암호화폐 APT 인텔리전스: 라자루스 그룹의 침입 방법 밝혀내기

저자: 23pds & 사고, 출처: Slow Fog Technologies

배경

2024년 6월부터 Slow Fog 보안팀은 여러 팀으로부터 여러 해킹 사건에 대한 포렌식 조사 요청을 받았습니다. 이전 기간의 축적된 자료와 지난 30일간의 심층 분석 및 조사를 통해 해커의 공격 방법과 침입 경로에 대한 검토를 완료했습니다. 그 결과 이번 공격은 암호화폐 거래소를 대상으로 한 국가적 APT 공격으로 확인되었습니다. 포렌식 분석과 상관관계 추적을 통해 공격자를 라자루스 그룹으로 확인했으며, 관련 IOC(침해 지표)와 TTP(전술, 기법, 절차)를 확보한 후 최대한 빨리 파트너들에게 정보를 공유했습니다. 동시에 다른 파트너사에서도 동일한 공격과 침입 기법을 발견했습니다. 하지만 운이 좋게도 해커가 침입 과정에서 일부 보안 경고를 발동했고 보안팀의 적시 대응으로 공격을 성공적으로 차단할 수 있었습니다.

최근 암호화폐 거래소에 대한 APT 공격이 잇따라 발생함에 따라, 저희는 커뮤니티 파트너들이 적시에 방어할 수 있도록 해당 공격의 IOC와 TTP를 공개하기로 결정했습니다. 동시에 기밀 유지 계약의 제한으로 인해 파트너에 대한 구체적인 정보를 너무 많이 공개할 수는 없습니다. 다음으로 공격의 IOC와 TTP를 공유하는 데 중점을 두겠습니다.

공격자 정보

공격자의 도메인 이름:

• gossipsnare[.] com, 51.38.145.49:443

• showmanroast[.] com, 213.252.232.171:443

• getstockprice[.] info, 131.226.2.120:443

• eclairdomain[.] com, 37.120.247.180:443

• replaydreary[.] com, 88.119.175.208:443

• coreladao[.] com

• cdn.clubinfo[.] io

공격자 IP:

• 193.233. 171[.] 58

• 193.233.85[.] 234

• 208.95.112[.] 1

• 204.79.197[.] 203

• 23.195.153[.] 175

공격자의 GitHub 사용자 이름:

• https://github.com/mariaauijj

• https://github.com/patriciauiokv

• https://github.com/lauraengmp

공격자의 소셜 계정:

• 텔레그램: @tanzimahmed88

백도어 프로그램 이름:

실제 프로젝트 코드:

 (https://github.com/cristianleoo/montecarlo-portfolio-management)

공격자가 변경한 가짜 프로젝트 코드:

< strong>공격자가 사용한 백도어 기법

공격자는 pyyyaml을 사용하여 RCE(원격 코드 실행)를 수행하여 악성 코드를 배포하여 표적 컴퓨터와 서버를 제어할 수 있도록 합니다. 이 방법은 대부분의 안티바이러스 소프트웨어를 우회합니다. 파트너와 인텔리전스를 동기화한 후 유사한 악성 샘플을 여러 개 확보했습니다.

주요 기술 분석 참조: https://github.com/yaml/pyyaml/wiki/PyYAML-yaml.load( 입력)-비활성화#경고 비활성화 방법

슬로우 포그의 보안팀은 샘플에 대한 심층 분석을 통해 공격자의 원격 코드 실행(RCE) 전술을 성공적으로 재현했습니다. strong>

목표 및 동기

목표: 공격자의 주요 목표는 암호화폐 거래소의 인프라를 해킹하여 지갑을 장악하는 것이었습니다. 지갑에 있는 대량의 암호화폐 자산을 불법적으로 전송하는 것입니다.

동기: 고가의 암호화폐 자산을 훔치려 했습니다.

기술적 도구

1. 초기 침입

• 공격자는 소셜 엔지니어링 전술을 사용하여 직원을 속여 로컬 기기 또는 Docker 내에서 정상적인 코드처럼 보이는 것을 실행하도록 합니다.

• 이번 조사에서 공격자들이 사용한 멀웨어에는 `StockInvestSimulator-main.zip`과 ' 몬테카를로스탁인베스트시뮬레이터-main.zip'이었습니다. 이 파일들은 합법적인 파이썬 프로젝트로 가장하지만 실제로는 원격 제어 트로이 목마이며, 공격자들은 대부분의 안티바이러스 탐지를 우회하여 악성 코드를 배포하고 실행하는 수단으로 RCE용 pyyaml을 사용했습니다.

2. 권한 상승

• 공격자들은 성공적으로 직원의 디바이스에 대한 로컬 제어권을 획득하고 직원을 속여 docker-compose.yaml.

• 공격자는 권한을 추가로 상승시키기 위한 조건으로 사용하여 권한을 더 상승시키고 대상 디바이스를 완전히 제어할 수 있습니다.

3. 내부 정찰 및 측면 이동

• 공격자는 침해된 직원의 컴퓨터를 사용하여 인트라넷에 액세스했습니다. 손상된 직원의 컴퓨터를 사용하여 인트라넷을 검색했습니다.

• 공격자는 인트라넷의 서비스 및 애플리케이션 취약점을 악용하여 기업의 내부 서버를 추가로 손상시켰습니다.

• 공격자는 중요 서버의 SSH 키를 탈취하고 서버 간의 화이트리스트 신뢰 관계를 활용하여 지갑 서버로의 측면 이동을 가능하게 했습니다.

4. 암호화폐 자산 전송

• 공격자는 지갑을 성공적으로 제어하고 대량의 암호화폐 자산을 지갑으로 전송했습니다. 통제권을 확보한 후 대량의 암호화폐 자산을 자신들이 통제하는 지갑 주소로 불법적으로 전송했습니다.

5. 숨겨진 흔적

• 공격자는 합법적인 엔터프라이즈 도구, 애플리케이션 서비스, 인프라를 발판으로 삼아 불법 활동의 실제 출처를 숨기고 로그 데이터와 샘플 데이터를 제거하거나 파기했습니다.

프로세스

공격자는 다음과 같은 여러 가지 일반적인 방법으로 소셜 엔지니어링 전술을 통해 표적을 유인합니다.

1. 프로젝트 당사자로 위장하여 주요 표적 개발자를 찾아 코드 디버깅에 도움을 요청하고 신뢰를 얻기 위해 선불 의사를 밝힙니다.

IP와 UA 정보를 추적한 결과 해당 거래가 제3자 결제임을 확인했습니다. 해당 거래는 타사 결제였으며 금액이 크지 않았습니다.

2. 공격자는 자동화된 트레이더 또는 투자자로 가장하여 거래 분석 또는 정량적 코드를 제공하여 주요 표적을 속여 악성 프로그램을 실행하도록 유도합니다. 악성 프로그램이 디바이스에서 실행되면 영구적인 백도어를 생성하고 공격자에게 원격 액세스를 제공합니다.

• 공격자는 감염된 장치를 사용하여 인트라넷을 스캔하고 중요한 서버를 식별하며 기업 애플리케이션의 취약점을 악용하여 기업 네트워크에 추가로 침투합니다. 모든 공격은 감염된 디바이스의 VPN 트래픽을 통해 수행되며, 대부분의 보안 디바이스의 탐지를 우회합니다.

• 관련 애플리케이션 서버에 성공적으로 접속하면 공격자는 주요 서버의 SSH 키를 탈취하고 해당 서버의 권한을 사용하여 측면 이동을 수행하며 궁극적으로 월렛 서버를 제어하여 암호화된 자산을 외부 주소로 전송합니다. 이 과정에서 공격자는 기업 내부의 도구와 인프라를 교묘하게 활용하여 공격을 빠르게 탐지하기 어렵게 만듭니다.

• 공격자는 공격의 흔적을 은폐하기 위해 디버깅 실행을 삭제하도록 직원을 속이고 디버깅 보상을 제공합니다.

또한 이러한 직원 중 일부는 책임을 우려해 관련 정보를 삭제하는 데 앞장설 수 있으며, 이로 인해 공격이 발생한 후 적시에 보고되지 않아 조사 및 증거 수집이 더욱 어려워질 수 있습니다.

대응 제안

APT(지능형 지속 위협) 공격은 은밀하고 표적화되며 오래 지속되는 특성으로 인해 방어하기가 매우 어렵습니다. 기존의 보안 조치로는 복잡한 침입 행위를 탐지하기 어려운 경우가 많기 때문에 실시간 모니터링, 비정상 트래픽 분석, 엔드포인트 보호, 중앙 집중식 로그 관리 등 다단계 네트워크 보안 솔루션을 결합하여 공격자의 침입 흔적을 최대한 빨리 탐지하고 감지하여 위협에 효과적으로 대응할 수 있도록 해야 합니다. 슬로우 포그 보안팀은 커뮤니티 파트너에게 방어 구축을 위한 참고 자료를 제공하기 위해 8가지 주요 방어 방향과 권장 사항을 제안했습니다.

1. 네트워크 프록시 보안 구성

목표:

< strong>목표: 제로 트러스트 모델을 기반으로 보안 결정 및 서비스 관리가 가능하도록 웹 에이전트에서 보안 정책을 구성합니다.

솔루션: Fortinet(https://www.fortinet.com/), Akamai(https://www.akamai.com/ glossary/where-to-start-with-zero-trust), Cloudflare(https://www.cloudflare.com/zero-trust/products/access/) 등.

2. DNS 트래픽 보안

목표: DNS 수준에서 보안 제어를 구현하여 알려진 악성 도메인 이름의 확인 요청을 탐지 및 차단함으로써 알려진 악성 도메인 이름의 확인 요청을 탐지하고 차단하여 DNS 스푸핑 또는 데이터 유출을 방지합니다.

솔루션: Cisco Umbrella(https://umbrella.cisco.com/) 및 기타.

3. 네트워크 트래픽/호스트 모니터링 및 위협 탐지

목표: 네트워크 요청에서 데이터 흐름을 분석하여 실시간으로 모니터링하고 비정상적인 동작을 실시간으로 모니터링하고, 잠재적인 공격(예: IDS/IPS)을 식별하며, 서버에 설치된 HIDS를 통해 공격자의 취약점 악용 및 기타 공격을 조기에 탐지합니다.

솔루션: SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.solarwinds.com/), Fortinet Technologies Inc. 알토(https://www.paloaltonetworks.com/), 포티넷(https://www.fortinet.com/), 알리클라우드 보안 센터(https://www.alibabacloud.com/zh/product/ security_center), GlassWire(https://www.glasswire.com/) 등이 있습니다.

4. 네트워크 세분화 및 격리

목적: 네트워크를 더 작고 격리된 영역으로 나누어 위협의 확산을 제한하고 보안 제어를 강화합니다. 확산 범위를 제한하고 보안 제어 능력을 향상시킵니다.

솔루션: Cisco Identity Services Engine(https://www.cisco.com/site/us/en/products/ security/identity-services-engine/index.html), 클라우드 플랫폼 보안 그룹 정책 등을 제공합니다.

5. 시스템 강화 조치

목표: 보안 강화 전략(예: 구성 관리, 취약성 검사 및 패치 업데이트)을 구현하여 시스템 취약성을 줄입니다. 업데이트 등)을 구현하여 시스템 취약성을 줄이고 방어력을 개선합니다.

솔루션: Tenable.com(https://www.tenable.com/), public.cyber.mil(https://public. cyber.mil) 등

6. 엔드포인트 가시성 및 위협 탐지

목표: 엔드포인트 장치 활동에 대한 실시간 모니터링 제공, 잠재적 위협 식별 위협을 식별하고, 신속한 대응(예: EDR)을 지원하며, 애플리케이션 화이트리스트 메커니즘을 설정하여 비정상적인 프로그램을 탐지하고 적시에 경고합니다.

솔루션: CrowdStrike Falcon(https://www.crowdstrike.com/), 엔드포인트용 Microsoft Defender( https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf(https://www.jamf.com/) 또는 WDAC(https://learn.). microsoft.com/en-us/hololens/windows-defender-application-control-wdac) 등이 있습니다.

7. 중앙 집중식 로그 관리 및 분석

목표: 여러 시스템의 로그 데이터를 통합 플랫폼으로 통합합니다. 보안 이벤트에 대한 추적, 분석 및 대응을 용이하게 합니다.

솔루션: 스플렁크 엔터프라이즈 보안(https://www.splunk.com/), 그레이로그(https://graylog.org) Splunk Enterprise Security (), Graylog (), ELK(Elasticsearch, Logstash, Kibana) 등.

8. 팀 보안 인식 개발

목표: 조직 구성원들의 보안 인식을 높여 대부분의 소셜 엔지니어링 공격을 식별할 수 있도록 합니다. 대부분의 소셜 엔지니어링 공격을 식별하고 사고 발생 후 이상 징후를 선제적으로 보고하여 적시에 문제를 해결합니다.

솔루션: 블록체인의 어두운 숲을 위한 자가 진단 매뉴얼(https://darkhandbook.io/), 웹3 피싱 기법 분석(https://github.com/slowmist/)을 참조하세요. Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) and so on.

또한, 보안 프로세스 관리 및 보안 방어 배포의 취약점을 파악하기 위해 주기적으로 적-청 대결 연습을 실시할 것을 권장합니다.

결론

공격은 종종 주말과 전통적인 휴일 동안 발생하여 사고 대응과 리소스 조정에 상당한 어려움을 겪습니다. 이 과정에서 23pds, Thinking, Reborn 및 기타 Slow Fog 보안팀의 관련 팀원들은 휴일에도 교대로 비상 상황에 대응하고 조사 및 분석을 계속 진행하면서 경계를 늦추지 않았습니다. 결국 공격자의 전술과 침입 경로를 성공적으로 복구했습니다.

이번 조사를 통해 라자루스 그룹의 공격 방법을 밝혀냈을 뿐만 아니라 사회 공학 사용, 취약점 악용, 권한 상승, 인트라넷 침투, 자금 이체 등 일련의 전술을 분석했습니다. 동시에 실제 사례를 바탕으로 APT 공격에 대한 방어 권장 사항을 요약하여 업계에 참고자료를 제공하고 더 많은 조직이 보안 보호 기능을 개선하고 잠재적 위협의 영향을 줄이는 데 도움이 되기를 바랍니다. 네트워크 보안과의 싸움은 오래 지속되는 전쟁이며, 앞으로도 유사한 공격에 지속적으로 주의를 기울이고 커뮤니티가 공동으로 위협을 방어할 수 있도록 지원할 것입니다.