[2022-02-07] 중국의 APT 앤트라이언, 대만 금융 기관들을 집중적으로 노려

보안/보안뉴스

[2022-02-07] 중국의 APT 앤트라이언, 대만 금융 기관들을 집중적으로 노려

ORIONPOINT 2022. 2. 8. 20:53

https://www.boannews.com/media/view.asp?idx=104599

중국의 APT 앤트라이언, 대만 금융 기관들을 집중적으로 노려

중국 정부의 지원을 받는 해커들 중 앤트라이언(Antlion)이 최소 지난 18개월 동안 대만의 금융 기관들을 공격해 왔다는 사실이 드러났다. 앤트라이언은 피해 조직에 침투하여 백도어를 심고 민감

www.boannews.com

[2022-02-07] 중국의 APT 앤트라이언, 대만 금융 기관들을 집중적으로 노려

- 요약

중국 정부 지원 받는 해커들 중 앤트라이언(Antlion)이 지난 18개월 동안 대만 금융 기관들을 공격해 백도어를 심고 민감한 정보를 빼돌린 사실이 드러났다. 궁극적 목표는 알 수 없으나 중국과 대만의 정치적 관계 악화로 위협 수위를 높이고 있는 것이 원인이라고 보여진다. 자주 사용하는 무기들 중 하나는 닷넷(.NET)을 기반으로 한 엑스팩(xPack)이라는 백도어로 앤트라이언이 직접 만들어 사용하는 것으로 보인다. 엑스팩을 통해 엔트라이언의 피해자 시스템에서 광범위한 정보에 접속하거나 WMI 명령어들을 원격에서 실행할 수 있도록 해 준다. 뿐만 아니라 침해된 시스템에서 추출한 파일을 새롭게 침해된 시스템으로 복사해 전송하기 위해 SMB 공유 기능을 활용하며, 민감한 정보를 다량으로 빼돌려 훗날을 도모하기도 한다. 시만텍은 앤트라이언은 '리빙 오프 더 랜드(living off the land)' 전력을 구사하는 데에 능숙한 것으로 보여지며, 방어자 입장에서는 두 가지 사용처가 있는 프로그램들을 주의 깊게 살펴야 하고 파워셸 최신화나 특정 IP 대역에서만 RDP 연결을 허용하는 등의 정책이 중요하다고 설명했다

닷넷(.NET)

- 마이크로소프트에서 개발한 윈도우 프로그램 개발 및 실행 환경이다. 네트워크 작업, 인터페이스 등의 많은 작업을 캡슐화하였고, 공통 언어 런타임(Common Language Runtime)(CLR : 지원되는 언어 중 어떤 하나로 작성된 프로그램이 공통의 객체지향형 클래스를 공유할 수 있도록 해주는 실행 관리 프로그램)이라는 이름의 가상 머신 위에서 작동한다. 쉽게 말하면 프로그램이 돌아가도록 지원해주는 뼈대 역할이며, 빌드, 배포, 웹서비스, 웹어플리케이션 등이 동작하게 하는 공통 환경이다.

출처 : http://www.terms.co.kr/CLR.htm, https://ko.wikipedia.org/wiki/%EB%8B%B7%EB%84%B7_%ED%94%84%EB%A0%88%EC%9E%84%EC%9B%8C%ED%81%AC, http://baobab.pe.kr/study/351935

WMI 명령어

- WMI(Windows Management Instrumentation) : 네트워크에서 관리정보를 액세스하고 공유하는 표준을 만들기 위해 Microsoft에서 구현한 프로그램.

- WMIC(Windows Management instrumentation Command-line) : WMI를 명령어 인터페이스로 실행 할 수 있도록 해주는 개념.

출처 : https://vdi.co.kr/wmic-%EB%AA%85%EB%A0%B9%EC%96%B4%EB%A1%9C-%EC%8B%9C%EC%8A%A4%ED%85%9C-%EC%A0%95%EB%B3%B4-%ED%99%95%EC%9D%B8%ED%95%98%EA%B8%B0/

SMB 공유기능

- SMB(Server Message Block) : 마이크로소프트사와 인텔이 윈도우 시스템이 다른 시스템의 디스크나 프린터와 같은 자원을 공유할 있도록하기 위해 개발된 프로토콜.

출처 : https://kim-dragon.tistory.com/38

파워셸(=윈도우 파워셸)

- 마이크로소프트가 개발한 확장 가능한 명령 줄 인터페이스(CLI) 셸 및 스크립트 언어를 특징으로 하는 명령어 인터프리터.

RDP (Remote Desktop Protocol, 원격 데스크톱 프로토콜)

- 마이크로소프트사가 개발한 프로토콜로 다른 PC에 그래픽 사용자 인터페이스를 제공함.

- 팀뷰어, MSTSC 등의 원격 프로그램 또한 이 프로토콜로 통신함(디폴트 포트 설정은 3389번)

- 위치나 장소에 제약받지 않는 강력한 장점이 있어 재택근무와 원격 점검 등으로 많이 사용됨.

- 해커들에게 아주 유용한 도구로 랜섬웨어를 위한 최고의 공격 벡터가 되었다고 볼 수 있으며 원격프로그램 취약점을 통해 다른 기업시스템 및 개인 PC에 크립토마이닝 툴, 키로거, 백도어, 기타 악성코드 등을 설치하면서 사용자 네트워크에 침투해 권한 상승하고 각종 자료 탈취 하는 등 범죄 용도로 악용되고 있음.

- 공격 대비하려면 위에서 언급한 디폴트 포트 번호를 바꾸면 됨.

출처 : https://m.blog.naver.com/yoodh0713/221567375594

리빙 오프 더 랜드(living off the land)

- 표준 시스템과 도구, 명령어들을 사용해 자신들의 악성 목적을 활용하는 것을 말함. 따라서 방어 및 탐지 시스템에서는 ‘공격 행위’로 간주되지 않을 때가 많으며 탐지가 까다로움.

출처 : https://www.boannews.com/media/view.asp?idx=102438

저작자표시