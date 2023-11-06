IBM® X-Force는 Gootloader의 새로운 변종인 'GootBot' 임플란트를 발견했습니다. 이는 기업 환경에서 은밀한 수평 이동을 용이하게 하며, Gootloader 캠페인의 탐지와 차단을 더욱 어렵게 만듭니다. X-Force는 이러한 캠페인이 SEO 중독을 활용하여 순진한 피해자들의 검색 활동을 노리는 것을 관찰했습니다. 이에 대한 자세한 분석은 블로그에서 확인할 수 있습니다. Gootloader 그룹이 공격 체인의 후반 단계에 자체 제작 봇을 도입한 것은 Cobalt Strike나 RDP 같은 상용 C2 도구를 사용할 때 발생하는 탐지를 회피하려는 시도입니다. 이 새로운 변종은 가볍지만 효과적인 멀웨어로, 공격자가 네트워크 전체에 빠르게 확산하고 추가 페이로드를 배포할 수 있도록 합니다.
이전에는 Gootloader가 초기 액세스 멀웨어로만 관찰되었으며, 그 후 공격자가 Cobalt Strike 같은 툴을 로드하거나 RDP를 이용해 네트워크 내 확산을 시도했습니다. GootBot을 활용한 수평 이동 캠페인은 감염 후 TTP의 중요한 변화로, 이 맞춤형 툴이 위협 행위자를 더 오랜 기간 탐지되지 않을 수 있도록 합니다. GootBot은 Gootloader 감염 후 페이로드로 다운로드되며 작업으로 실행되는 암호화된 PowerShell 스크립트의 형태로 C2 작업을 수신할 수 있습니다. Gootloader와 달리 GootBot은 단일 C2 서버만 포함하는 가볍고 난독화된 PS 스크립트입니다. GootBot 임플란트는 각각 해킹된 WordPress 사이트에서 실행되는 다른 C2 서버를 포함하며, 도메인 컨트롤러에 도달하기 위해 감염된 기업 도메인 전체에 대량으로 확산됩니다. 이 글을 쓰는 시점 기준으로, GootBot은 VirusTotal에 탐지 기록이 없습니다. TTP 및 툴의 이러한 변화는 Gootloader와 관련된 랜섬웨어 제휴 활동과 같은 공격 후 단계의 성공 위험을 높입니다.
업계 뉴스레터
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
X-Force가 Hive0127(일명 UNC2565)로 추적하는 Gootloader 그룹은 2014년부터 활동 중이며, SEO 중독과 손상된 WordPress 사이트를 결합해 Gootloader를 배포합니다. Gootloader 감염은 랜섬웨어 제휴사를 포함한 다른 위협 행위자들에게 초기 액세스를 제공하며, IcedID, Cobalt Strike 및 SystemBC 같은 후속 페이로드로 이어지는 공격을 초래했습니다.
X-Force는 이 그룹이 SEO 중독을 악성 캠페인의 일환으로 악용하는 것을 관찰했습니다. 이는 위협 행위자가 사용자를 손상된 웹사이트로 유도하기 위해 검색 엔진 결과를 조작하는 방법으로, 검색 엔진의 최상위 결과가 일반적으로 정확하고 안전하며 합법적일 것이라는 믿음을 활용합니다. Hive0127은 일반적으로 계약서, 법률 양식 또는 기타 비즈니스 관련 문서에 대한 온라인 검색을 대상으로 합니다. (예: '최종 진술서가 종합 계약서와 동일한 건가요?') 공격 대상은 중독된 검색 엔진 결과 페이지 상단에 합법적인 포럼처럼 보이도록 위장된 손상된 웹사이트로 유도됩니다. 그런 다음 포럼 대화 내에서 초기 검색어와 관련이 있지만 실제로는 Gootloader가 포함된 아카이브 파일을 다운로드하도록 공격 대상을 속입니다.
다음 그래프는 Gootloader가 GootBot을 사용하여 네트워크 전체로 확산하는 방법을 보여 주는 예시입니다. 아래 분석 섹션에서는 다양한 감염 단계를 자세히 설명합니다.
Gootloader 감염은 사용자가 감염된 아카이브를 다운로드하면서 시작되며, 그 안에는 Gootloader의 첫 번째 단계인 상당히 난독화된 JavaScript 파일이 포함되어 있습니다. 실행되면 %APPDATA% 폴더 아래 선택된 하위 폴더에 눈에 띄지 않는 영어 파일명으로 또 다른 JavaScript 파일을 드롭합니다. Gootloader는 %APPDATA%에 새 폴더를 생성하지 않고 이미 존재하는 폴더를 선택합니다. 이 선택은 무작위가 아니라 %APPDATA% 폴더에 있는 하위 폴더의 수를 기반으로 계산됩니다. 다음과 같이 계산됩니다.
722 – (Round down(722 / number_of_subfolders) * number_of_subfolders)
Gootloader는 두 번째 단계를 직접 실행하는 대신 예약된 작업을 트리거하여 JavaScript를 실행하고 지속성을 부여합니다.
예약된 작업에는 다음과 같은 매개변수가 있습니다.
Name: <Random English words>
Action: wscript <short file name of 2nd stage ending with “~1.JS”>
Folder: [Subfolder in %APPDATA%]
Trigger: LogonTriggerID [At the next log on of the current user]
두 번째 단계 JavaScript가 실행되면 PowerShell 스크립트를 실행하고, 세 번째 단계가 시스템 정보를 수집해 하드코딩된 10개의 C2 서버 중 하나로 업로드합니다. Gootloader는 해킹된 WordPress 사이트를 사용하며, 이로 인해 C2 URL 경로가 “/xmlrpc.php”로 끝납니다.
다음은 멀웨어의 HTTP 요청 예입니다.
User-Agent와 추정되는 멀웨어 ID인 3B47772CE3도 일관되게 유지됩니다.
이 멀웨어는 C2가 Gootloader가 실행하는 PowerShell 스크립트가 포함된 데이터로 응답할 것으로 예상합니다.
세 번째 단계 PowerShell 스크립트는 무한 루프에서 실행되어 행위자는 C2가 다양한 PowerShell 페이로드를 응답하도록 할 수 있습니다.
X-Force가 관찰한 페이로드 중 하나는 Gootloader의 새로운 변종인 GootBot입니다. 이는 매우 유사한 기능을 제공하지만, 가벼운 PowerShell 스크립트 형태로 제공됩니다. 3단계 PowerShell 스크립트와 달리 GootBot에는 단일 C2 서버 주소만 포함됩니다.
아래 스크린샷에서 볼 수 있듯이 GootBot의 문자열은 대체 키를 통해 약간 난독화되어 있습니다.
Gootloader와 마찬가지로 봇은 C2 서버에 GET 요청을 전송하여 PowerShell 작업을 요청하는 것으로 시작합니다. 첫 번째 비콘에는 멀웨어가 추가한 다음과 같은 HTTP 헤더가 있습니다.
GET /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>
Pragma: no-cache
Cache-Control: no-cache, no-store
Expires: 0
GootBot은 응답으로 Base64 인코딩된 페이로드로 구성된 문자열을 기대하며, 그 문자열의 마지막 8문자는 작업 이름입니다. 그런 다음 페이로드를 디코딩하여 간단한 스크립트 블록에 주입한 뒤, "Start-Job" Cmdlet을 사용해 새 백그라운드 작업에서 실행합니다. 이렇게 하면 하위 프로세스를 만들지 않고도 PowerShell 페이로드를 비동기적으로 실행할 수 있으므로 EDR 탐지 가능성을 낮춥니다.
다음 스크린샷은 C2 작업을 실행하는 난독화 해제된 코드를 보여 줍니다.
기본적으로 GootBot은 60초마다 비콘을 출력하지만, 하위 작업의 정보 속성에 "asz"가 포함된 특정 문자열을 설정하여 이를 변경할 수 있습니다. 작업 디렉터리 경로에도 동일하게 적용되며, "asx" 신호 문자열을 사용하여 변경할 수 있습니다.
봇이 C2로부터 작업을 수신하면 C2 서버에서 요청한 모든 하위 작업에 대해 작업 결과를 쿼리하여 다음 루프 반복이 시작됩니다. 작업이 완료되면 작업 결과를 반환합니다. 아직 완료되지 않은 경우 문자열 "E1"을 전송하고 작업을 찾을 수 없는 경우 문자열 "E2"를 전송합니다. 다음 형식을 사용해 모든 요청된 작업의 결과를 이어 붙입니다.
[!<BOT_ID>!]<job result 1>!<1>[!<BOT_ID>!]<job result 2>!<2>[!<BOT_ID>!]<job result 3>!<3>…
결과 문자열은 Base64로 인코딩되고, 이전의 Gootloader JavaScript 샘플에서 관찰된 기법과 유사한 모듈러 기반 알고리즘으로 난독화됩니다.
이번에는 GootBot이 C2 서버에 POST 요청을 보냅니다. 데이터가 100,000자를 초과하면 다음과 같은 형식으로 여러 요청으로 분할됩니다.
POST /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Cookie: <BOT_ID>=<If user is admin: 0/1>|<task name 1>|<task name 2>|<task name 3>|<task name 4>…
Pragma: no-cache
Cache-Control: no-cache, no-store
Expires: 0
<BOT_ID>=[sX<<random_int>><packet_seq_number>]<data>
다시 말하지만, 봇은 다음 작업이 포함된 응답을 기대합니다.
GootBot은 또한 환경 전체에 수평으로 분산되도록 설계되었습니다. 초기 호스트가 감염되면 GootBot은 호스트와 도메인을 나열하는 여러 스크립트를 수신합니다. X-Force는 임베디드된 GootBot 페이로드를 다른 호스트로 확산시키기 위해 서로 다른 기법을 사용하는 여러 스크립트도 관찰했습니다. GootBot의 C2 인프라는 확산될 수많은 페이로드를 신속하게 생성할 수 있으며, 각 페이로드는 서로 다른 C2 주소를 사용해 연락을 취합니다. 이는 자동화된 방식으로 수평 이동 스크립트를 통해 배포되며, 그로 인해 호스트가 여러 차례 재감염될 수도 있습니다.
수평 이동 스크립트는 WMI 또는 "Invoke-command" Cmdlet을 통해 PowerShell의 WinRM을 사용합니다. 다른 예로는 SMB를 통해 페이로드를 복사하는 것과 원격 서비스와 예약 작업을 생성하기 위해 SCM(서비스 제어 관리자)에 대한 WinAPI 호출을 사용하는 것이 있습니다.
경우에 따라 GootBot은 유출된 자격 증명을 사용하여 다음을 퍼뜨리기도 합니다.
그림: WinRM Invoke-Command를 통한 수평 이동
그림: SCM을 통한 수평 이동
또한 GootBot은 환경 변수를 사용하여 암호화된 문자열을 저장하는 것으로 나타났으며, 이를 통해 스크립트의 크기가 더욱 줄어듭니다. 또한 GootBot은 악성 스크립트를 프로세스의 표준 입력에 쓰기 전에 새 프로세스를 생성하여 PowerShell 프로세스의 인수를 스푸핑하는 기법을 사용해 배포될 수 있습니다.
GootBot은 또한 첫 번째 작업 중 하나로 정찰 스크립트를 실행합니다. 여기에는 호스트의 고유한 GootBot ID가 포함됩니다.
다음 정보가 모여 작업 핸들러로 반환됩니다.
데이터는 지정된 ID로 형식이 지정됩니다. 아래에서 ID가 "FDA8970BA3"인 데이터 예시를 참조하세요.
Gootloader에 감염되면 Cobalt Strike, SystemBC 같은 추가 툴과 Kerberoasting 공격을 포함한 도메인 손상 스크립트가 빠르게 배포될 수 있습니다. 관찰된 다른 행동으로는 다음과 같은 민감한 정보의 유출이 있습니다.
또한, Gootloader 감염은 랜섬웨어로 이어지는 것으로도 알려져 있습니다.
GootBot 변종의 발견은 공격자들이 탐지를 회피하고 은밀하게 활동하기 위해 얼마나 극단적인 수단까지 동원하는지를 잘 보여 줍니다. 이는 매우 효과적인 멀웨어로, 공격자들이 환경 내에서 수평 이동을 쉽고 빠르게 수행하며 공격을 확장할 수 있게 합니다. 또한 Hive 0127은 손상된 WordPress 도메인의 클러스터를 사용하는 탓에, 방어자가 악성 트래픽을 차단하가 점점 더 어려워집니다. Gootloader가 초기 액세스 제공자 역할을 하는 경우가 많기 때문에 이러한 진화하는 TTP와 툴에 대한 인식은 영향력이 강한 공격 후 활동의 위험을 완화하는 데 중요합니다.
X-Force의 보안 연구, 위협 인텔리전스 및 해커 주도 인사이트에 대한 자세한 내용은 X-Force 연구 허브에서 확인하세요.
지표
지시기 유형
컨텍스트
6ff7a60c7cd8ffed318700dff453d
SHA256
GootBot
95dbd3f273d621fa71631882d00be
SHA256
GootBot
https://contentstudent[.]com/
URL
GootBot C2 서버
http://63factory[.]jp/wordpress/
URL
GootBot C2 서버
IBM 위협 탐지 및 대응 솔루션을 활용하여 보안을 강화하고 위협 탐지를 가속화하세요.
IBM MAAS360의 포괄적인 모바일 위협 방어 솔루션으로 모바일 환경을 보호하세요.