티스토리 뷰
[Malware analysis] Black Ball SMBGhost 취약점 공격
참조
> https://s.tencent.com/research/report/1008.html
> https://gist.github.com/vortexau/13de5b6f9e46cf419f1540753c573206
이터널블루(Eternal Blue) 취약점 발생으로 큰 이슈였던 SMBGhost라고 불리는 CVE-2020-0796와 관련된 공격이다.
아는 선에서 이야기하자면 이런 시나리오다.. 취약한 대상을 찾아 SMBv3 활성화 확인 후 CVE-2020-0796 취약점을 이용하여 중요 정보를 탈취하는 정도로 알고 있으며 해당 취약점에 대해서는 상세정보는 구글링을 권한다..
Eternal Blue 취약점 악용(MS17-010) |
$IPC 공격 |
LNK 취약점 악용(CVE-2017-8464) |
SMB 공격 |
MS Office 취약점(CVE-2017-8570) |
MS QSL 공격 |
SMBGhost Exploit(CVE-2020-0796) |
RDP 공격 |
Redis 무단 액세스 취약점(리눅스) |
SSH 공격(리눅스) |
참조 블로그의 샘플을 통해 분석을 진행하겠습니다.
Lemon_Duck > Blackball
hxxp://d.ackng.com/if.bin 에서 얻은 다운로드 파일이다.
(그림 1)
해당 if.bin 파일 확인 시 (그림 2)와 같이 보여지면 Decompress를 진행하였다.
(그림 2)
압축해제 시 (그림 3)와 같이 보여지며, 조금 더 살펴보면 Reverse가 필요하다는걸 확인할 수 있다.
(그림 3)
이후 문자열 Reverse를 진행한 후 garbage 값을 찾아 제거하니 (그림 4)와 같이 커맨드창을 이용하여 Powershell을 실행하는 명령어, C&C 등을 확인할 수 있다. IPC, RDP, SSH, Redis, SMB, MSSQL Port Scan 및 SSH, Redis 공격 수행을 하는 것을 확인할 수 있다.
(그림 4)
if.bin 파일을 살펴보면 여러 IP 대역, Port 스캔, 취약한 비밀번호 사전을 대입하여 로그인 공격을 수행하며 로그인 성공 시 원격 명령을 실행하는것을 확인할 수 있다. 또한 Crontab 및 시스템 스케쥴 등록을 이용한 지속적인 실행을 하는것을 확인할 수 있다. 다 살펴보지는 못하였다..
(그림 5)
(그림 6)
추가로 확인 시 mm.bin을 다운로드 받는 것을 확인할 수 있다.
(그림 7)
mm.bin 파일 확인 시 악성코드에서 주로 사용하는 Powershell Deflate으로 인코딩이 되어 있어 디코딩 후 나온 2개의 변수에 Base64 디코딩을 하니 실행 파일을 추출할 수 있다. (그림 8)의 실행 파일 확인 시 윈도우상에서 각종 계정과 관련된 정보를 탈취하는 Mimikatz을 확인할 수 있다.
(그림 8)
추가 다운로드 파일들을 얻을 수 없어 추가 행위는 분석하지 못하였다. 정보 검색 시 Powershell을 활용하여 if.bin 파일 실행 시 악성코드의 지속성 확보를 위하여 악성코드명(blackball)으로 예약 작업이 생성한다는 내용도 확인할 수 있었다.
해당 악성코드는 꾸준히 변형을 이루며 탐지 되는 이터널블루(Eternal Blue) 관련 다운로더이며, SMBGhost(CVE-2020-0796)을 이용하여 SMBGhost 취약성 공격을 활성화하고 SSH 블라스팅 및 새로운 Redis 블라스팅 기능으로 Linux 시스템 공격 할 수 있다고 한다.
'Reversing > Malware analysis' 카테고리의 다른 글
[Malware analysis] 매크로를 이용한 워드 파일 Emotet Malware (0) | 2020.07.23 |
---|---|
[Malware analysis] '결백' 영화 파일로 위장한 백도어 악성코드 (0) | 2020.07.22 |
[Malware analysis] MBRLocker 악성코드를 생성하는 Dropper (0) | 2020.07.15 |
[Malware analysis] 북한의 회색지대 전략과 대응방안.hwp (0) | 2020.07.10 |
[Malware analysis] WannaMine 파워쉘을 이용한 파일리스 악성코드 (0) | 2020.07.05 |
- Total
- Today