[Malware analysis] Black Ball SMBGhost 취약점 공격

[Malware analysis] Black Ball SMBGhost 취약점 공격

참조

> https://s.tencent.com/research/report/1008.html

> https://gist.github.com/vortexau/13de5b6f9e46cf419f1540753c573206

이터널블루(Eternal Blue) 취약점 발생으로 큰 이슈였던 SMBGhost라고 불리는 CVE-2020-0796와 관련된 공격이다.

아는 선에서 이야기하자면 이런 시나리오다.. 취약한 대상을 찾아 SMBv3 활성화 확인 후 CVE-2020-0796 취약점을 이용하여 중요 정보를 탈취하는 정도로 알고 있으며 해당 취약점에 대해서는 상세정보는 구글링을 권한다..

Eternal Blue 취약점 악용(MS17-010)	$IPC 공격
LNK 취약점 악용(CVE-2017-8464)	SMB 공격
MS Office 취약점(CVE-2017-8570)	MS QSL 공격
SMBGhost Exploit(CVE-2020-0796)	RDP 공격
Redis 무단 액세스 취약점(리눅스)	SSH 공격(리눅스)

참조 블로그의 샘플을 통해 분석을 진행하겠습니다.

Lemon_Duck > Blackball

hxxp://d.ackng.com/if.bin 에서 얻은 다운로드 파일이다.

(그림 1)

해당 if.bin 파일 확인 시 (그림 2)와 같이 보여지면 Decompress를 진행하였다.

(그림 2)

압축해제 시 (그림 3)와 같이 보여지며, 조금 더 살펴보면 Reverse가 필요하다는걸 확인할 수 있다.

(그림 3)

이후 문자열 Reverse를 진행한 후 garbage 값을 찾아 제거하니 (그림 4)와 같이 커맨드창을 이용하여 Powershell을 실행하는 명령어, C&C 등을 확인할 수 있다. IPC, RDP, SSH, Redis, SMB, MSSQL Port Scan 및 SSH, Redis 공격 수행을 하는 것을 확인할 수 있다.

(그림 4)

if.bin 파일을 살펴보면 여러 IP 대역, Port 스캔, 취약한 비밀번호 사전을 대입하여 로그인 공격을 수행하며 로그인 성공 시 원격 명령을 실행하는것을 확인할 수 있다. 또한 Crontab 및 시스템 스케쥴 등록을 이용한 지속적인 실행을 하는것을 확인할 수 있다. 다 살펴보지는 못하였다..

(그림 5)

(그림 6)

추가로 확인 시 mm.bin을 다운로드 받는 것을 확인할 수 있다.

(그림 7)

mm.bin 파일 확인 시 악성코드에서 주로 사용하는 Powershell Deflate으로 인코딩이 되어 있어 디코딩 후 나온 2개의 변수에 Base64 디코딩을 하니 실행 파일을 추출할 수 있다. (그림 8)의 실행 파일 확인 시 윈도우상에서 각종 계정과 관련된 정보를 탈취하는 Mimikatz을 확인할 수 있다.

(그림 8)

추가 다운로드 파일들을 얻을 수 없어 추가 행위는 분석하지 못하였다. 정보 검색 시 Powershell을 활용하여 if.bin 파일 실행 시 악성코드의 지속성 확보를 위하여 악성코드명(blackball)으로 예약 작업이 생성한다는 내용도 확인할 수 있었다.

해당 악성코드는 꾸준히 변형을 이루며 탐지 되는 이터널블루(Eternal Blue) 관련 다운로더이며, SMBGhost(CVE-2020-0796)을 이용하여 SMBGhost 취약성 공격을 활성화하고 SSH 블라스팅 및 새로운 Redis 블라스팅 기능으로 Linux 시스템 공격 할 수 있다고 한다.