Slack, Github을 이용해 통신하는 SLUB 백도어 감염 주의
1. 개요
얼마 전 해외 보안 업체 Trend Micro 에서 팀 협력 도구 Slack 과 분산 버전 관리 툴 Github 을 이용하여 통신하는 백도어를 발견하였고, 두 서비스의 이름을 합쳐 SLUB 백도어라 명명했다. 해당 악성 파일은 시스템에 특정 백신이 실행 중이면 백도어 실행 없이 스스로 종료되거나, Github 으로부터 수행할 명령을 수신받고 Slack 채널로 결과를 전송하는 등, 탐지 회피 기능을 가지고 있기 때문에 주의가 필요하다.
2. 분석 정보
2-1. 파일 정보
| 구분 | 내용 |
| 파일명 | [임의의 파일명].exe |
| 파일크키 | 78,848 bytes |
| 진단명 | Trojan-Downloader/W32.SLUB.78848 |
| 악성동작 | 파일 다운로드 |
| 구분 | 내용 |
| 파일명 | Windows-RT-KB2937636.dll |
| 파일크키 | 856,576 bytes |
| 진단명 | Backdoor/W32.SLUB.856576 |
| 악성동작 | 백도어 |
2-2. 유포 경로
SLUB 은 피해자와 관련된 사이트의 취약점을 사전에 공격하여, 해당 사이트에 접속하는 이들을 감염시키는 워터링 홀 공격을 이용하여 유포되고 있다고 알려져 있다.
2-3. 실행 과정
SLUB 백도어는 가장 먼저 워터링 홀 공격을 통해 다운로더가 실행된다. 다운로더는 DLL 확장자의 백도어를 다운로드한 후, 시스템에서 특정 백신 프로그램의 실행 여부를 확인한다. 만약 백신이 실행 중이라면 추가 악성 행위 없이 종료되며, 그렇지 않으면 백도어를 실행한다. 실행된 백도어는 Run 레지스트리에 자신을 추가하여 재부팅 후 재시작되도록 설정한다. 이후 Github의 특정 주소에 접속하여 공격자가 업로드한 것으로 추정되는 명령을 읽어 수행하며, 명령 수행 결과를 Slack 통해 전달한다.
3. 악성 동작
3-1. 백신 프로세스 실행 여부 확인
피해자가 워터링 홀 공격을 받은 사이트에 접속하면, 가장 먼저 다운로더 파일을 실행하게 된다. 다운로더는 시스템에 [표 1]에 해당하는 백신 프로그램이 실행 중이라면 백도어 다운로드 후 프로세스 생성을 하지 않고 스스로 종료하여 악성 행위 탐지를 회피한다.
| 구분 | 내용 |
| 백신 프로그램 명 | “V3Tray.exe”, “AYAgent.aye”, “navapsvc.exe”, “ashServ.exe”, “avgemc.exe”, “bdagent.exe”, “ZhuDongFangYu.exe” |
[표 1] 실행 여부 확인 대상 백신 프로그램
3-2. 백도어 파일 다운로드 및 실행
위 백신 프로그램이 실행되고 있지 않다면 “ProgramData\update” 폴더를 생성하고 SLUB 백도어를 다운로드하여 “Windows-RT-KB2937636.dll” 라는 이름으로 생성한다. 이후 rundll32.exe 를 이용하여 백도어 내부의 Export 함수를 실행한다.
3-3. 시스템 재부팅 시 자동 실행 등록
백도어가 실행되면 먼저 Run 레지스트리의 “Microsoft Setup Initializazion” 값에 자기 자신을 등록하여 시스템 재부팅 시에도 실행될 수 있도록 설정한다.
3-4. Github을 이용한 명령 전달 및 수행
이후 공격자가 개설한 것으로 추정되는 Github 의 특정 주소에 접속하여 지속적으로 명령어를 읽는다. 명령어는 “^”와 “$” 문자열로 감싸진 명령만 수행하며, 적절한 명령어와 옵션을 전달받으면 [표 2]와 같이 기능을 수행한다. 명령을 수행한 후에는 이에 대한 결과를 공격자가 개설한 것으로 추측되는 Slack 채널로 전송한다.
| 명령어 | 기능 |
| exec | cmd.exe를 이용하여 명령 실행. |
| dnexec | 파일 다운로드 후 실행. |
| update | 파일 다운로드 후 현재 백도어와 교체. |
| destroy | bat 파일 생성 후 실행하여 자신과 관련된 파일, 레지스트리 삭제. |
| capture | 스크린샷을 찍어 Slack 채널로 전송. |
| file | 파일 리스트 확인, 복사, 삭제, 업로드 수행. |
| dir | 폴더 생성 및 삭제. |
| proc | 프로세스 리스트 확인, 강제 종료. |
| drive | 시스템 드라이브 정보 확인. |
| reg | 레지스트리 쿼리, 읽기, 쓰기 수행. |
| tmout | 악성 행위 없이 대기. |
[표 2] 백도어 수행 명령어 및 기능
4. 결론
이번에 분석한 SLUB 는 악성 패킷을 탐지되지 않기 위해 정상 웹 서비스를 이용하여 공격자와 통신하는 방법을 사용하고 있다. 이는 많은 조직에서 업무를 위해 정상 웹 서비스 패킷을 검사하지 않는다는 사실을 이용한 것이며, 최근 점점 더 많은 악성 파일이 이와 같은 방법을 사용하고 있다. 이처럼 정상 웹 서비스를 이용한 공격을 탐지하기 위해 시스템 관리자가 올바른 사내 정책을 적용하고 지속적인 관심을 가져야 할 것이다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석]다수의 정보 탈취 악성 파일 다운로드하는 Scranos 루트킷 감염 주의 (0) | 2019.05.24 |
|---|---|
| [악성코드 분석]DarkCloud Bootkit 악성코드 감염 주의 (0) | 2019.05.07 |
| [악성코드 분석]MS Outlook 사이트로 위장한 피싱 공격 주의 (0) | 2019.04.25 |
| [악성코드 분석]해킹된 ASUS社 서버로부터 유포되는 Shadow Hammer 악성 파일 주의 (0) | 2019.03.29 |
| [악성코드 분석]화제의 여객기 사고 관련 정보로 위장한 피싱 메일 주의 (0) | 2019.03.19 |