Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

멀웨어 페이로드 & 비콘: 악성 통신이 시작되는 방법

Michael Adjei
시스템 엔지니어링 담당 이사, EMEA
Illumio Editorial
9월 30, 2021
23 분 읽기

멀웨어 비콘을 이해하고 이를 차단하는 방법을 알면 조직을 더 안전하게 보호할 수 있습니다. 페이로드라고도 하는 비콘은 특정 통신 채널을 통해 사이버 공격자와 다시 통신하는 실행 파일 또는 프로그램입니다. 위협 행위자의 관점에서 비콘 관리는 악성 캠페인의 기반이 됩니다. 비콘의 유형과 기능에 따라 위협 행위자가 네트워크에 직접 접속하여 통신 라인을 유지하고 불법적인 목적과 목표를 수행할 수 있는 수단입니다.

예를 들어 솔라윈즈 공급망 공격에는 비콘 또는 페이로드 스테이징을 사용하는 파악하기 어려운 위협 행위자가 관여했습니다. 사건 발생 후 여러 분석 보고서에서 알 수 있듯이 이 공격은 정교한 다단계 공격으로, 처음에는 공급업체를 손상시키는 데 Sunspot 멀웨어가 사용되었습니다. 다음으로 공급업체의 고객에 대한 선버스트 백도어가 등장했습니다. 이 작업이 성공적으로 실행된 후 메모리 전용 드롭퍼 눈물방울을 전달하고 빗방울 로더와 코발트 스트라이크 비콘을 전달하는 데 사용되었습니다. 각 페이로드에는 고유한 목적과 기능 세트가 있습니다.

멀웨어 공격 시퀀스의 일반적인 단계

최종 사용자가든 시스템이든 일부 취약점이 관련된 악의적인 활동의 경우, 공격 순서는 일반적으로 다음과 같은 경로를 따릅니다:

멀웨어 공격 경로

위협 행위자의 관점에서 이러한 단계를 이해하는 것이 유용합니다. 공격자가 명령 및 제어를 위해 악의적인 통신을 하는 방법을 알아내면 이에 대한 방어 체계를 구축할 수도 있습니다. 각 단계를 개별적으로 살펴보겠습니다.

공격자 인프라

공격자 측에는 해당 페이로드에 의해 감염된 모든 피해 컴퓨터의 통신을 수신하고 처리하는 명령 및 제어 리스너가 있습니다. 리스너는 위협 캠페인에 사용되는 도구를 호스팅하는 웹 서버, 메일 시스템, DNS, 알림 시스템 및 공격 서버에서 지원됩니다.

공격자의 인프라를 통한 통신은 익명으로 처리될 가능성이 높습니다. 즉, 공격자의 실제 신원을 숨기기 위해 일련의 프록시 서버를 통해 우회하는 것입니다. 다음은 한 가지 예입니다:

익명 프록시

보다 정교한 공격을 위해 위협 공격자는 특정 캠페인 전용의 분산 인프라를 배포할 수도 있습니다. 이를 통해 필요에 따라 여러 지리적 위치에 걸쳐 인프라를 신속하게 구축하거나 해체할 수 있습니다. 이 인프라의 중요한 부분 중 하나는 DNS(도메인 이름 시스템)입니다. 공격자는 DNS를 활용하여 인프라에 악성 통신을 전달할 수 있으며, DNS를 사용하여 데이터를 유출(즉, 탈취)할 수도 있습니다.

인프라 설정과 함께 악성 캠페인을 계획, 배포 및 관리하는 인적 자원이 필요할 것입니다. 대부분의 위협 캠페인은 전체 인력과 인프라로 구성된 팀이 배후에 있기 때문에 한 사람의 단독 행동이 아닐 가능성이 높습니다.

다음 분석은 공격 캠페인 팀의 예를 보여줍니다. 일반적인 IT 서비스 회사의 팀과 얼마나 유사한지 주목하세요.

악성 캠페인 팀

위협 행위자가 자신의 인프라를 보호하는 동시에 피해자 네트워크에서 탐지를 회피하는 프로세스를 운영 보안이라고 합니다. 정교한 위협 행위자는 높은 수준의 운영 보안을 선호하는 경향이 있습니다. 그리고 이를 달성하기 위해 다양한 회피 및 난독화 기술을 사용합니다.

취약점

취약점이란 위협 행위자가 악용하려는 컴퓨터 시스템 또는 관련 기술의 내재적인 약점을 의미합니다. 이 취약점은 소스(장비 공급업체) 또는 대상(일반적으로 최종 사용자)에서 발생할 수 있습니다. 예를 들어, 2017년에는 전 세계적으로 랜섬웨어 공격자들이 Microsoft의 SMBv1 취약점을 성공적으로 익스플로잇한 바 있습니다. 해당 취약점의 상세 보고서를 살펴보세요:

SMB CVE 세부 정보

시스템 또는 프로그램 취약점이 발견되면 해당 취약점이 공개될 수 있으며, 이 경우 해당 취약점에는 표준 CVE(공통 취약점 및 노출) 번호가 부여됩니다. 또는 소수의 개인에게만 알려졌을 수 있으며 수정이 불가능할 수도 있습니다(일명 "제로데이"). 취약성 단계는 일반적으로 피싱 및 멀버타이징과 같은 소셜 엔지니어링을 통해 활용되는 보다 일반적인 최종 사용자 취약성을 의미할 수도 있습니다. 이 단계에서 위협 행위자의 전반적인 목표는 취약점을 악용하여 성공적인 공격의 기회로 삼는 것입니다.

공격 또는 익스플로잇

공격의 다음 중요한 단계는 위협 행위자가 보안 제어를 우회하면서 취약점을 활용하는 데 사용할 수 있는 일부 코드에 액세스할 수 있을 때 발생합니다. 예를 들어, 위협 행위자는 메타스플로잇 프레임워크를 공격자 서버로 사용하여 다음과 같이 Windows SMBv1 취약점에 대해 사용할 수 있는 세 가지 익스플로잇을 발견했습니다:

메타스플로잇 SMB 취약점 검색

이러한 취약점은 악명 높은 워너크라이 및 낫페트야 랜섬웨어 캠페인에 악용된 유형입니다. 이와 같은 익스플로잇에는 취약점에 대한 익스플로잇 코드와 악의적인 통신을 위한 작은 페이로드 코드가 모두 포함되어 있는 경우가 많습니다.

익스플로잇은 비콘이나 페이로드와 분리되어 있는 경우가 많습니다. 그러나 이 두 가지는 일반적으로 셸코드로 결합됩니다. 익스플로잇이 표적 시스템에 액세스하면 공격자에게 다시 호출하여 공격을 완료할 수 있는 작은 비콘 또는 페이로드를 로드하는데, 이 과정을 페이로드 스테이징이라고 합니다.

비콘 또는 페이로드

위에서 언급했듯이 비콘 또는 페이로드는 특정 통신 채널을 통해 공격자와 다시 통신하는 실행 파일 또는 프로그램입니다. HTTPS를 통해 보안을 유지하거나 DNS와 같은 일반 텍스트 프로토콜을 사용할 수 있습니다. 공격자는 비콘 또는 페이로드 콜백으로 알려진 것을 사용하여 의도한 목적을 달성하기 위해 추가 기능을 갖춘 추가 페이로드를 전송할 수 있습니다.

아래 예제에서는 메타스플로잇 프레임워크의 msfvenom을 사용하여 미터프리터 페이로드가 Windows EXE로 표시되는 것을 볼 수 있습니다:

Metasploit msfvenom
페이로드

이러한 페이로드가 피해자 시스템에 전달되어 실행되면 자동으로 역방향 TCP 연결을 생성합니다. 페이로드는 피해자 네트워크 내부에서 공격자의 IP 주소로 다시 기본 포트 4444를 사용합니다. 위의 페이로드 예시는 인코딩 없이 기본값으로 생성되었기 때문에 실제 환경에서 탐지될 가능성이 높습니다. 이것은 단지 학문적인 예일 뿐입니다.

목표

공격자가 비콘 또는 페이로드를 실행하면 위협 캠페인을 수행할 수 있습니다. 여기에는 데이터 탈취, 랜섬웨어 설치 또는 기타 유형의 중단을 유발하는 행위가 포함될 수 있습니다.

계속 진행하기 전에 공격자가 목적을 달성하기 위해 취할 수 있는 단계를 요약해 보겠습니다:

1단계: 캠페인을 계획하고 웹 서버, 이메일 서버, DNS 인프라 및 공격 서버를 포함한 해당 인프라를 설계합니다.

2단계: 선택한 대상과 시스템에 대한 정찰을 수행합니다.

3단계: 사람과 시스템을 조합하여 가장 효과적인 공격 또는 익스플로잇할 취약점을 선택합니다.

4단계: 전달 메커니즘을 포함한 해당 익스플로잇 툴을 개발하거나 획득합니다.

5단계: 역방향 비콘 통신을 수신하도록 명령 및 제어 인프라(일명 "리스너")를 포함한 공격 인프라를 설정합니다.

6단계: 악성 캠페인을 실행합니다.

7단계: 탐지되지 않도록 비콘과 페이로드를 관리하여 캠페인의 목표를 수행합니다.

공격 연습

위협 행위자가 인프라 및 관련 설정을 설계하고 구현하면 악성 캠페인을 시작할 준비가 완료된 것입니다. 이를 위해 위협 행위자는 피해자 네트워크 내에서 실행할 비콘 또는 페이로드가 필요합니다. 그런 다음 접근 권한을 확보하고 발판을 유지하며 목표를 수행할 수 있습니다.

공격자의 관점에서 몇 가지 중요한 단계를 살펴보겠습니다.

먼저 원하는 페이로드를 생성하는 방법을 살펴보겠습니다:

페이로드 웹 회의

이 경우 페이로드는 도메인(app12.webcoms-meetings.com)을 사용하여 통신하도록 생성됩니다, 첫 번째 녹색 줄에 LHOST로 표시됨)는 일부 Windows 운영 체제용 원격 회의 및 협업 소프트웨어를 모방한 것입니다. 확인 결과 도메인이 공격자가 제어하는 IP 주소로 확인됩니다.

DNS 확인 확인

여기에서 공격자는 표적에 처음 진입하기 위한 전달 메커니즘을 선택합니다. 이 예에서는 의심하지 않는 사용자가 원격 회의를 위한 소프트웨어 업데이트라고 생각되는 것을 다운로드하도록 유도하는 일종의 사회 공학 공격인 스피어 피싱을 사용하기로 결정했습니다. 공격자는 아래와 같이 이 사회공학적 전달 방법을 지원하기 위해 해당 도메인(이메일 및 웹)과 웹사이트 인프라를 설정했습니다:

피싱 이메일 및 웹

공격자는 의심하지 않는 사용자가 페이로드를 다운로드하고 실행하기를 희망합니다. 또는 사용자가 피싱 사이트를 방문하면 드라이브 바이 다운로드를 통해 페이로드가 자동으로 실행될 수 있습니다. 어느 쪽이든, 위장한 페이로드는 이제 사용자의 컴퓨터에 있으며 다음과 같이 실행할 준비가 되었습니다:

다운로드 페이로드

페이로드가 실행되면 공격자의 명령 및 제어를 조용히 다시 호출합니다. 공격자 측에서는 이미 리스너가 콜백 통신을 수신하기 위해 실행 중일 것입니다. 아래 예시에서는 공격자 측에 페이로드 핸들러 또는 리스너인 익스플로잇/멀티/핸들러가 악성 도메인 app12.webcoms-meetings.com을 통해 피해자 시스템에서 실행되는 reverse_tcp 페이로드의 통신을 수신하도록 설정되어 있습니다.

페이로드 핸들러

비콘이 공격자 인프라에 도달하면 관련 리스너 또는 핸들러가 연결을 수신하고 초기 페이로드는 스테이지로 알려진 훨씬 더 큰 메인 페이로드를 다운로드할 수 있습니다. 이는 "203.0.113.1로 스테이지(175174)를 전송 중"이라는 메시지와 함께 아래에서 확인할 수 있습니다. 피해 컴퓨터는 외부 IP가 203.0.113.1인 NAT 방화벽 뒤에 있습니다. 이 예시의 공격자 페이로드는 다용도로 사용되는 Metasploit Meterpreter입니다.

페이로드 콜백

초기 비콘이 메인 페이로드를 다운로드하면 나머지 공격을 계속할 준비가 된 것입니다. 성공적으로 실행되면 프로그램 제어권이 이 메인 페이로드(스테이지)로 전달되어 공격자에게 셸을 전달합니다. 이 모든 작업은 메모리에서 이루어지며 코드 인젝션 기술이 필요합니다. 다음 스크린샷은 공격자가 피해 컴퓨터에 직접 키보드로 접근하는 모습을 보여줍니다. 공격자는 "dir" 명령을 실행하여 사용자의 다운로드 폴더에 있는 모든 파일을 볼 수 있습니다.

미터프리터 셸

여기에서 공격자는 피해 컴퓨터에서 내부 정찰(일명 "발견")을 수행합니다. 이제 공격자는 피해자의 계정과 디렉토리 정보를 얻을 수 있습니다. 예를 들어, 침해된 컴퓨터의 기록된 사용자 이름은 "ama"입니다. 여기에 표시된 것처럼 대상 시스템의 Windows 데스크톱 스크린샷을 캡처할 수도 있습니다:

미터프리터 셸

이 시점에서 공격자는 내부 네트워크를 스캔하여 다른 시스템을 발견할 수도 있습니다. 다음 스크린샷은 내부 네트워크의 ARP(주소 확인 프로토콜) 스캔을 보여줍니다. 이 기능은 나중에 설명하는 측면 이동에 유용합니다.

미터프리터 셸 ARP 스캔

공격자는 피해 컴퓨터에서 Project_Progress.pdf 파일을 유출(탈취)하는 등 더 악의적인 작업을 수행할 수도 있습니다. 아래 그림과 같이 사용자 인증 정보를 탈취하는 악성 도구인 미미카츠도 업로드할 수 있습니다. 공격자는 시스템 수준의 작업을 수행하고 네트워크 내에서 측면 이동을 수행하기 위해 상승된 권한이 있는 자격 증명이 필요합니다.

프로젝트 진행 상황 미미카츠

아래 예시는 공격자가 업로드된 미미카츠 인증정보 덤핑 도구를 실행하여 감염된 Windows 컴퓨터에서 비밀번호 해시를 확인하는 방법을 보여줍니다.

Mimikatz

공격자의 또 다른 중요한 단계는 사용자가 재부팅한 후에도 피해 컴퓨터로 돌아가는 경로를 만드는 것입니다. 바로 이 지점에서 끈기의 기술이 발휘됩니다. 공격자는 리버스 페이로드 자동 실행, 지속적 백도어 등 여러 가지 방법으로 이를 달성할 수 있습니다.

아래 그림과 같이 공격자는 익스플로잇 후 지속성 모듈을 실행하기로 선택하며, 여기에는 로그온한 사용자의 Windows Temp 폴더에 배치된 시각적 기본 스크립트(VBScript)인 UoPfNwo.vbs가 포함됩니다. 그런 다음 공격자는 Windows 레지스트리 항목을 설치하여 컴퓨터가 부팅된 후 스크립트가 자동 실행되도록 합니다.

익스플로잇 후 지속성

이제 공격자는 컴퓨터가 재부팅되더라도 페이로드 스크립트가 리스너에 다시 연결될 수 있도록 했습니다. 그러나 이제 파일 시스템 바이러스 백신(AV) 검사에서도 디스크의 파일을 감지할 수 있습니다.

마지막으로 공격자는 모든 잠재적 증거를 정리하려고 할 것입니다. 이를 위해 원본 악성 파일과 항목을 제거하고, 합법적인 시스템 파일 사이에 악성 파일을 암호화하거나 혼합할 수도 있습니다. 흔적을 더 감추기 위해 섀도 복사본과 시스템 로그를 모두 삭제할 수도 있습니다.

공격 분석 및 포렌식

이제 몇 가지 초기 인시던트 대응(IR)과 공격의 특정 구성 요소에 대한 기본 분석에 대해 살펴보겠습니다. 이를 통해 특정 악성 행위를 더 잘 이해할 수 있습니다.

네트워크 및 DNS 분석

피해 컴퓨터의 네트워크 통신 분석부터 시작하여 내부 IP(10.1.1.81)를 분석합니다. 는 원격 포트 443에서 외부 공격자 DNS 이름으로 TCP 연결을 설정한 것으로 관찰됩니다. 이것은 명령 및 제어 통신입니다.

프로세스 실행 중
Netstat 명령 및 제어 통신

다음으로 일반 DNS 확인 계층 구조에 포함된 일반적인 구성 요소를 분석하여 공격자의 프로세스를 세분화할 수 있습니다:

  • 먼저, 위협 행위자는 웹컴-미팅스닷컴도메인을 등록했습니다.
  • 도메인은 외부 IP 203.0.113.123을 가리킵니다.
  • 공격자는 하위 도메인 이름 app12.webcoms-meetings.com을 사용하여 감염된 컴퓨터의 페이로드에서 자신의 명령 및 제어로 트래픽을 전송합니다.
DNS 구조

위협 행위자는 DNS를 사용하여 데이터 유출을 시도할 수도 있습니다. 예를 들어, 공격자는 아웃바운드 DNS 쿼리의 일부로 DNS TXT 레코드를 사용하거나 피해자에 대한 고유 정보를 인코딩할 수도 있습니다. 이러한 쿼리는 공격자의 통제 하에 있는 권한 있는 DNS 서버가 수신합니다. 권한 있는 DNS 서버는 특정 도메인에 대한 DNS 쿼리를 수신하고 응답합니다.

또한 위협 행위자는 도메인 생성 알고리즘(DGA)을 사용하여 매일 수천 개의 도메인을 자동으로 생성할 수 있습니다. 이 기법을 사용하면 감염된 컴퓨터는 코드(즉, 알고리즘)를 내장하여 지정된 기간 동안 이렇게 생성된 여러 도메인을 생성하고 연결을 시도합니다. 예를 들어 한 개가 성공할 때까지 24시간마다 1,000개의 생성된 도메인에 연결을 시도할 수 있습니다. 공격자는 이러한 도메인을 매일 몇 개씩 등록하여 짧은 기간 동안 유지합니다.

이러한 도메인은 악성 커뮤니케이션을 자주 수신할 가능성이 높습니다. Conficker 멀웨어 제품군에 의해 대중화된 이 기법은 킬 스위치로 거부 목록을 만드는 것을 어렵게 만듭니다. 더욱 정교한 위협 공격자들은 탐지를 회피하고 복원력을 유지하기 위해 프록시, 리디렉터, 로드 밸런서를 결합한 분산 인프라를 사용하기도 합니다.

시스템 분석

일반적인 페이로드 또는 비콘 사후 익스플로잇 작업의 대부분은 전적으로 메모리에서 발생하는 Windows 프로세스 조작을 수반합니다. 프로세스 조작 기능이 있는 공격자는 피해 컴퓨터에서 새로운 프로세스를 시작할 수 있습니다. 공격자가 네이티브 Windows 명령을 사용할 수 있는 네이티브 대화형 셸(Windows cmd.exe)일 수 있습니다. 공격자는 다음과 같이 비대화형 프로세스를 시작할 수도 있습니다:

미터프리터 셸 프로세스 조작

피해 컴퓨터의 프로세스 덤프(아래 표시)에는 새로 생성된 프로세스가 각각의 프로세스 ID인 2624와 1972로 표시되며, 둘 다 실행 중입니다.

프로세스 탐색기 보기

새로운 프로세스를 시작할 수 있는 기능은 매우 유용합니다. 공격자는 notepad.exe와 같은 의심스럽지 않은 새로운 프로세스를 시작한 다음 코드/DLL 인젝션을 사용하여 원래의 악성 페이로드 프로세스를 이 프로세스로 마이그레이션할 수 있습니다. 시스템의 악성 프로세스를 정상 프로세스로 보이게 하는 기법으로, 이 시리즈의 2부에서는 이에 대해 자세히 설명하겠습니다.

공격자는 익스플로잇 후 회피의 일환으로 다음과 같이 원래의 악성 프로세스인 web1_meeting_update.exe (2472)를 새로운 notepad.exe 프로세스(1768)로 마이그레이션합니다.

미터프리터 셸 마이그레이션 프로세스

피해 컴퓨터에서 원래 악성 프로세스인 PID 2472가 마이그레이션되어 현재 프로세스 ID 1768의 notepad.exe로 실행되고 있습니다. 아래 그림과 같이 이제 새 프로세스만 실행 중입니다.

작업 관리자 마이그레이션 프로세스

이전의 지속성 기법에서 Windows Temp 폴더(아래 참조)에는 사용된 VBScript와 악성 스크립트의 레지스트리에 생성된 해당 자동 실행 키가 모두 표시됩니다.

지속성 레지스트리 아티팩트

원본 악성 실행 페이로드 파일에 대한 초기 정적 분석 결과, 몇 가지 관련 위험 요소가 있는 것으로 나타났습니다. 예를 들어, 특히 네트워크 통신에 사용되는 몇 가지 흥미로운 Windows 라이브러리(DLL)를 로드합니다. 해당 메모리 및 동적 분석은 네트워크 연결을 시도하는 notepad.exe 프로세스의 의심스러운 동작을 표시합니다.

정적 분석 악성 페이로드 파일

결론

이 도움말에서는 위협 캠페인 및 관련 악성 커뮤니케이션과 관련된 몇 가지 일반적인 고려 사항과 조치에 대해 설명했습니다. 이를 통해 위협 행위자가 특정 기술을 사용하는 방법과 이유에 대한 인사이트를 얻을 수 있기를 바랍니다.

악성 커뮤니케이션으로 이어지는 공격 주기를 세 단계로 요약할 수 있습니다:

  • 초기 항목
  • 실행
  • 명령 및 제어

방어 전략에 접근하는 좋은 방법은 침해 가정 철학을 적용하는 것입니다. 즉, 공격자가 이미 들어와 있다고 가정하고, 따라서 주요 보안 목표는 탐지 및 봉쇄가 되어야 합니다. 또한 보안 결과에는 최소한 자동화된 가시성, 경고 및 격리(제로 트러스트 세분화)가 포함되어야 합니다. 이 블로그 시리즈의 세 번째이자 마지막 파트에서는 완화 기술에 대해 더 자세히 설명하겠습니다.

이 시리즈의 2부인 다음 글에서는 비콘과 페이로드에 대해 자세히 살펴보고 위협 공격자가 왜 한 가지 유형을 다른 유형보다 선택하는지 설명하겠습니다. 또한 공격자들이 회피 및 난독화를 위해 사용하는 몇 가지 고급 기법에 대해서도 자세히 설명합니다.

관련 주제

공급망 공격
마이크로세그멘테이션

관련 문서

인포시큐리티 유럽 2023의 주요 주제, 에너지 부문 복원력 및 고등 교육 사이버 위협
Cyber Resilience

인포시큐리티 유럽 2023의 주요 주제, 에너지 부문 복원력 및 고등 교육 사이버 위협

사이버 보안의 입증된 발전 경로로서 침해 차단에 초점을 맞춘 Illumio의 2023년 6월 뉴스 보도에 대해 자세히 알아보세요.

Read more
일루미오, 사이버 복원력 구축을 위해 라틴 아메리카로 사업 확장
Cyber Resilience

일루미오, 사이버 복원력 구축을 위해 라틴 아메리카로 사업 확장

라틴 아메리카 지역이 특히 위협 행위자들의 표적이 되는 이유와 Illumio가 어떻게 도움을 줄 수 있는지 자세히 알아보세요.

Read more
사이버 회복탄력성에 다시 집중하세요: 사이버 회복탄력성 향상을 위한 3가지 모범 사례
Cyber Resilience

사이버 회복탄력성에 다시 집중하세요: 사이버 회복탄력성 향상을 위한 3가지 모범 사례

네트워크에서 활성 침해가 감지되는 불행한 상황에서 사이버 복원력이 어떻게 도움이 될 수 있는지 알아보세요.

Read more
No items found.

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

Learn more