RAT와 대화하기: 원격 액세스 트로이 목마 감염을 분석하여 기업 위험 평가하기

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

레코디드 퓨처는 표적이 된 피해 조직과 부문을 프로파일링하기 위해 여러 멀웨어 제품군에서 일부 RAT 명령 및 제어 서버와 관련된 네트워크 통신을 분석했습니다. 이 보고서는 Recorded FutureⓇ 플랫폼, VirusTotal, Farsight DNS, 쇼단, 그레이노이즈 및 기타 OSINT 기법에서 얻은 데이터를 기반으로 합니다.

이 보고서는 타사 공급망으로 인한 위험을 우려하는 기업 내 네트워크 방어자 및 기업 리스크 전문가에게 가장 유용할 것입니다. 제3자 위험 모니터링 및 조사에 Recorded Future를 활용하는 방법에 대해 자세히 알아보려면 새로운 제3자 위험 오퍼링에 대해 읽어보세요. 이 평가는 타사 위험에 대한 새로운 네트워크 트래픽 분석 위험 규칙의 데이터를 활용하여 실행 가능한 인사이트를 생성합니다.

Executive Summary

기업 시스템의 원격 액세스 트로이목마(RAT)는 기업 네트워크 내에서 정보에 측면적으로 액세스하는 주요 구심점 역할을 할 수 있습니다. 네트워크 메타데이터를 분석하여 레코디드 퓨처의 분석가들은 RAT 명령 및 제어(C2) 서버를 식별할 수 있었고, 더 중요한 것은 어떤 기업 네트워크가 이러한 컨트롤러와 통신하고 있는지 파악할 수 있었습니다. 이러한 접근 방식을 통해 Recorded Future는 고객이 의존할 수 있는 타사 조직에 대한 인사이트를 제공하여 자체 데이터에 대한 잠재적인 타사 위험을 더 잘 이해할 수 있습니다.

인식트 그룹은 2018년 12월 2일부터 2019년 1월 9일까지 레코디드 퓨처와 쇼단 멀웨어 헌터 공동 프로젝트와 레코디드 퓨처 플랫폼을 사용하여 14개의 멀웨어 제품군에 대한 활성 멀웨어 컨트롤러를 식별했습니다. 그런 다음 멀웨어의 하위 집합인 Emotet, Xtreme RAT 및 ZeroAccess에 분석을 집중하여 타사 조직에서 컨트롤러로 전송되는 RAT 통신을 프로파일링했습니다.

배경

전 세계의 공공 및 민간 조직은 계속해서 디지털 침입을 경험하고 있으며, 대규모 침해 소식이 거의 매일 전해지고 있습니다. 2018년 연례 검토에서 영국의 NCSC는 2017년 9월 1일부터 2018년 8월 31일까지 557건의 사건을 직접 처리했다고 보고하여 영국에서만 발생한 문제의 규모를 강조했습니다.

공격자는 호스트 디바이스를 불법적으로 제어할 수 있는 RAT를 사용하는 경우가 많습니다. RAT는 공격자가 키로깅, 파일 추출, 호스트 오디오 및 비디오 녹화 등의 활동을 수행하기 위해 일반적으로 사용하는 풍부한 기능을 갖춘 소프트웨어입니다.

이러한 공격의 상당 부분은 다크트랙 RAT, 익스트림 RAT, 제로액세스 등 상용 RAT를 사용하여 수행되며, 공격자의 동기는 금전적 이득부터 해킹 커뮤니티 내 신뢰성 확보에 이르기까지 다양합니다. 많은 해킹 포럼 관리자들은 신규 회원이 포럼에 가입하기 위해 자신의 '능력'을 증명해야 한다고 규정하고 있기 때문에, 광범위한 온라인 문서와 함께 상용 RAT를 사용하는 데 필요한 비교적 낮은 수준의 기술 지식은 경험이 없는 해커들에게 매우 매력적인 제안이 됩니다.

다른 한편으로는 국가가 지원하는 지능형 지속 위협(APT) 그룹과 지능형 범죄 그룹이 있으며, 이들은 운영 성과를 달성하기 위해 더욱 정교한 멀웨어 캠페인을 수행할 수 있습니다. APT는 구성, 수정, 사용이 쉽기 때문에 RAT를 계속 사용합니다. 안티바이러스 소프트웨어에 대한 상대적인 효과와 '노이즈에 숨어' 어트리뷰션을 방해할 수 있는 잠재력이 결합되어 APT와 사이버 범죄자들이 RAT를 계속 사용하고 있습니다.

사이버 범죄자들은 주로 금전적 동기를 가진 목표를 지원하기 위해 툴링과 멀웨어를 개발하는 데 혁신을 거듭해 왔습니다. 사이버 범죄자들이 사용하는 RAT 및 기타 멀웨어가 법 집행 기관의 조치에 의해 중단되거나 업계의 공동 이니셔티브를 통해 그 방법이 무력화됨에 따라 방법론 또는 비즈니스 모델의 변경이 불가피한 경우도 있습니다. 이모텟의 제작진도 마찬가지입니다.

이모텟은 유럽 은행 고객을 대상으로 하는 뱅킹 트로이 목마에서 모듈화된 멀웨어 배포 플랫폼으로 진화했으며, 2018년에 여러 차례 주목할 만한 캠페인이 있었습니다. 자체 전파 트로이 목마인 이모텟은 특히 네트워크 웜과 유사한 특성을 보이는 악성코드로, 감염된 피해자로 구성된 상당한 규모의 봇넷을 구축할 수 있습니다.

분석 접근 방식

레코디드 퓨처 연구원들은 레코디드 퓨처 플랫폼의 위협 목록에서 파생된 다양한 RAT 및 이모텟 컨트롤러를 식별하고 네트워크 메타데이터를 사용하여 RAT C2 IP와 피해자의 통신을 식별했습니다. 위협 목록에는 다음의 데이터가 포함되어 있습니다:

1. 녹화된 미래와 쇼단이 공동 개발한 Malware^Hunter1 기능
2. Abuse.ch Feodo 멀웨어 제품군(Dridex 또는 Emotet/Heodo라고도 함) 차단 목록

편집자 주: 수집 메커니즘의 기술적 한계로 인해 Malware Hunter를 사용하여 식별된 C2의 수는 이 연구에서 분석된 각 멀웨어 제품군에 대해 전 세계에 존재하는 실제 C2의 수를 반영하지 못합니다. 따라서 이 분석에서는 제3자 위험을 알리기 위해 Recorded Future를 사용하여 감염된 클라이언트를 식별하는 방법론에 초점을 맞추고 있습니다.

연구를 위해 2018년 12월 2일부터 2019년 1월 8일까지의 기간 동안 다음 멀웨어 제품군에 대한 활성 컨트롤러를 검색했습니다:

• 보족 RAT
• 나노코어
• 포이즌아이비
• 카페니
• NetBus
• ProRAT
• 다크코멧
• njRAT
• Xtreme RAT
• 다크트랙 RAT
• 핵 RAT
• 제로 액세스
• 이모티콘
• Orcus RAT

그런 다음 피해 조직의 이러한 컨트롤러 중 일부에 대한 네트워크 통신을 분석했습니다. 다른 조직에 인터넷 호스팅 서비스를 제공하는 조직이 직접 피해를 입은 것으로 식별되지 않도록 필터링을 수행했으며, 식별 가능한 경우 인터넷 스캐너를 생략했습니다. 이 분석은 악의적인 것으로 확인된 서버에 특정 방식으로 연결되는 것을 관찰한 결과를 기반으로 하며, 실제로 피해자가 아닌 연구자나 다른 사람이 이러한 연결을 했을 가능성도 존재합니다.

탐지된 멀웨어 제품군별 활성 C2 분석(탐지된 C2의 총 샘플 크기: 481개).

저희는 상용 조직의 인프라 내에서 감염된 것으로 추정되는 호스트와의 RAT 통신을 프로파일링하기 위해 Emotet, Xtreme RAT, ZeroAccess 컨트롤러에 분석을 집중했습니다.

기록된 미래의 제3자 위험 모듈

레코디드 퓨처의 제3자 위험 모듈 출시에 이어, 기업이 공급망, 파트너, 자체적으로 발생하는 사이버 위험을 평가할 수 있는 추가 기능을 통합했습니다. 타사 리스크를 사용하면 타사 에코시스템의 상태를 모니터링하고, 기업이 제기하는 위험을 조사하고, 관심 있는 기업의 위협 환경 변화에 대한 알림을 받을 수 있습니다. 이 보고서의 분석은 새로운 모듈의 타사 위험 요소 및 지표, 특히 네트워크 트래픽 분석 위험 규칙을 알리는 데 사용하는 것과 동일한 데이터 소스를 사용하여 수행되었습니다.

레코디드 퓨처와 쇼단의 멀웨어 헌터 프로젝트 및 Abuse.ch Feodo 차단 목록을 사용하여 식별된 RAT C2의 글로벌 배포. (출처: 레코딩된 미래)

위협 분석

이모티콘

Emotet은 주로 다른 뱅킹 트로이 목마의 다운로더 또는 드롭퍼로 작동하는 고급 모듈식 뱅킹 트로이 목마입니다. 이모텟은 처음에는 금융 데이터를 훔치기 위해 설계되었지만, 현재는 주로 트릭봇이나 칵봇과 같은 다른 멀웨어의 다운로더로 사용되고 있습니다. Emotet은 C2 서버를 사용하여 업데이트를 수신하고 추가 멀웨어를 다운로드 및 설치합니다. 이모텟 운영자는 특정 산업이나 지역을 표적으로 삼지 않고 무분별하게 확산하는 경향이 있으며, 이는 악성코드 운영자가 수익을 창출하기 위해 대량의 감염에 더 관심을 보이는 것으로 나타났습니다.
이모텟은 원래 2014년에 새로운 뱅킹 트로이 목마로 확인되었으며, 지오도 또는 페오도라고도 불립니다. 이 멀웨어는 다른 자손을 낳은 뱅킹 트로이 목마 Feodo(Cridex 또는 Bugat라고도 함)에서 자연적으로 진화한 결과물입니다. 그러나 지난 12개월 동안 독립적인 위협에서 다른 트로이 목마의 유포자로 진화하여 2018년 여름에 수많은 대규모 캠페인이 발생했습니다. 이 멀웨어는 코드 디렉터리의 폴더 제목을 "오픈 소스"로 지정할 정도로 수많은 오픈 소스 라이브러리와 코드를 사용한다는 점에서 독특합니다. 다수의 이모텟 모듈에는 피해 컴퓨터에서 암호를 스크래핑하고 수집하기 위해 Nirsoft에서 개발한 유틸리티가 통합되어 있습니다.

이모텟은 최근 대상 시스템을 감염시킨 후 다른 멀웨어 제품군을 호스트에 로드하는 스팸 전송 멀웨어로 활동해 왔습니다. 스팸을 배포하고 때때로 C2 서버의 프록시 역할을 하는 감염된 호스트는 분산된 네트워크이기 때문에 방어자가 경계에서 차단하기 어렵습니다.

보고에 따르면 이모텟 운영자가 최소 두 개의 이모텟 인프라를 동시에 운영할 가능성이 있으며, 이는 중복성을 높이고 법 집행 기관의 합동 단속을 더 어렵게 만들기 위한 것으로 보입니다.

Emotet: 네트워크 메타데이터를 이용한 써드파티 위험 평가

조사하는 동안 26개 조직에서 이모텟에 감염된 호스트를 확인했습니다. 이러한 조직은 다음과 같은 다양한 산업 분야에 퍼져 있습니다:

• 자동차
• 금융 및 뱅킹
• 에너지
• 의료 기기 제조
• 건설
• 소매 및 엔터테인먼트
• 물류, 상업 서비스 및 소모품
• IT
• 유틸리티

위의 차트는 식별된 이모텟 컨트롤러와 통신하는 감염된 호스트의 분석을 보여줍니다. 두 명의 컨트롤러가 눈에 띄며, 이들과 통신하는 40개 이상의 감염된 호스트가 관찰되었습니다: 한국 IP 115.88.75[.]245와 미국 IP 192.155.90[.]90입니다.

2018년 12월 2일부터 2019년 1월 8일 사이에 기업 피해자가 감염된 것으로 확인된 이모텟 C2.

위의 표는 Recorded Future에서 심층 분석한 각 Emotet C2 서버의 IP 주소, 국가, 인터넷 서비스 제공업체(ISP)를 나타냅니다.

편집자 주: ISP는 고객에게 인터넷 액세스를 제공하며, ISP에 할당된 넷블록 내의 특정 IP 주소에서 사용 중인 장비 및 시스템을 직접 제어하지 않을 수 있습니다.

연구 데이터에서 고유한 기업 피해자 수에 따라 가장 활발하게 활동하는 이모텟 C2 중 하나는 한국 IP 115.88.75[.]245였습니다. 레코디드 퓨처 플랫폼을 사용하는 고객을 위한 새로운 위험 규칙으로 개발된 새로운 알고리즘에 따라 최소 4개의 서로 다른 감염된 회사로 확인된 IP 주소가 C2와 통신하는 것이 감지되었습니다. 감염된 회사 중 세 곳은 라틴 아메리카에 위치해 있으며, 최근 약간 변형된 이모텟 전파 방법론이 사용되면서 이모텟 감염이 급증하고 있는 지역입니다. 발견된 피해자 중 두 곳은 멕시코와 에콰도르의 금융 회사이며, 세 번째 피해자는 칠레의 대기업입니다. 나머지 기업 피해자는 캐나다의 의료 기기 제조 회사였습니다.

이 연구 당시 한국의 C2 IP는 해당 도메인으로 확인되는 도메인이 없었지만 VirusTotal 데이터에 따르면 감염된 피해자들이 URL에 호스트로 명시된 IP 주소로 연결한 것으로 나타났습니다. 우리는 파워셸을 실행하도록 설계된 매크로로 난독화된^VBA2 코드가 포함된 여러 악성 Microsoft Word 문서를 확인했으며, 이 문서는 한국 C2에서 이모텟 페이로드를 검색하고 실행하는 것으로 나타났습니다.

레코디드 퓨처 타사 위험 분석 및 네트워크 트래픽 분석 위험 규칙을 사용하여 탐지된 Emotet C2의 클러스터링 및 커뮤니케이션 피해 조직.

이모텟 C2와 피해 조직 IP를 추가로 분석한 결과, 위의 Maltego 그래프에서 볼 수 있듯이 몇 가지 뚜렷한 활동 그룹이 존재하는 것으로 나타났습니다. 앞서 LG데이콤으로 확인된 한국의 C2는 그래프 왼쪽에 표시된 고도로 상호 연결된 활동 클러스터 내에 위치했습니다. 이 클러스터는 주로 라틴 아메리카에 기반을 둔 통신 서비스 제공업체 및 호스팅 제공업체의 인프라에서 호스팅되는 17개의 탐지된 Emotet C2를 중심으로 이루어졌습니다. 공격 대상 조직은 전 세계에 기반을 두고 있었으며, 중남미와 유럽에 기반을 둔 피해 조직이 상당수를 차지했습니다.

대부분의 C2가 라틴 아메리카 IP 공간에 위치한 이모티콘 활동의 주요 클러스터입니다.

두 번째로 큰 활동 클러스터는 인도 IP 45.123.3[.]54에서 호스팅되는 Emotet 컨트롤러를 중심으로 관찰되었으며, 이 컨트롤러는 인도의 블루 로터스 지원 서비스로 확인되었습니다. 이 IP를 가리키는 C2 호스트 이름은 campus.miim.ac[.]in으로, 인도 케랄라주의 대학인 마리안 국제 경영대학에 해당합니다. 분석 결과 다음 회사에서 이 C2와 관련된 이모텟 감염이 진행 중인 것으로 나타났습니다:

• 일본의 한 기계 제조업체
• 중국 기술 대기업
• 에콰도르 은행과 미국 금융 컨설팅 회사
• 오스트리아의 에너지 공급업체
• 캐나다 및 호주 케이블 TV 제공업체

Xtreme RAT

Xtreme RAT는 2010년에 처음 공개적으로 발견된 상품용 RAT입니다. 이 RAT는 무료로 제공되며 소스 코드가 유출되어 공격자가 네트워크 방어를 회피하기 위해 자유롭게 수정할 수 있습니다. 거의 10년 동안 사용되어 왔고 이전보다 사용량이 줄어든 것으로 보이지만, 여전히 표적 공격과 사이버 범죄 활동에 널리 사용되는 것으로 보고된 강력한 트로이 목마입니다. 이 RAT는 작성자가 일반적인 방식과 반대로 정의한 클라이언트-서버 시스템을 사용합니다. 멀웨어의 "서버" 부분은 피해자의 컴퓨터에 설치되며, 따라서 피해자의 "서버"는 실제로는 하나 이상의 원격 C2 시스템에서 작동하는 컨트롤러인 "클라이언트"와 연결됩니다.

레코디드 퓨처 및 쇼단 멀웨어 헌터 프로젝트를 사용하여 탐지된 연구 기간 동안 활동한 익스트림 RAT 컨트롤러를 보여주는 레코디드 퓨처 히트맵. (출처: 레코딩된 미래)

Xtreme RAT: 네트워크 메타데이터를 사용한 써드파티 위험 평가

2018년 12월 8일부터 2019년 1월 2일 사이에 관찰한 활성 Xtreme RAT 컨트롤러가 있는 통신 노드를 식별하기 위해 새로운 타사 위험 모듈을 배포했습니다. 다시 한 번, 감염 가능성이 있는 방식으로 Xtreme RAT 컨트롤러와 통신하는 기업 IP를 발견했습니다.

Xtreme RAT C2 IP	국가	등록자/조직
101.132.69[.]78	중국	항저우 알리바바 광고 유한공사
116.62.60[.]109	중국	항저우 알리바바 광고 유한공사
212.46.104[.]104	독일	HKN GmbH
196.200.160[.]201	모로코	CNRST(국립 과학 기술 연구 센터)
198.255.100[.]74	미국	FDC서버
192.240.110[.]98	미국	FDC서버

196.200.160[.]20,1에서 호스팅되는 모로코 익스트림 RAT C2와 통신하는 3명의 고유한 피해자가 발견되었습니다. 호스트 이름 ns2.marwan.ma로 확인되었습니다. 모로코 라바트에 있는 기술 대학인 모로코 국립과학연구기술센터(CNRST)에 등록된 IP입니다. 감염된 피해 디바이스 중 두 대는 미국과 일본의 다국적 IT 장비 및 서비스 회사에 속한 인프라로 확인되었습니다. 세 번째 피해자는 브라질의 한 대학교에 위치한 기기였습니다.

모로코 대학 네트워크에서 호스팅되는 Xtreme RAT 컨트롤러.

호스트 이름 test.zzjzpt[.]com 2018년 12월 16일에 중국 IP 116.62.60[.]109를 가리키도록 업데이트되었으며, 최소 2019년 1월 5일까지 해당 IP로 계속 확인되었습니다. 이 기간 동안 IP는 Xtreme RAT C2로 지정되었습니다. 이 컨트롤러는 미국 FDC서버 인프라(192.240.110[.]98)에서 호스팅되는 다른 두 대의 Xtreme RAT C2와 함께 및 198.255.100[.]74), 는 유럽 유틸리티 회사 내의 여러 감염된 호스트로부터 익스트림 RAT 네트워크 통신을 수신하는 것이 관찰되었습니다. 이 익스트림 RAT C2와 통신하는 것이 관찰된 추가 피해 조직은 다음과 같습니다:

• 유럽의 한 비디오 게임 회사
• 중동, 남아시아 및 동아시아 통신사
• 동아시아 산업 대기업
• 동아시아 IT 기업

조직 타겟팅이 중복되는 Xtreme RAT 컨트롤러.

제로 액세스 트로이 목마

제로액세스는 2011년에 처음 발견되었으며, 탐지를 회피하기 위해 고급 루트킷을 사용합니다. 트로이 목마는 호스트에 숨겨진 파일 시스템과 백도어를 생성하고 호스트에 추가 멀웨어를 쉽게 다운로드할 수 있습니다. 제로 액세스는 도메인 생성 알고리즘(DGA)을 사용하여 C2 서버를 검색하고 연결하도록 구성할 수 있으며 피어투피어 연결을 활용할 수도 있습니다. 역사적으로 제로 액세스는 전략적 웹 손상 (SWC)을 사용하여 배포되었으며, 일반적으로 사이버 범죄자들이 클릭당 지불 광고 메커니즘(클릭 사기)을 통해 불법 자금을 창출하기 위해 사용했습니다. 이 멀웨어는 암호화폐를 채굴하는 데도 사용되었습니다.

제로 액세스: 네트워크 메타데이터를 사용하여 써드파티 위험 평가하기

연구 기간 동안 루마니아 IP 31.5.229[.]224에서 활동하는 제로 액세스 트로이 목마 C2와 통신하는 피해 조직의 단일 인스턴스를 확인했습니다. 피해 조직은 동아시아의 한 IT 회사였습니다.

전망

이모텟과 같은 뱅킹 트로이목마와 기타 RAT는 전 세계 정부 및 기업 네트워크에 지속적으로 심각한 위협을 가하고 있습니다. Emotet의 개발자들은 전파 효과를 높이고 기존 네트워크 방어를 회피하기 위해 모듈화된 기능을 지속적으로 혁신하고 개발하여 2018년 7월에 발표된 US-CERT 경보에 따르면 주, 지방, 부족, 자치지역(SLTT) 정부에서 사건당 최대 100만 달러의 복구 비용을 지불한 것으로 나타났습니다.

이 연구는 악성 RAT 컨트롤러 네트워크 인프라를 식별하고 추적하여 기업의 보안 상태를 알릴 수 있는 이점을 강조합니다. 고객은 당사 플랫폼 내에서 트리거되는 관련 위험 규칙을 준수하여 Recorded Future의 제3자 위험 모듈을 사용할 수 있습니다. 타사 위험에서는 이 평가에서 멀웨어 통신을 식별하고 분석하는 데 사용한 것과 동일한 데이터를 사용하여 고객의 타사 위험 감시 목록에 있는 회사가 유사한 활동을 보일 때 위험 규칙을 트리거하고 경보를 발령합니다.

타사 위험 네트워크 트래픽 분석 위험 규칙은 회사 인프라에서 관찰된 Xtreme RAT 통신과 관련된 심각도가 높은 위험을 표시합니다.

RAT 컨트롤러에 대한 추가 범위를 계속 개발함에 따라 이러한 서명을 자동으로 추가하여 이러한 컨트롤러와 통신하는 기업 네트워크 인프라가 관찰되면 Recorded Future 플랫폼에서 타사 위험 규칙이 트리거되도록 할 것입니다.

네트워크 방어 권장 사항

레코디드 퓨처는 조직이 불법 RAT 활동을 방어할 때 선제적인 위협 헌팅을 수행하고 다음과 같은 완화 조치를 구현할 것을 권장합니다:

• Recorded Future의 API를 사용하여 이 보고서(부록 A)에 나열된 지표를 엔드포인트 탐지 및 대응(EDR) 플랫폼으로 가져올 수 있습니다.
• 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 또는 네트워크 방어 메커니즘을 구성하여 부록 A에 나열된 외부 IP 주소 및 도메인의 불법 연결 시도를 경고하도록 하고 검토 후 차단하는 것을 고려하세요.
• 엔드포인트 트래픽을 모니터링하여 부록 A의 지표에 대한 연결을 경고하고 차단합니다.

관련 보안 침해 지표의 전체 목록을 보려면 부록을 다운로드하세요.