[파밍] 네이버 그리고 APT

1. 개요

SaintSecurity의 CyDrone을 통해 실시간 탐지 중 네이버 파밍 사이트가 확인되었다. 

해당 사이트는 과거 네이버 사이트를 그대로 옮겼으며 도메인명 또한 주의깊게 관찰하지 않으면 악성 사이트임을 판단하기 매우 어려운 형태로 작성되어 있다. 

또한 해당 사이트를 통해 다운로드되는 악성코드는 국지적으로 동작하는 형태임에 따라 확인이 더욱 어려운 형태이다. 

※ 워터링 홀 : 특정 타겟을 목표로 악성코드를 특정 사이트에 심어두고 사용자가 해당 사이트에 접속하거나 특정 동작 

                     (클릭)을 수행하면 악성코드가 PC에 설치/배포되는 형태의 타겟 공격 기법

2. 추적 과정

< Figure 1. CyDrone에서 탐지된 파밍 사이트 >

오전 08시 54분경 파일명의 일부만 바꾼 채 순차적으로 파일을 배포하고 있는 사이트가 확인되었다. CyDrone은 그 행위를 기반으로 한 모니터링 패턴에 의해 해당 도메인을 탐지했다. 

< Figure 2. 네이버 파밍 사이트 >

해당 사이트에 접속하면 네이버 사이트와 동일한 모습을 볼 수 있다. 

< Figure 3. 정상 사이트와 파밍 사이트 비교 >

실제 네이버 정상 사이트와 비교해 보면 다음과 같은 차이점을 확인할 수 있다. 

● 차이 1. 광고가 정상적으로 나오지 않는다. 

● 차이 2. 최신 뉴스가 아니다.

● 차이 3. 로그인 부분에서 "보안 로그인 ON/OFF" 나 "로그인 상태 유지" 체크등이 정상적으로 나오지 않는다. 

< Figure 4. 파밍 사이트 분석 >

또한 실제 파밍 사이트를 분석하면 위의 그림과 같이 네이버 사이트 하단의 "회사 소개", "광고" 등을 누를 경우 악성코드를 다운로드 하도록 작성되어 있음을 알 수 있다. 사이트를 방문하는 일반 사용자가 아닌 하단의 링크를 클릭하는 대상만을 타겟한 것으로 보아 워터링 홀 기법을 적용한 네이버 파밍 사이트임을 알 수 있다. 

< Figure 5. CyDrone으로 확인된 악성코드 활동 시간 >

CyDrone에 탐지된 해당 악성코드의 주 활동시간은 업무 시간이고 사이트 하단의 "회사 소개", "광고" 등을 누를 경우 악성코드가 다운로드된다는 점과 네이버의 "회사 소개", "광고" 등과 같은 정보가 필요한 사람이라는 점을 연관시켜 보면 

이러한 정보가 필요한 개인 또는 기업 내부의 담당자가 주 타겟임을 판단할 수 있다. 

또한 항상 동작하지 않고 일정 시간에만 탐지되는 것으로 보아 서버가 일정 시간만 동작하며 이는 기업내부 보안 제품에 의한 탐지되지 않는 것도 그 목적이라 할 수 있다. 

< Figure 6. 도메인 정보 >

네이버 파밍 사이트는 jin-yongri@163.com 사용자에 의해 등록된 사이트로 이를 바탕으로 역추적하면 추가 도메인 확인 또한 가능하며 현재까지 공개가능한 도메인은 다음과 같다. 

( 실제 해당 사용자에 의해 등록된 도메인은 50개로 그 중 네이버 파밍 사이트 관련 도메인은 15개로 추정된다. )

● 도메인 정보

   - hxxp://www.nrawer.com

   - hxxp://www.nrear.com

   - hxxp://www.naewr.com

   - hxxp://www.nraver.com

< Figure 7. malwares.com 트위터를 통해 제공된 파밍 정보 >

확인된 악성 도메인 중 hxxp://www.nrear.com 은 전일 확인되어 malwares.com의 트위터를 통해 제공한 네이버 파밍 사이트이며 이를 통해 해당 그룹은 네이버 파밍을 전문적으로 하는 파밍 그룹임을 알 수 있다. 

< Figure 8. 네이버 파밍 사이트 동작 비교 >

두 도메인을 비교하면 시간을 나누어 동작하고 있음을 알 수 있다. 또한 배포하는 악성코드 이름 또한 비슷한 형식을 갖고 있다. 

3. 악성코드 파일 정보

파일명 : nasdfga.exe

파일크기 : 94,208 Bytes

특징 : Dropper

SHA-256 : 574EC1058F1C5CECBBA6C62B90DE7741B311829AA9E6AAEE29D1A746BE1AF98D

malwares.com 정보 : https://goo.gl/HP0HUX

파일명 : Vmware[%d].dat

파일크기 : 53,248 Bytes

특징 : Dropper

SHA-256 : ECE6A9BF98D8F56E63A595D477D2A91FDB256597B3CE7E8DF64864834A236725

malwares.com 정보 : https://goo.gl/cMe9zW

파일명 : irb02.exe -> (rename) (6자리랜덤 숫자).xxx

파일크기 : 143,360 Bytes

특징 : Dropper

SHA-256 : 8AEBEA22E2B4DF23F57710ED0DC8FF29E2EE0450BE22E22B69C2B4BBCED8B197

malwares.com 정보 : https://goo.gl/lFMjjC

파일명 : sy[%x]k.sys

파일크기 : 16,384 Bytes

특징 : 

SHA-256 : 2B3ADA0BA3CF0A203EFF754673A7B72A7BC136D74EFBF0367982ABC89CCDBB91

malwares.com 정보 : https://goo.gl/nE4W5D

파일명 : (6자리랜덤 숫자).dll

파일크기 : 100,352 Bytes

특징 : Gh0st RAT 봇

SHA-256 : 78890056C584460E924662427B04705E92972214B28A3CCE19613B64622CA85D

malwares.com 정보 : https://goo.gl/VQuPBB

4. 악성 파일 동작

< Figure 9. 악성 파일 동작 흐름도 >

최초 실행되는 악성코드에서 실제 Gh0st RAT 악성코드까지 생성되는 과정이 여러단계를 거쳐야되며 특정 조건이 만족되어야 동작하거나 외부 접근 URL만 암호화되어 있는 등 보안 제품을 우회하기 위한 다양한 방법을 적용하고 있다. 

< Figure 10. Gh0st RAT 서버와의 통신 >

악성코드의 최종 동작은 Gh0st C2서버와 통신 후 추가 악성동작을 수행하는 형태의 파일로 확인되었다. 현재 C2서버와의 상호 통신은 동작하지 않지만 좀비PC화된 PC는 주기적으로 C2서버에 암호화된 패킷을 전송한다. 

● C2 서버 : 1.229.193.203:82

5. 마무리

네이버 파밍 사이트의 목적은 네이버 파밍 사이트로 위장해 네이버의 광고 관련 정보나 이용 약관등의 정보가 필요한 개인 또는 기업 관계자의 PC에 설치되는 방식을 이용해 기업 내부에 침투하고 Gh0st 서버의 명령에 따라 추가 동작을 가능하도록 하는 형태의 악성코드로 확인되었다. 

* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.