2020-02-17 07:30 (월)
이란 사이버 첩보그룹 ‘OilRig’, IIS 웹 서버 타깃으로 RGDoor 사용
상태바
이란 사이버 첩보그룹 ‘OilRig’, IIS 웹 서버 타깃으로 RGDoor 사용
  • hsk 기자
  • 승인 2018.01.30 15:50
이 기사를 공유합니다

hacker-2883632_640.jpg
이란 사이버 첩보그룹 ‘OilRig’가 인터넷 정보 서비스(IIS) 웹 서버를 타깃으로 RGDoor 백도어를 사용하기 시작했다. OilRig 해커그룹은 적어도 2015년부터 활동을 시작했고, 주로 미국과 중동 국가의 금융 및 정부 부문의 조직을 타깃으로 하는 APT 그룹이다. 이 해커들은 주로 중동 정부, 재정, 교육 기관을 타깃으로 RGDoor를 사용했다.

연구원들에 따르면, RGDoor는 기본 TwoFace 웹 셸이 발견되고 제거되었을 때 해커가 다시 웹 서버에 액세스할 수 있게 해주는 보조 백도어이다. OilRig 해커들은 적어도 2016년 6월부터 TwoFace 웹 셸을 사용해왔다.

팔로알토네트웍스(Paloalto Networks)는 “TowFace와 달리 RGDoor는 C#으로 개발되지 않아 타깃 IIS 웹 서버가 호스팅하는 특정 URL과 연결될 수 없었다. 대신 개발자는 C++을 사용하여 RGDoor를 만들었고, 컴파일된 동적 링크 라이브러리(DLL)를 만들었다”고 설명했다.

또 “DLL에는 RegisterModule이라는 export된 함수가 있는데 이를 통해 우리는 해당 DLL이 해커그룹이 IIS에 로드하기 위한 사용자 지정 네이티브 코드 HTTP 모듈로 사용됐음을 알 수 있었다”고 덧붙였다.

공격자는 개발자가 IIS의 기능을 확장하기 위해 C++ 모듈을 생성할 수 있는 IIS 7 기능을 익스플로잇했다. 이를 통해 사용자 지정 작업을 요청하고 수행할 수 있었다. Paloalto는 “네이티브 코드 모듈은 IIS 관리자 GUI나 appcmd 애플리케이션을 사용하는 cmd를 통해 설치할 수 있다”고 설명한다.

팔로알토 멀웨어 연구원들은 HTTP Get 요청을 무시하고, 모든 HTTP Post 요청에는 작동하는 인수를 가진 RegisterModule 함수를 호출하는 코드를 발견했다. IIS 서버가 인바운드 HTTP Post 요청을 받으면 백도어는 HTTP 쿠키 필드의 문자열을 검색하는 요청을 구문 분석한다. 해당 코드는 cmd$[command to execute], upload$[path to file], download$[path to file] 명령에 사용된다.

연구원들의 분석 자료는 “RGDoor는 HTTP 헤더의 Content 형식 필드를 text/plain으로 설정하여 자체 HTTP 응답을 구성한다.”고 설명한다. 쿠키 필드를 선택하면 RGDoor 백도어와 관련된 인바운드 요청을 분석하기 어려워진다. IIS는 기본적으로 인바운드 HTTP 요청의 특정 필드에 값을 기록하지 않기 때문이다.

팔로알토 분석 자료에 따르면 “해당 백도어는 다소 제한된 명령셋을 가지고 있지만 3개 명령은 많은 기능을 제공한다. 공격자가 서버에 파일을 업로드하거나 다운로드할 수 있기 때문이다. RGDoor의 사용은 해당 사이버 첩보 그룹이 웹 셸의 발견 및 치료 후에 공격받은 네트워크에 대한 액세스를 다시 확보하기 위한 비상 계획임을 알 수 있다”고 결론지었다.

★정보보안 대표 미디어 데일리시큐!★