스 툴)을 활용하여 공격자가 호스트 장치에 불법적으로 접근하고 제어권을 획득합니다. RAT(원격 액세스 툴)은 키로깅, 파일 추출, 호스트의 오디오 및 비디오 녹화 등 다양한 활동을 수행하기 위해 공격자들이 주로 사용하는 기능이 풍부한 소프트웨어입니다.

이러한 공격의 상당 부분은 다크트랙 RAT, 익스트림 RAT, 제로액세스 등 상용 RAT를 사용하여 수행되며, 공격자의 동기는 금전적 이득부터 해킹 커뮤니티 내 신뢰성 확보에 이르기까지 다양합니다. 많은 해킹 포럼 관리자들은 신규 회원이 포럼에 가입하기 위해 자신의 '능력'을 증명해야 한다고 규정하고 있기 때문에, 광범위한 온라인 문서와 함께 상용 RAT를 사용하는 데 필요한 비교적 낮은 수준의 기술 지식은 경험이 없는 해커들에게 매우 매력적인 제안이 됩니다.

다른 한편으로는 국가가 지원하는 지능형 지속 위협(APT) 그룹과 지능형 범죄 그룹이 있으며, 이들은 운영 성과를 달성하기 위해 더욱 정교한 멀웨어 캠페인을 수행할 수 있습니다. APT는 구성, 수정, 사용이 쉽기 때문에 RAT를 계속 사용합니다. 안티바이러스 소프트웨어에 대한 상대적인 효과와 '노이즈에 숨어' 어트리뷰션을 방해할 수 있는 잠재력이 결합되어 APT와 사이버 범죄자들이 RAT를 계속 사용하고 있습니다.

사이버 범죄자들은 주로 금전적 동기를 가진 목표를 지원하기 위해 툴링과 멀웨어를 개발하는 데 혁신을 거듭해 왔습니다. 사이버 범죄자들이 사용하는 RAT 및 기타 멀웨어가 법 집행 기관의 조치에 의해 중단되거나 업계의 공동 이니셔티브를 통해 그 방법이 무력화됨에 따라 방법론 또는 비즈니스 모델의 변경이 불가피한 경우도 있습니다. 이모텟의 제작진도 마찬가지입니다.

Emotet는 유럽의 은행 고객을 표적으로 삼은 은행 트로이목마에서 진화해, 2018년에 여러 주요 캠페인이 보고된 모듈형 악성 소프트웨어 배포 플랫폼으로 발전했습니다. Emotet는 자체 복제형 트로이목마로, 네트워크 웜과 유사한 특성을 보여 감염된 피해자로 구성된 대규모 보트넷을 구축할 수 있는 특히 위험한 악성 소프트웨어입니다.

분석 접근 방식

레코디드 퓨처 연구원들은 레코디드 퓨처 플랫폼의 위협 목록에서 파생된 다양한 RAT 및 이모텟 컨트롤러를 식별하고 네트워크 메타데이터를 사용하여 RAT C2 IP와 피해자의 통신을 식별했습니다. 위협 목록에는 다음의 데이터가 포함되어 있습니다:

  1. Recorded Future와 Shodan이 공동 개발한 Malware Hunter 1 기능
  2. Abuse.ch Feodo 멀웨어 제품군(Dridex 또는 Emotet/Heodo라고도 함) 차단 목록

편집자 주: 수집 메커니즘의 기술적 한계로 인해 Malware Hunter를 사용하여 식별된 C2의 수는 이 연구에서 분석된 각 멀웨어 제품군에 대해 전 세계에 존재하는 실제 C2의 수를 반영하지 못합니다. 따라서 이 분석에서는 제3자 위험을 알리기 위해 Recorded Future를 사용하여 감염된 클라이언트를 식별하는 방법론에 초점을 맞추고 있습니다.

연구를 위해 2018년 12월 2일부터 2019년 1월 8일까지의 기간 동안 다음 멀웨어 제품군에 대한 활성 컨트롤러를 검색했습니다:

그런 다음 피해 조직의 이러한 컨트롤러 중 일부에 대한 네트워크 통신을 분석했습니다. 다른 조직에 인터넷 호스팅 서비스를 제공하는 조직이 직접 피해를 입은 것으로 식별되지 않도록 필터링을 수행했으며, 식별 가능한 경우 인터넷 스캐너를 생략했습니다. 이 분석은 악의적인 것으로 확인된 서버에 특정 방식으로 연결되는 것을 관찰한 결과를 기반으로 하며, 실제로 피해자가 아닌 연구자나 다른 사람이 이러한 연결을 했을 가능성도 존재합니다.

쥐-기업-위험-평가-1-1.png

탐지된 멀웨어 제품군별 활성 C2 분석(탐지된 C2의 총 샘플 크기: 481개).

저희는 상용 조직의 인프라 내에서 감염된 것으로 추정되는 호스트와의 RAT 통신을 프로파일링하기 위해 Emotet, Xtreme RAT, ZeroAccess 컨트롤러에 분석을 집중했습니다.

기록된 미래의 제3자 위험 모듈

레코디드 퓨처의 제3자 위험 모듈 출시에 이어, 기업이 공급망, 파트너, 자체적으로 발생하는 사이버 위험을 평가할 수 있는 추가 기능을 통합했습니다. 타사 리스크를 사용하면 타사 에코시스템의 상태를 모니터링하고, 기업이 제기하는 위험을 조사하고, 관심 있는 기업의 위협 환경 변화에 대한 알림을 받을 수 있습니다. 이 보고서의 분석은 새로운 모듈의 타사 위험 요소 및 지표, 특히 네트워크 트래픽 분석 위험 규칙을 알리는 데 사용하는 것과 동일한 데이터 소스를 사용하여 수행되었습니다.

쥐-기업-위험-평가-2-1.png

레코디드 퓨처와 쇼단의 멀웨어 헌터 프로젝트 및 Abuse.ch Feodo 차단 목록을 사용하여 식별된 RAT C2의 글로벌 배포. (출처: 레코딩된 미래)

위협 분석

이모티콘

Emotet는 고급형 모듈식 뱅킹 트로이목마로, 주로 다른 뱅킹 트로이목마를 다운로드하거나 배포하는 역할을 합니다. Emotet는 처음에는 금융 데이터를 훔치기 위해 설계되었지만, 현재는 Trickbot과 Qakbot과 같은 다른 악성 소프트웨어를 다운로드하는 도구로 주로 사용되고 있습니다. Emotet는 C2 서버를 통해 업데이트를 수신하고 추가 악성 소프트웨어를 다운로드 및 설치합니다. Emotet 운영자들은 특정 산업이나 지역을 대상으로 삼는 데 선택적이지 않으며, 대신 무분별하게 확산되는 경향을 보여, 이 악성 소프트웨어 운영자들이 이익을 창출하기 위해 대규모 감염을 유도하는 데 더 관심을 두고 있음을 드러내고 있습니다.
Emotet는 2014년에 새로운 은행 악성 코드로 처음 발견되었으며, 종종 Geodo 또는 Feodo라고도 불립니다. 이 악성 소프트웨어는 Feodo(때로는 Cridex 또는 Bugat로도 불리우는) 은행 트로이목마의 자연적 진화 과정에서 탄생한 제품으로, 이 트로이목마는 다른 변종들을 생성했습니다. 지난 12개월 동안, 이 위협은 단독 위협에서 다른 트로이목마를 배포하는 도구로 진화했으며, 2018년 여름에 대규모 캠페인이 다수 발생했습니다. 이 악성 소프트웨어는 오픈 소스 라이브러리와 코드를 대량으로 활용하는 점이 독특하며, 이로 인해 코드 디렉토리 내의 폴더 이름을 "Open Source"로 명명할 정도입니다. 일부 Emotet 모듈은 Nirsoft에서 개발한 유틸리티를 활용해 피해자 시스템에서 비밀번호를 수집하고 추출합니다.

이모텟은 최근 대상 시스템을 감염시킨 후 다른 멀웨어 제품군을 호스트에 로드하는 스팸 전송 멀웨어로 활동해 왔습니다. 스팸을 배포하고 때때로 C2 서버의 프록시 역할을 하는 감염된 호스트는 분산된 네트워크이기 때문에 방어자가 경계에서 차단하기 어렵습니다.

보고서에 따르면, Emotet 운영자들은 최소 두 개의 Emotet 인프라 설정을 병행하여 운영하고 있는 것으로 추정됩니다. 이는 중복성을 확보하고 법 집행 기관의 협조적인 차단 조치를 어렵게 만들기 위한 목적으로 추정됩니다.

Emotet: 네트워크 메타데이터를 이용한 써드파티 위험 평가

조사하는 동안 26개 조직에서 이모텟에 감염된 호스트를 확인했습니다. 이러한 조직은 다음과 같은 다양한 산업 분야에 퍼져 있습니다:

쥐-기업-위험-평가-3-1.png

위의 차트는 식별된 이모텟 컨트롤러와 통신하는 감염된 호스트의 분석을 보여줍니다. 두 명의 컨트롤러가 눈에 띄며, 이들과 통신하는 40개 이상의 감염된 호스트가 관찰되었습니다: 한국 IP 115.88.75[.]245와 미국 IP 192.155.90[.]90입니다.

쥐-기업-위험-평가-4-1.png

2018년 12월 2일부터 2019년 1월 8일 사이에 기업 피해자가 감염된 것으로 확인된 이모텟 C2.

위의 표는 Recorded Future에서 심층 분석한 각 Emotet C2 서버의 IP 주소, 국가, 인터넷 서비스 제공업체(ISP)를 나타냅니다.

편집자 주: ISP는 고객에게 인터넷 액세스를 제공하며, ISP에 할당된 넷블록 내의 특정 IP 주소에서 사용 중인 장비 및 시스템을 직접 제어하지 않을 수 있습니다.

연구 데이터에서 이 이모텟과 통신하는 고유한 기업 피해자 수를 기준으로 가장 활발하게 활동하는 이모텟 C2 중 하나는 한국 IP 115.88.75[.]245였습니다. Recorded Future 플랫폼을 사용하는 고객을 위한 새로운 위험 규칙으로 개발된 새로운 알고리즘에 따라 최소 4개의 서로 다른 감염된 회사로 확인되는 IP 주소가 C2와 통신하는 것이 감지되었습니다. 감염된 회사 중 세 곳은 라틴 아메리카에 위치해 있으며, 최근 약간 변형된 이모텟 전파 방법론이 사용되면서이모텟 감염이 급증하고 있는 지역입니다. 발견된 피해자 중 두 곳은 멕시코와 에콰도르의 금융 회사이며, 세 번째 피해자는 칠레의 대기업입니다. 나머지 기업 피해자는 캐나다의 의료 기기 제조 회사였습니다.

이 연구 당시 한국의 C2 IP는 해당 도메인으로 확인되는 도메인이 없었지만 VirusTotal 데이터에 따르면 감염된 피해자들이 URL에 호스트로 명시된 IP 주소로 연결한 것으로 나타났습니다. 우리는 파워셸을 실행하도록 설계된 매크로로 난독화된VBA2 코드가 포함된 여러 악성 Microsoft Word 문서를 확인했으며, 이 문서는 한국 C2에서 이모텟 페이로드를 검색하고 실행하는 것으로 나타났습니다.

쥐-기업-위험-평가-5-1.png

레코디드 퓨처 타사 위험 분석 및 네트워크 트래픽 분석 위험 규칙을 사용하여 탐지된 Emotet C2의 클러스터링 및 커뮤니케이션 피해 조직.

이모텟 C2와 피해 조직 IP를 추가로 분석한 결과, 위의 Maltego 그래프에서 볼 수 있듯이 몇 가지 뚜렷한 활동 그룹이 존재하는 것으로 나타났습니다. 앞서 LG데이콤으로 확인된 한국의 C2는 그래프 왼쪽에 표시된 고도로 상호 연결된 활동 클러스터 내에 위치했습니다. 이 클러스터는 주로 라틴 아메리카에 기반을 둔 통신 서비스 제공업체 및 호스팅 제공업체의 인프라에서 호스팅되는 17개의 탐지된 Emotet C2를 중심으로 이루어졌습니다. 공격 대상 조직은 전 세계에 기반을 두고 있었으며, 중남미와 유럽에 기반을 둔 피해 조직이 상당수를 차지했습니다.

쥐-기업-위험-평가-6-1.png

대부분의 C2가 라틴 아메리카 IP 공간에 위치한 이모티콘 활동의 주요 클러스터입니다.

두 번째로 큰 활동 클러스터는 인도 IP 45.123.3[.]54에서 호스팅되는 Emotet 컨트롤러를 중심으로 관찰되었으며, 이 컨트롤러는 인도의 블루 로터스 지원 서비스로 확인되었습니다. 이 IP를 가리키는 C2 호스트 이름은 campus.miim.ac[.]in으로, 인도 케랄라주의 대학인 마리안 국제 경영대학에 해당합니다. 분석 결과 다음 회사에서 이 C2와 관련된 이모텟 감염이 진행 중인 것으로 나타났습니다:

Xtreme RAT

Xtreme RAT는 2010년에 처음으로 공개적으로 발견된 일반적인 RAT입니다. RAT는 무료로 제공되며, 해당 소스 코드가 유출되어 공격자들이 네트워크 방어를 우회하기 위해 이를 자유롭게 수정할 수 있게 되었습니다. 약 10년 동안 존재해 왔으며 사용 빈도가 이전 연도보다 낮은 것으로 보이지만, 여전히 강력한 트로이목마로 알려져 있으며 표적 공격과 사이버 범죄 활동에 널리 사용되고 있다는 보고가 계속되고 있습니다. 이 RAT는 저자가 일반적인 방식과 반대로 정의한 클라이언트-서버 시스템을 사용합니다. 악성 소프트웨어의 "서버" 부분은 피해자의 컴퓨터에 설치되며, 이로 인해 피해자의 "서버"는 실제로 하나 이상의 원격 C2 시스템에서 운영되는 컨트롤러인 "클라이언트"와 연결됩니다.

쥐-기업-위험-평가-7-1.png

레코디드 퓨처 및 쇼단 멀웨어 헌터 프로젝트를 사용하여 탐지된 연구 기간 동안 활동한 익스트림 RAT 컨트롤러를 보여주는 레코디드 퓨처 히트맵. (출처: 레코딩된 미래)

Xtreme RAT: 네트워크 메타데이터를 사용한 써드파티 위험 평가

2018년 12월 8일부터 2019년 1월 2일 사이에 관찰한 활성 Xtreme RAT 컨트롤러가 있는 통신 노드를 식별하기 위해 새로운 타사 위험 모듈을 배포했습니다. 다시 한 번, 감염 가능성이 있는 방식으로 Xtreme RAT 컨트롤러와 통신하는 기업 IP를 발견했습니다.

Xtreme RAT C2 IP
국가
등록자/조직
101.132.69[.]78
중국
항저우 알리바바 광고 유한공사
116.62.60[.]109
중국
항저우 알리바바 광고 유한공사
212.46.104[.]104
독일
HKN GmbH
196.200.160[.]201
모로코
CNRST(국립 과학 기술 연구 센터)
198.255.100[.]74
미국
FDC서버
192.240.110[.]98
미국
FDC서버

196.200.160[.]20,1에서 호스팅되는 모로코 익스트림 RAT C2와 통신하는 3명의 고유한 피해자가 발견되었습니다. 호스트 이름 ns2.marwan.ma로 확인되었습니다. 모로코 라바트에 있는 기술 대학인 모로코 국립과학연구기술센터(CNRST)에 등록된 IP입니다. 감염된 피해 디바이스 중 두 대는 미국과 일본의 다국적 IT 장비 및 서비스 회사에 속한 인프라로 확인되었습니다. 세 번째 피해자는 브라질의 한 대학교에 위치한 기기였습니다.

쥐-기업-위험-평가-8-1.png

모로코 대학 네트워크에서 호스팅되는 Xtreme RAT 컨트롤러.

호스트 이름 test.zzjzpt[.]com 2018년 12월 16일에 중국 IP 116.62.60[.]109를 가리키도록 업데이트되었으며, 최소 2019년 1월 5일까지 해당 IP로 계속 확인되었습니다. 이 기간 동안 IP는 Xtreme RAT C2로 지정되었습니다. 이 컨트롤러는 미국 FDC서버 인프라(192.240.110[.]98)에서 호스팅되는 다른 두 대의 Xtreme RAT C2와 함께 및 198.255.100[.]74), 는 유럽 유틸리티 회사 내의 여러 감염된 호스트로부터 익스트림 RAT 네트워크 통신을 수신하는 것이 관찰되었습니다. 이 익스트림 RAT C2와 통신하는 것이 관찰된 추가 피해 조직은 다음과 같습니다:

쥐-기업-위험-평가-9-1.png

조직 타겟팅이 중복되는 Xtreme RAT 컨트롤러.

제로 액세스 트로이 목마

ZeroAccess는 2011년에 처음 발견되었으며, 탐지를 회피하기 위해 고급 루트킷을 활용합니다. 트로이목마로서, 이 악성 코드는 호스트 시스템에 숨겨진 파일 시스템을 생성하고 백도어를 설치할 수 있으며, 추가 악성 코드의 다운로드 및 실행을 돕습니다. ZeroAccess는 도메인 생성 알고리즘(DGA)을 사용하여 C2 서버를 탐색하고 연결하도록 구성될 수 있으며, 피어-투-피어 연결을 활용할 수도 있습니다. 역사적으로 ZeroAccess는 전략적 웹 침해 (SWC) 를 통해 배포되었으며, 사이버 범죄자들이 클릭당 결제 광고 메커니즘(클릭 사기)을 통해 불법 자금을 생성하기 위해 주로 사용되었습니다. 이 악성 소프트웨어는 암호화폐 채굴에도 사용되었습니다.

제로 액세스: 네트워크 메타데이터를 사용하여 써드파티 위험 평가하기

연구 기간 동안 루마니아 IP 31.5.229[.]224에서 활동하는 제로 액세스 트로이 목마 C2와 통신하는 피해 조직의 단일 인스턴스를 확인했습니다. 피해 조직은 동아시아의 한 IT 회사였습니다.

전망

Emotet와 같은 뱅킹 트로이목마 및 기타 원격 액세스 툴(RAT)은 전 세계 정부 및 기업 네트워크에 지속적인 심각한 위협을 계속 가하고 있습니다. Emotet의 개발자들은 계속해서 혁신을 거듭하며 모듈화 기능을 개발해 전파 효율성을 높이고 전통적인 네트워크 방어 체계를 회피하는 기술을 발전시키고 있습니다. 이로 인해 광범위한 감염이 발생했으며, 2018년 7월에 발행된 미국 사이버 보안 및 인프라 보안국(US-CERT)의 경보에 따르면, 이 감염은 주, 지방, 부족, 지역(SLTT) 정부에 사건당 최대 $100만 달러의 복구 비용을 초래했습니다.

이 연구는 악성 RAT 컨트롤러 네트워크 인프라를 식별하고 추적하여 기업의 보안 태세를 파악할 수 있다는 이점을 강조합니다. 고객은 당사 플랫폼 내에서 트리거되는 관련 위험 규칙을 준수하여 Recorded Future의 제3자 위험 모듈을 사용할 수 있습니다. 타사 위험에서는 이 평가에서 멀웨어 통신을 식별하고 분석하는 데 사용한 것과 동일한 데이터를 사용하여 고객의 타사 위험 감시 목록에 있는 회사가 유사한 활동을 보일 때 위험 규칙을 트리거하고 경보를 발령합니다.

쥐-기업-위험-평가-10-1.png

타사 위험 네트워크 트래픽 분석 위험 규칙은 회사 인프라에서 관찰된 Xtreme RAT 통신과 관련된 심각도가 높은 위험을 표시합니다.

RAT 컨트롤러에 대한 추가 범위를 계속 개발함에 따라 이러한 서명을 자동으로 추가하여 이러한 컨트롤러와 통신하는 기업 네트워크 인프라가 관찰되면 Recorded Future 플랫폼에서 타사 위험 규칙이 트리거되도록 할 것입니다.

네트워크 방어 권장 사항

레코디드 퓨처는 조직이 불법 RAT 활동을 방어할 때 선제적인 위협 헌팅을 수행하고 다음과 같은 완화 조치를 구현할 것을 권장합니다:

관련 보안 침해 지표의 전체 목록을 보려면 부록을 다운로드하세요.

1이기능에 대한 자세한 내용은 선제적 위협 식별에 관한 기록된 미래 백서를 참조하세요.

2응용프로그램용 비주얼 베이직은 Microsoft의 비주얼 베이직 6 프로그래밍 언어를 구현한 것으로, 매크로를 개발하기 위해 Excel과 같은 Microsoft Office 제품에서 사용됩니다.