Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보공격 기법이 한 단계 업그레이드 된 Fin7 사이버 범죄 조직
작성일 2017-10-17 조회 1272

 

 

개요

 글로벌 금융 및 의료 산업등을 대상으로 하는 Fin7그룹(Carbanak 이라고도 불리움)이 사용하는 새로운 기법이
발견되었다.  MS Word 문서 파일의 매크로 기능을 이용하는 대신 .LNK 파일을 사용하여 피싱 (phishing) 캠페인 이용, 이를 통해 여러 가지 난독화 메커니즘과 기존 보안 메커니즘을 우회하는 고급 기술이 포함 된 스크립팅 언어를 실행한다.

 

확인내역

 이번에 새로 확인 된 캠페인에서 FIN7은 감염 및 지속성 메커니즘을 구현하기 위해 피싱 기법을 수정했다. FIN7은 탐지를 피하기 위해 Microsoft Office 매크로에서 벗어나 숨겨진 바로 가기 파일 (LNK 파일)과 mshta.exe 및 VBScript 기능을 구현하여 피해자를 감염시킨다. 악의적으로 조작된 문서에는 악성코드를 시스템에 감염시키는 데 사용되는 스크립트가 포함된 .LNK파일을 클릭하도록 유도하는 메시지가 포함되어 있다(그림 1).

<그림 1 - 스크립트를 실행하기 위해 클릭을 유도하는 피싱 행위>

 

 이러한 기법을 사용하는 이유는 많은 샌드박스가 특정 행위를 수행하도록 구성되지 않아 동적 탐지를 회피하려고 시도하기 위함이다.

 

해당 파일을 클릭할 경우 .lnk에 내재된 스크립트 언어를 실행하고 <그림 2>와 같은 글자가 깨진 문서가 나타난다.

<그림 2 - 스크립트 실행 후 출력된 문서>

 

스크립트 실행 후 악성코드는 지속성을 유지하기 위해 생성된 .vbs 파일을 25분마다 실행하도록 하여 C2서버에 접속을 시도한다.  C2 서버의 주소는 "aaa.stage.2940777.n1[.]modnernv[.]com"같은 형태를 보이는데 해당 서버에 접속이 안될경우 주소의 앞단에 위치한 알파벳을 [a-z]까지 다음 패턴의 주소로 변경하고 다시 통신을 시도한다.

C2서버에스는 다음과 같은 명령어 리스트들을 수신한다.


info : WMI 쿼리를 사용하여 대상 컴퓨터 정보 (OS, 프로세서, BIOS 및 실행중인 프로세스)를 전송
processList : 실행중인 프로세스 목록 보내기
screenshot : 희생 머신의 스크린 샷 촬영
runvbs : VB 스크립트를 실행
runexe : EXE 파일을 실행
runps1 : PowerShell 스크립트를 실행
delete : 지정된 파일을 삭제
update : 지정된 파일 업데이트


 

대응방안

1. 신뢰하지 못하는 메일의 첨부파일은 다운로드 및 실행하지 않는다.

2. 최신 백신으로 탐지 및 치료.

3. 당사 IPS에서는 아래의 패턴으로 대응 가능

[3740] Win32/Trojan.Fin7.1400390
[3741] Win32/Trojan.Fin7.4286086
[3742] Win32/Trojan.Fin7.1190087
[3743] Win32/Trojan.Fin7.442831
[3744] Win32/Trojan.Fin7.1398637
[3745] Win32/Trojan.Fin7.369382
[3746] Win32/Trojan.Fin7.1083403
[3747] Win32/Trojan.Fin7.1111840
[3748] Win32/Trojan.Fin7.1191936 外 다수

*Snort 룰은 시큐어 캐스트에서 확인 가능

 

참조

https://www.icebrg.io/uploads/images/fin7-1.html
http://blog.talosintelligence.com/2017/09/fin7-stealer.html#more
https://www.icebrg.io/blog/old-dog-new-tricks-fin7-pushing-new-techniques-to-evade-detection
https://www.fireeye.com/blog/threat-research/2017/04/fin7-phishing-lnk.html

 

첨부파일 첨부파일이 없습니다.
태그 Fin7  Carbanak  Word  LNK