[데일리시큐]북한 해킹조직 APT37, RoKRAT 변종 악성코드로 은밀히 사이버공격 중

내용 요약

새로운 변종 악성코드가 발견되었으며, 이는 기존 보안 탐지 시스템을 우회하기 위해 정교한 기법들을 활용합니다. 특히, 이 악성코드는 이중 암호화된 shellcode를 삽입하고, 정상적인 이미지 파일 내부에 악성코드를 은닉하는 steganography 기술을 사용하여 탐지를 어렵게 만듭니다. 배포는 주로 LNK 파일을 통해 이루어집니다.

핵심 포인트

• 악성코드는 shellcode를 이중 암호화하여 삽입함으로써 보안 분석 및 탐지를 회피합니다. ️
• 정상 이미지 파일 내부에 악성코드를 숨기는 steganography 기법을 사용하여 기존 탐지 체계를 우회합니다. ️
• LNK (바로가기) 파일을 악성코드 유포의 주요 수단으로 활용합니다.
• 이러한 기술들은 보안 시스템의 탐지 기능을 무력화하는 데 중점을 둡니다. ⛔

기술 세부 내용

1️⃣ shellcode

• 개념: shellcode는 일반적으로 매우 작고 효율적인 기계어(assembly) 코드 조각으로, 시스템 내에서 특정 악의적인 동작을 수행하도록 설계됩니다. 이름처럼 '셸(shell)'을 실행하여 공격자에게 명령 프롬프트나 원격 접근 권한을 제공하는 경우가 많지만, 파일을 다운로드하거나 추가 악성코드를 실행하는 등 다양한 기능을 수행할 수 있습니다.
• 작동 방식: 주로 소프트웨어 취약점을 악용하여 프로그램의 메모리 공간에 삽입된 후 실행됩니다. 예를 들어, 버퍼 오버플로우와 같은 취약점을 통해 프로그램의 실행 흐름을 조작하여 shellcode가 저장된 메모리 위치로 점프하도록 유도합니다.
• 활용 목적:
  • 원격 제어 : 공격자에게 대상 시스템에 대한 원격 접근 권한을 부여합니다.
  • 데이터 유출 ️‍♀️: 시스템 내의 민감한 정보를 외부로 전송합니다.
  • 추가 악성코드 다운로드 및 실행 : 더 크고 복잡한 악성 프로그램을 시스템에 설치합니다.
  • 권한 상승 : 낮은 권한으로 실행되던 프로세스의 권한을 관리자 수준으로 격상시킵니다.
• 이중 암호화 기법: 본문에서 언급된 '이중 암호화'는 shellcode를 더욱 은밀하게 숨기기 위한 고급 기법입니다. 이는 shellcode가 두 단계의 암호화 과정을 거쳐 저장된다는 것을 의미합니다.
  1. 1차 암호화: shellcode 자체가 특정 알고리즘으로 암호화됩니다.
  2. 2차 암호화: 1차 암호화된 shellcode 전체 또는 특정 부분이 다시 다른 알고리즘이나 키로 암호화됩니다.
  • 탐지 회피 효과: 이러한 이중 암호화는 보안 솔루션이 shellcode의 실제 내용을 분석하기 어렵게 만듭니다. 복호화 키나 알고리즘을 파악해야만 shellcode의 진정한 목적을 알 수 있으며, 이 과정이 두 단계로 나뉘어 있어 분석 시간을 지연시키고 자동화된 탐지를 무력화하는 데 효과적입니다. ️ 이는 시그니처 기반 탐지를 우회하는 데 특히 유용합니다.

2️⃣ steganography

• 개념: steganography는 정보를 숨기고자 하는 비밀 메시지(여기서는 악성코드)를 겉으로는 평범해 보이는 다른 매체(예: 이미지 파일, 오디오 파일, 비디오 파일 등) 내부에 은밀하게 삽입하여 숨기는 기술입니다. 이는 메시지의 존재 자체를 숨기는 것을 목표로 하며, 암호화(encryption)가 메시지의 내용을 숨기는 것과는 다릅니다.
• 작동 방식 (이미지 파일의 경우): 이미지 파일에 steganography를 적용하는 가장 일반적인 방법 중 하나는 '최하위 비트(Least Significant Bit, LSB) 조작'입니다.
  1. 픽셀 구성: 디지털 이미지는 수많은 픽셀로 이루어져 있으며, 각 픽셀은 색상 정보를 나타내는 RGB (Red, Green, Blue) 값으로 구성됩니다. 각 색상 채널은 보통 8비트(0~255)로 표현됩니다.
  2. LSB 조작: LSB는 각 색상 채널의 8비트 중 가장 마지막 비트를 의미합니다. 이 LSB를 변경하더라도 해당 픽셀의 색상 변화는 육안으로 거의 감지할 수 없을 정도로 미미합니다.
  3. 데이터 삽입: 악성코드와 같은 비밀 데이터를 이 LSB에 조금씩 삽입합니다. 예를 들어, 악성코드의 1비트를 이미지 픽셀의 Red 채널 LSB에, 다음 비트를 Green 채널 LSB에 삽입하는 식입니다.
  • 예시: Red 채널의 픽셀 값이 10101010이라면, LSB는 0입니다. 여기에 비밀 데이터 비트 '1'을 숨기고 싶다면 10101011로 변경합니다. 이 작은 변화는 시각적으로 거의 인식되지 않습니다.
• 활용 목적 및 보안 위협:
  • 탐지 회피 : 악성코드가 정상적인 이미지 파일 내에 숨겨져 있으므로, 파일 자체는 손상되지 않은 '정상 파일'로 인식될 가능성이 높습니다. 이는 파일 해시값이나 파일 타입 분석만으로는 악성코드를 탐지하기 어렵게 만듭니다.
  • 방화벽 및 침입 탐지 시스템(IDS) 우회 circumvent: 네트워크 트래픽을 검사하는 보안 솔루션은 이미지 파일을 정상적인 트래픽으로 간주하여 통과시킬 수 있습니다.
  • C&C 통신 : 공격자가 C&C(Command & Control) 서버와 통신할 때, 명령이나 데이터 유출 정보를 이미지 파일에 숨겨 전송함으로써 탐지를 피하는 데 사용될 수도 있습니다.
• 분석의 어려움: steganography 기법이 적용된 파일을 분석하려면 전문적인 도구와 깊은 지식이 필요합니다. 단순히 파일 내용을 들여다보는 것만으로는 숨겨진 데이터를 식별하기 어렵습니다. ️‍♀️

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=168498