2024-03-29 07:05 (금)
[PHD 2018] 막강한 백도어 'DarkPulsar'의 재발견, 모든 제어권과 정보 탈취
상태바
[PHD 2018] 막강한 백도어 'DarkPulsar'의 재발견, 모든 제어권과 정보 탈취
  • 길민권 기자
  • 승인 2018.05.17 06:49
이 기사를 공유합니다

"DarkPulsar, 공격을 위한 오케스트레이터 역할 수행"

▲ PHD 8에서 DarkPulsar 백도어 분석내용을 발표하고 있는 카스퍼스키랩 연구원들.(데일리시큐=모스크바)
▲ PHD 8에서 DarkPulsar 백도어 분석내용을 발표하고 있는 카스퍼스키랩 연구원들.(데일리시큐=모스크바)
[데일리시큐=모스크바] 러시아 모스크바에서 5월 15일부터 16일 양일간 러시아 최대 해킹 보안 컨퍼런스 'PHD(Positive Hack Days)8'이 개최됐다.

다양한 주제 발표들이 진행되는 가운데 첫날 카스퍼스키랩 타깃공격 리서치팀(발표자 Alexey Shulmin/Andrey Dolgushev)에서는 2017년 발견된 백도어 'DarkPulsar'에 대한 추가적인 상세분석 발표가 있어 큰 관심을 끌었다.

◇DarkPulsar 백도어는 언제 처음 발견되었나

2017년 상반기에 카스퍼스키 타깃공격 리서치팀은 특정 암호화된 커뮤니케이션 트래픽을 모니터링하던 중 흥미로운 특이사항을 발견하고 트래픽을 분석하면서 최종적으로 이 트래픽이 DarkPulsar와 관련된 백도어 툴인 것으로 확인됐다.

연구원들은 공격자와 희생자 시스템 사이에서 세부적인 작동방식에 대해서 추가적인 연구를 수행했으며, 2017년 하반기부터 상세기술발표와 함께 이번 PHDays 8에서도 추가적인 내용을 발표하게 되었다.

▲ 발표현장
▲ 발표현장
DarkPulsar 자체가 카스퍼스키팀에 의해서 최초로 발견된 배경은 이렇다.

2017년 3월, 해커그룹 'ShadowBroker(쉐도우브로커)가 Equation Group APT 툴셋으로 사용되는 FuzzBunchFramework와 DanderSpritz에 대해서, 이를 악용할 소지가 다분한 프레임워크를 발표했다. 하지만 쉐도우브로커 팀은 유틸리티쪽에 집중해 발표했고, 백도어 자체에 대해서는 발표하지 않았다.

이에 카스퍼스키랩 팀은 프레임워크 중에서 아직 밝혀지지 않은 강력한 백도어가 바로 'DarkPulsar'라고 밝히고, 이에 대한 상세 분석과정과 아키텍쳐 그리고 공격 받은 뒤의 피해 정도를 세션에서 발표했다.

◇DarkPulsar는 어떻게 타깃 시스템에 침투할 수 있나

▲ DarkPulsar 백도어 분석 PPT 내용중.
▲ DarkPulsar 백도어 분석 PPT 내용중.
기존 멀웨어가 침투해 들어가는 과정과 비슷하다. 알려진 취약점을 이용한 익스플로잇 또는 쉘코드 실행 이후 침투시킬 수 있다.

◇DarkPulsar의 역할 및 기본 아키텍쳐

FuzzBunch 및 DanderSpritz 프레임워크는 매우 포괄적인 시스템이며 타깃 시스템의 정찰 목적을 위해서 다른 임플란트(Implant) 및 플러그인(Plugin-in)을 포함하고 있다. 다만 공격자가 이런 다양한 기능을 원격지에서 자유롭게 실행하고 구동할 수 있는 오케스트레이터 구성요소가 있어야 하는데, 바로 'DarkPulsar'가 이런 오케스트레이터 역할을 정확하게 수행하는 백어툴이라고 보면된다.

DarkPulsar 임플란트는 타깃 시스템에서 'Telephony Servic Provider' DLL로 로딩되고, Svchost와 lsass 표준모듈을 이용해 인젝션 후 구동하면서, 작동지속성을 유지하고 가능한 오랫동안 보안솔루션에 탐지되지 않도록 회피하는 기술을 포함하고 있다

결과적으로 FuzzBunch 감염된 타깃 시스템과 DanderSpritz 공격자 제어프레임워크 사이에서 NTLM 인증시스템을 우회하고 보안요소를 활성화, 비활성화시키면서 완벽한 연결역할을 제공하게 된다.

특히 FuzzBunch와 DanderSpritz 사이의 모든 데이터는 랜덤AES 128bit 세션키를 생성 후, RSA 공개키로 하드코딩 암호화 및 XOR Ciphers를 이용해 최종 사용된 암호화 키를 관리툴로 전달하는 방법론을 채택하고 있다.

DisableSecurity, EnableSecurity, EDFStagedUpload 등의 명령어를 사용해 인증우회, RPC 이용한 채널형성, 최종적으로 시스템을 완전히 장악하고 복합적인 정찰목적으로 사용할 다양한 플러그인 전달 등의 역할을 수행하게 된다.

◇실제 DarkPulsar가 적용된, FuzzBunch / DanderSpritz를 이용할 경우, 어느 정도까지 타깃 시스템을 모니터링하고 제어할 수 있나

발표자는 마지막에 데모세션을 통해, 실제로 어느 정도까지 타깃시스템을 모니터링하고 정보를 획득할 수 있는지에 대한 상세정보를 직접 전달함으로써 발표현장을 뜨겁게 달궜다. 결론은 예측 가능한 모든 제어권과 정보를 모두 공격자에게 제공할 수 있다.

P-5-1.jpg
◇공격자에게 백그라운드로 제공되는 정보는 아래와 같다.

△타깃 시스템을 제어하기 위한 다양한 목적의 플러그인 전달 △사용자 인증시스템모 니터링 △시스템 상세정보 △시스템 스크린캡쳐 및 시간대별 시각화 제공 △네트워크 정보△세션 정보 △프로세스 정보 △드라이버 리스트 △패스워드 덤프 △디스크 정보 △USB 매체 Survey 정보 △원격시스템 제어 및 터미널 △로그 뷰어 등이다.

◇DarkPulsar 백도어 정보 공식퍼블리싱 계획

발표자는 마지막으로 DarkPulsar 백도어에 대한 상세분석결과를 공식적으로 퍼블리싱 할 계획이라고 한다. 발표된 사이트는 카스퍼스키에서 공식적으로 운영하고 있는securelest.com 사이트이며 내부 퍼블리싱 프로세스를 거쳐 2018년 6월~7월경 공식 공지할 예정이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★