원작자: 23pds Thinking
원래 편집자: Liz
원본 출처: SlowMist Technology
배경
2024년 6월부터 SlowMist 보안팀은 여러 팀으로부터 여러 해커 공격에 대한 법의학적 조사를 실시해 달라는 초대를 받았습니다. 지난 30일간의 축적과 심층적인 분석, 조사를 거쳐 해커의 공격 방법과 침입 경로에 대한 검토를 완료했습니다. 조사 결과, 이는 암호화폐 거래소를 표적으로 한 국가 규모의 APT 공격인 것으로 나타났습니다. 법의학적 분석과 상관관계 추적을 통해 공격자가 라자루스 그룹이라는 것을 확인했습니다.
관련 IOC(침입 지표)와 TTP(전술, 기술, 절차)를 얻은 후, 우리는 즉시 파트너와 정보를 동기화합니다. 동시에 우리는 다른 파트너들도 같은 방법으로 공격과 침략을 당한다는 것을 발견했습니다. 하지만 그들은 상대적으로 운이 좋았습니다. 해커들이 침입 과정에서 보안 알람을 울렸고, 보안팀의 적절한 대응으로 공격은 성공적으로 차단되었습니다.
최근 암호화폐 거래소를 겨냥한 APT 공격이 지속적으로 발생하고 상황이 점점 심각해지고 있다는 점을 고려하여, 관련 당사자들과 소통한 후, 우리는 공격의 IOC 및 TTP를 완화하고 이를 공개적으로 게시하여 커뮤니티 파트너가 적절한 시기에 방어하고 자체 점검할 수 있도록 결정했습니다. 동시에, 기밀유지 협정으로 인해 우리는 파트너에 대한 구체적인 정보를 너무 많이 공개할 수 없습니다. 다음으로, 공격의 IOC와 TTP를 공유하는 데 중점을 두겠습니다.
공격자 정보
공격자 도메인:
가십스네어[.]닷컴, 51.38.145.49: 443
showmanroast[.]com, 213.252.232.171: 443
getstockprice[.]info, 131.226.2.120: 443
eclairdomain[.]com, 37.120.247.180: 443
리플레이드리어리[.]닷컴, 88.119.175.208: 443
코렐라다오[.]닷컴
cdn.clubinfo[.]io
사건에 연루된 IP:
193.233.171[.]58
193.233.85[.]234
208.95.112[.]1
204.79.197[.]203
23.195.153[.]175
공격자의 GitHub 사용자 이름:
https://github.com/mariaauijj
https://github.com/patriciauiokv
한국어: https://github.com/lauraengmp
공격자의 소셜 미디어 계정:
텔레그램: @tanzimahmed 88
백도어 프로그램 이름:
StockInvestSimulator-main.zip
MonteCarloStockInvestSimulator-main.zip
…StockInvestSimulator-main.zip 등과 유사합니다.
실제 프로젝트 코드:
(https://github.com/cristianleoo/몬테카를로-포트폴리오-관리)
공격자가 변경한 후의 가짜 프로젝트 코드:
비교 후, 데이터 디렉토리에 이상한 Loader를 포함하는 추가 data_fetcher.py 파일이 있음을 알 수 있습니다.
공격자가 사용하는 백도어 기술
공격자는 pyyaml을 사용해 RCE(원격 코드 실행)를 수행해 악성 코드를 전송하고 대상 컴퓨터와 서버를 제어합니다. 이 방법을 사용하면 대부분의 바이러스 백신 소프트웨어가 감지되지 않습니다. 파트너사와 정보를 동기화한 후, 우리는 여러 개의 유사한 악성 샘플을 얻었습니다.
주요 기술 분석 참고 자료: https://github.com/yaml/pyyaml/wiki/PyYAML-yaml.load(input)-Deprecation#how-to-disable-the-warning
SlowMist 보안팀은 샘플에 대한 심층 분석을 통해 공격자가 pyyaml을 사용하여 RCE(원격 코드 실행)를 수행하는 공격 방법을 성공적으로 재현했습니다.
공격 키 분석
목표와 동기
목표: 공격자의 주요 목표는 암호화폐 거래소의 인프라를 해킹하여 지갑을 제어하고, 지갑에 있는 대량의 암호화폐 자산을 불법적으로 이체하는 것입니다.
동기: 가치가 높은 암호화폐 자산을 훔치려고 시도함.
기술적 수단
1. 초기 침입
공격자는 사회 공학을 이용해 직원을 속여 로컬 장치나 Docker에서 겉보기에 정상적인 코드를 실행하도록 합니다.
이번 조사 과정에서 공격자가 사용한 맬웨어에 `StockInvestSimulator-main.zip`과 `MonteCarloStockInvestSimulator-main.zip`이 포함되어 있다는 것을 발견했습니다. 이러한 파일은 합법적인 Python 프로젝트처럼 위장되어 있지만 실제로는 원격 제어 트로이 목마이며 공격자는 RCE용 pyyaml을 사용하여 악성 코드를 전달하고 실행하며 대부분의 바이러스 백신 소프트웨어의 감지를 우회하는 수단으로 사용합니다.
2. 권한 상승
공격자는 악성 소프트웨어를 통해 직원의 장치에 대한 로컬 제어권을 성공적으로 획득하고 직원을 속여 docker-compose.yaml에서 privileged를 true로 설정하도록 했습니다.
공격자는 권한을 true로 설정하여 해당 조건을 악용해 권한을 더욱 확대하고 대상 장치를 완전히 제어했습니다.
3. 내부 정찰 및 측면 이동
공격자는 해킹된 직원의 컴퓨터를 이용해 인트라넷을 검색했습니다.
공격자는 인트라넷 서비스와 애플리케이션의 취약점을 악용해 회사의 내부 서버를 더욱 공격했습니다.
공격자는 주요 서버의 SSH 키를 훔치고 서버 간의 화이트리스트 신뢰 관계를 이용하여 지갑 서버로 측면 이동했습니다.
4. 암호화폐 자산 이전
공격자는 지갑을 성공적으로 장악한 후, 자신이 통제하는 지갑 주소로 대량의 암호화폐 자산을 불법적으로 이체했습니다.
5. 흔적을 숨기다
공격자는 합법적인 기업 도구, 애플리케이션 서비스 및 인프라를 발판으로 삼아 불법 활동의 진짜 출처를 가리고 로그 데이터와 샘플 데이터를 삭제하거나 파괴합니다.
프로세스
공격자는 소셜 엔지니어링을 사용하여 타겟을 속입니다. 일반적인 방법은 다음과 같습니다.
1. 프로젝트 소유자로 위장하고, 주요 타겟 개발자를 찾고, 코드 디버깅에 도움을 요청하고, 신뢰를 얻기 위해 선불로 비용을 지불할 의향을 표명합니다.
관련 IP 및 UA 정보를 추적한 결과, 이 거래는 제3자가 지불했으며 가치가 크지 않은 것으로 나타났습니다.
2. 공격자는 자동화된 트레이더 또는 투자자로 위장하고, 트레이딩 분석이나 정량적 코드를 제공하며, 주요 타겟을 속여 악성 프로그램을 실행하도록 합니다. 악성 소프트웨어가 장치에서 실행되면 지속적인 백도어를 설정하고 공격자에게 원격으로 접근할 수 있는 권한을 부여할 수 있습니다.
공격자는 손상된 장치를 사용하여 인트라넷을 스캔하고, 주요 서버를 식별하고, 기업 애플리케이션의 취약점을 악용하여 기업 네트워크에 더욱 침투합니다. 모든 공격은 손상된 장치의 VPN 트래픽을 통해 수행되므로 대부분 보안 장치의 감지를 우회합니다.
공격자가 관련 애플리케이션 서버 권한을 성공적으로 획득하면 주요 서버의 SSH 키를 훔치고, 이러한 서버의 권한을 사용하여 측면 이동을 수행하고 궁극적으로 지갑 서버를 제어하여 암호화된 자산을 외부 주소로 전송합니다. 공격자는 전체 과정에서 내부 기업 도구와 인프라를 교묘하게 사용하여 공격을 빨리 감지하기 어렵게 만들었습니다.
공격자는 직원들을 속여 디버깅 중인 프로그램을 삭제하게 한 다음, 공격의 흔적을 은폐하기 위해 디버깅에 대한 보상을 제공하겠다고 제안합니다.
또한, 일부 속은 직원은 책임에 대한 우려로 인해 자의로 관련 정보를 삭제할 수도 있으며, 이로 인해 공격이 발생한 후 관련 상황을 적시에 보고하지 못해 조사 및 증거 수집이 더욱 어려워질 수 있습니다.
제안
APT(지능형 지속 위협) 공격은 은폐성이 높고 대상물이 명확하며 잠복 기간이 길기 때문에 방어하기가 매우 어렵습니다. 기존의 보안 대책으로는 복잡한 침입 행위를 감지하지 못하는 경우가 많기 때문에 실시간 모니터링, 비정상 트래픽 분석, 엔드포인트 보호, 중앙 로그 관리 등 다층적인 네트워크 보안 솔루션을 결합해 공격자의 침입 흔적을 최대한 빨리 감지하고 인지해 위협에 효과적으로 대응해야 합니다. SlowMist 보안팀은 커뮤니티 파트너를 위한 방어 배치에 대한 참고 자료를 제공하고자 8가지 주요 방어 방향과 제안을 제안했습니다.
1. 네트워크 프록시 보안 구성
목표: 네트워크 에이전트에서 보안 정책을 구성하여 제로 트러스트 모델을 기반으로 보안 결정과 서비스 관리를 구현합니다.
솔루션: Fortinet(https://www.fortinet.com/), Akamai(https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare(https://www.cloudflare.com/zero-trust/products/access/) 등.
2. DNS 트래픽 보안 보호
목표: 알려진 악성 도메인 이름을 확인하려는 요청을 탐지하고 차단하기 위해 DNS 계층에서 보안 제어를 구현하여 DNS 스푸핑이나 데이터 유출을 방지합니다.
솔루션: Cisco Umbrella(https://umbrella.cisco.com/) 및 기타.
3. 네트워크 트래픽/호스트 모니터링 및 위협 탐지
목표: 네트워크 요청의 데이터 흐름을 분석하고, 실시간으로 비정상적인 동작을 모니터링하고, 잠재적인 공격(IDS/IPS 등)을 식별하고, 서버에 HIDS를 설치하여 공격자의 취약점 악용 및 기타 공격 동작을 가능한 한 일찍 감지합니다.
솔루션 : SolarWinds Network Performance Monitor(https://www.solarwinds.com/), Palo Alto(https://www.paloaltonetworks.com/), Fortinet(https://www.fortinet.com/), Alibaba Cloud Security Center(https://www.alibabacloud.com/zh/product/security_center), GlassWire(https://www.glasswire.com/) 등.
4. 네트워크 분할 및 격리
목표: 네트워크를 더 작고 격리된 영역으로 나누어 위협 확산 범위를 제한하고 보안 제어 기능을 강화합니다.
솔루션: Cisco Identity Services Engine(https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html), 클라우드 플랫폼 보안 그룹 정책 등
5. 시스템 강화 대책
목표: 보안 강화 전략(구성 관리, 취약성 스캐닝, 패치 업데이트 등)을 구현하여 시스템 취약성을 줄이고 방어 역량을 개선합니다.
솔루션: Tenable.com(https://www.tenable.com/), public.cyber.mil(https://public.cyber.mil) 등
6. 엔드포인트 가시성 및 위협 탐지
목적: 단말 장치 활동에 대한 실시간 모니터링을 제공하고, 잠재적 위협을 식별하고, 신속한 대응(EDR 등)을 지원하고, 애플리케이션 화이트리스트 메커니즘을 설정하고, 비정상적인 프로그램을 감지하고 적시에 알람을 발행합니다.
솔루션: CrowdStrike Falcon(https://www.crowdstrike.com/), Microsoft Defender for Endpoint(https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf(https://www.jamf.com/) 또는 WDAC(https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) 등.
7. 중앙화된 로그 관리 및 분석
목표: 다양한 시스템의 로그 데이터를 단일 플랫폼으로 통합하여 보안 사고에 대한 추적, 분석 및 대응을 용이하게 합니다.
솔루션: Splunk Enterprise Security(https://www.splunk.com/), Graylog(https://graylog.org/), ELK(Elasticsearch, Logstash, Kibana) 등
8. 팀 안전 의식을 고취시키세요
목표: 조직 구성원의 보안 인식을 개선하고, 대부분의 사회 공학적 공격을 식별할 수 있도록 하며, 사고 후 이상 징후를 사전에 보고하여 보다 신속하게 조사할 수 있도록 합니다.
솔루션: 블록체인 Dark Forest 셀프헬프 매뉴얼(https://darkhandbook.io/), Web3 피싱 기술 분석(https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) 등.
또한, 보안 프로세스 관리 및 보안 방어 구축의 취약점을 파악하기 위해 주기적인 적색-청색 대결 훈련을 실시하는 것이 좋습니다.
마지막 말
공격은 주말이나 공휴일에 자주 발생하여 사고 대응 및 자원 조정에 상당한 어려움을 초래합니다. 이 과정에서 23 pds(Shan Ge), Thinking, Reborn 등을 포함한 SlowMist 보안팀의 관련 구성원은 경계를 늦추지 않고 휴일 기간 중 긴급 상황에 교대로 대응하고 조사와 분석을 계속 진행했습니다. 마침내, 우리는 공격자의 방법과 침입 경로를 성공적으로 복구했습니다.
이번 조사를 돌이켜보면, 우리는 라자루스 그룹의 공격 방법을 밝혔을 뿐만 아니라 사회 공학, 취약점 악용, 권한 상승, 인트라넷 침투, 자금 이체 등 여러 가지 전술을 사용한 사실도 분석했습니다. 동시에, 업계에 참고 자료를 제공하고, 더 많은 조직이 보안 보호 역량을 개선하고 잠재적 위협의 영향을 줄이는 데 도움이 되기를 바라며 실제 사례를 바탕으로 APT 공격에 대한 방어 권장 사항을 요약했습니다. 사이버 보안 대결은 장기적인 전투입니다. 우리는 유사한 공격에 계속 주의를 기울이고 커뮤니티가 함께 위협에 저항하도록 도울 것입니다.
