Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보사이버상에 떠도는 악성코드를 사용한 CIA의 UCL프로젝트
작성일 2017-08-03 조회 1429

개요

 2017년 7월 19일, WikiLeaks는 CIA UCL((UMBRAGE Component Library) 프로젝트를 위해 Raytheon Blackbird Technology Company가 제공한 문서 파일을 공개하였다. UCL 프로젝트는 쉽게 말해 사이버상에 떠도는 악성코드를 분석하여 CIA에서 사용하기 위해 가공 및 개발을 하는 것이다. 그 역할을 맡은 Raytheon Blackbird Technologies는 사이버상에서 악성코드 공격을 분석하고 악성 소프트웨어 프로젝트에 대한 추가 조사와 PoC 개발하여 CIA에게 전달하는 이른바 "technical scout" 역할을 하였다..

 

확인 내역

 

 공개된 총 5가지 문서에 대한 설명은 아래와 같다.

 

1. HTTP Browser RAT

 첫 번째 문서에는 HTTPBrowser 원격 액세스 도구 (RAT)의 새로운 변형에 대해 소개한다. RAT는 ' Emissary Panda '라는 중국 APT 그룹의 사이버 스파이 캠페인에 사용되었으며 2015년 3월에 발견되고 알려지지 않은 초기 공격 벡터를 통해 배포된다. 악성코드의 드롭퍼에는 3개의 파일이 포함 된 zip 파일이 있다. 이 RAT는 타이핑 되는 키를 캡처하여 파일에 기록하고, C&C 서버와 지속적으로 상호작용을 한다.

 

2. NfLog

 두 번째 문서에는 "SAMURAI PANDA APT" 그룹에서 사용했으며 IsSpace라고도 하는 NfLog 원격 액세스 도구 (RAT)의 새로운 변형에 대해 설명되어 있다. 해당 악성코드는 HackingTeam이 사용했던  Adobe Flash 익스플로잇(CVE 2015-5122)을 변형하여 배포된다. C&C 통신을 할 경우에 NfLog는 Google App Engine도 사용하기도 하며 UAC 우회 기술을 사용하여 Windows 운영 체제에서 권한 상승을 시도한다.

 

3. Regin

 NSA에서 개발한 것으로 간주되는 악성코드이며 2008년 초에 처음 사용되었다. Reign을 다른 도구와 다르게 특별하게 여기는 이유는 공격자에게 유연성을 부여하기 위해 파일 시스템 액세스, 네트워킹, 이벤트 로깅, 포트 로딩, 루트킷 기능 등과 같은 5단계 기능을 수행하는 모듈식 아키텍처이기 때문이다. 또한 탐지로부터 자신을 숨기는 기능도 존재한다. 

 

4. HammerToss

 HammerToss는 공개된 5가지 도구 중 가장 정교한 도구로 판단되며 그 배후에는 러시아가 지원할 것이라고 추정하고 있다. C&C 서버는 악성행위을 수행하기 위해 손상된 웹 사이트, GitHub, Twitter 계정 및 클라우드 저장소를 활용한다. 아래 <그림 1>은 트위터를 이용하여 관리하는 방식을 보여준다.

<그림 1> 트위터에서 Hammer Toss 구성요소>

 C&C서버의 지시 사항은 핸들에 의해 내보내지는 URL에 숨겨져 있으며, 함께 제공되는 해시 태그는 지시 사항을 디코딩하는 데 필요한 정보를 제공한다. 그런 다음 맬웨어가 데이터를 다운로드하고 트위터의 해시 태그를 사용하여 지침을 해독하고 대상 컴퓨터에서 명령을 실행한다. 

 

5. Gamker

Gamker는 정보를 훔치는 트로이 목마로 자체 코드 주입 프로세스를 사용하여 디스크에 아무 것도 기록되지 않도록한다. Gamker는 루틴을 연결하는데 어셈블리 언어를 사용하여 일부 난독화 특성을 가지고 있다.

 

대응방안

 

1)최신의 백신으로 업데이트 하여 치료한다.

 

2)Sniper IPS에서는 아래의 패턴으로 대응이 가능하다.

[3650] Adobe Flash Player opaqueBackground UAF

 

3) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 

참고

http://www.firstpost.com/tech/news-analysis/wikileaks-releases-documents-by-cia-contractor-raytheon-analysing-malware-for-the-umbrage-project-3855105.html

https://www.marketslant.com/article/wikileaks-release-shows-how-cia-raytheon-use-its-malware?utm_source=dlvr.it&utm_medium=twitter

http://ovni.tn/2017/07/23/vault-7-wikileaks-devoile-les-rapports-caches-entre-la-societe-de-securite-raytheon-et-la-cia/

http://securityaffairs.co/wordpress/61168/intelligence/wikileaks-cia-raytheon-relationship.html?utm_content=buffer88f88&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

https://fossbytes.com/cia-raytheon-malware-vault7/

http://securitydaily.org/wikileaks-cia-appoints-raytheon-blackbird-technology-provide-information-remote-development-department/

 

 

 

 

첨부파일 첨부파일이 없습니다.
태그 raytheon  CIA  UCL  HammerToss  NfLog