배드패치라는 리버스 셸 멀웨어...C&C와 통신 채널 만드는 데 사용돼
추가로 셸티와 포슬럽이라는 기존 멀웨어 변종들도 함께 사용되고 있어

[보안뉴스 문가용 기자] 핀8(FIN8)이라는 사이버 범죄 단체를 추적하고 있는 보안 전문가들이 새로운 사실을 공개했다. 핀8이 새로운 리버스 셸 멀웨어 프로그램을 사용해 C&C 통신 채널을 만드는 수법을 동원하기 시작했다는 것이다.


또한 핀8이 사용하는 백도어 임플란트인 셸티(ShellTea)와 POS 멀웨어인 포슬럽(PoSlurp)에 대한 세부 내용도 같이 공개됐다.

금전적인 목적을 가지고 사이버 공격을 실시하는 핀8은 지난 달부터 갑자기 활동량을 늘렸다. 보안 업체 모피섹(Morphisec)이 그런 핀8을 발견하며, 셸티의 새로운 변종 역시 함께 찾아내는 데 성공했었다. 그리고 오늘 기가몬(Gigamon)의 위협 연구 팀에서 핀8의 또 다른 툴셋을 공개한 것이다.

기가몬에 의하면 핀8 공격자들은 최근 들어 배드해치(BADHATCH)라는 새로운 리버스 셸 멀웨어를 사용하기 시작했다고 한다. 배드해치는 이전에 등장했던 파일레스 다운로더인 파워스니프(PowerSniff) 혹은 펀치버기(PUNCHBUGGY)와 유사한 점이 있다고 한다.

“배드해치는 1단계 공격에서 임베드 된 2단계 DLL을 메모리에 로딩시킵니다. DLL이 실행되면 svchost.exe 프로세스나 explorer.exe 프로세스에 스스로를 주입시킵니다. 그 다음은 하드코딩 된 C&C IP 주소로 신호를 보냅니다. 이 때 TLS 암호화 기능을 사용합니다.” 기가몬의 설명이다.

C&C와의 연결에 성공하면 배드해치는 호스트 식별 문자열(host identification string), 시스템 OS 버전 정보 등을 전송한다. 그 다음 cmd.exe 프로세스를 시작해 명령을 실행시킬 준비를 마친다. 주로 업로드, 다운로드, 프로세스 종료와 같은 명령이 실행시킬 수 있다.

또한 배드패치는 윈도우의 IO 컴플리션 포트 API(Windows IO Completion Port API)들과 저단계 암호화 API들을 사용한다고 기가몬은 설명한다. 이를 통해 비대칭 TLS로 포장된 TCP/IP 채널이 만들어지는 것이라고 한다. “하지만 그 부작용으로 포트 3885가 열리고 localhost에 묶이게 됩니다. 그래서 배드패치는 암호화 과정에서 이 포트를 룹백 전송 채널(loopback transmission channel)로 사용합니다.”

그렇다면 배드해치는 애초에 어떻게 시스템에 침투하게 되는 걸까? 기가몬은 “공격자들이 윈도우 관리 도구 명령행(WMIC) 유틸리티를 통해 파워셸 스크립트를 배포한다”고 설명한다. “바로 이 파워셸 스크립트에서부터 다단계 감염이 시작되는 겁니다.”

핀8은 배드패치를 셸티 백도어나 포슬럽 POS 멀웨어와 함께 사용하고 있다고 한다. 기가몬은 이렇게 혼합된 공격을 각각 셸티B(ShellTea.B)와 포슬럽B(PoSlurp.B)라고 부른다. 보다 상세한 기술적 정보는 기가몬의 블로그(https://atr-blog.gigamon.com/2019/07/23/abadbabe-8badf00d-discovering-badhatch-and-a-detailed-look-at-fin8s-tooling/)를 통해 열람이 가능하다.

3줄 요약
1. 사이버 공격 단체 핀8, 지난 달부터 공격 활동 급증시킴.
2. 이번에 기가몬에서 핀8의 새로운 백도어인 배드패치를 발견해 상세히 공개함.
3. 최근 핀8의 캠페인에서는 ‘배드패치 + 셸티’ 혹은 ‘배드패치 + 포슬럽’이 사용되는 게 대세.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>