2018년에는 이모텟(Emotet) 활동이 급증했습니다. 이모텟은 처음에는 뱅킹 트로이 목마로 시작했지만, 이 블로그에서는 이모텟이 어떻게 "위협 배포자”. 또한 서버 측 및 클라이언트 측 활동과 그 확산 방식에 대해서도 논의할 것입니다. 자체 전파로 인해 보안 업체가 정적으로 탐지하는 것이 더욱 어려워집니다. 스팸 이메일과 이러한 URL에 호스팅된 악성코드의 URL이 어떻게 끊임없이 변경되는지, 그리고 무차별 대입 공격을 통해 측면 이동을 시도하는 방식에 대해서도 설명하겠습니다.
이모텟이란 무엇인가요?
이모텟(Emotet) 악성코드 캠페인은 2014년부터 존재해 왔습니다. 이 캠페인은 피해자에게 악성코드를 유포하기 위해 다양한 기법과 변종을 사용하여 주기적으로 나타납니다. 공격자들은 탐지를 피하기 위해 복잡한 기법을 사용하는 것을 볼 수 있습니다. 이 캠페인은 단독 뱅킹 트로이목마에서 복잡한 위협 배포자로 진화했습니다. 2017년 초, 이모텟 캠페인은 PDF와 JS 파일이 첨부된 악성 스팸 이메일을 통해 확산되었습니다. 2018년에는 난독화된 매크로가 포함된 MS 오피스 워드 문서를 통해 확산되고 있습니다. 이 메일에는 MS 오피스(워드, 엑셀) 문서를 다운로드하는 URL도 포함되어 있습니다. US-CERT는 경고 이모텟이 심각한 위협이라는 점을 강조합니다.
이를 더 복잡한 유통업체로 만드는 요인은 무엇인가?
이 악성코드는 지속적인 감염을 보이며, URL과 전송되는 페이로드를 정기적으로 변경하는 매우 공격적인 양상을 보여 정적 탐지를 어렵게 만듭니다. 또한 네트워크, 이메일 계정, 웹 브라우저에 저장된 비밀번호의 신원 정보 도용도 확인되었습니다. 탈취된 신원 정보를 이용한 무차별 대입 공격을 통해 네트워크 내부로 확산을 시도합니다. 피해자의 Outlook 계정에서 이름과 이메일 주소를 스크래핑하여 이메일 ID를 탈취한 후, 해당 계정을 통해 더 많은 악성 스팸을 발송함으로써 피해자를 스패머로 만듭니다.
감염 벡터:
캠페인은 두 단계로 나뉩니다.
- 웹사이트에 대한 공격.
- 피해자의 컴퓨터에 대한 공격. (이미 이전 블로그에서 논의했습니다)
이렇게 감염된 웹사이트는 최신 맬웨어를 호스팅하는 데 사용되었습니다. 이러한 맬웨어는 문서 형태로 다운로드된 후, 이후 맬웨어 확산 단계에서 Emotet 실행 파일로 다운로드됩니다.
Emotet이 PHP 기반 웹사이트를 타겟으로 하는 이유는 무엇입니까?
웹사이트의 약 70~80%가 PHP를 사용하여 개발됩니다. Joomla, WordPress와 같은 콘텐츠 관리 시스템(CMS)도 PHP로 실행됩니다. PHP는 서버 측 스크립팅 언어이므로 서버에서 코드를 실행하고 HTML을 응답으로 제공합니다. 공격자가 PHP 서버에서 악성 코드를 실행하는 데 성공하면 서버의 관리자 권한을 획득할 수 있습니다. 서버에서 악성 코드를 실행하기 위한 취약점이 노리고 있습니다. WordPress와 Joomla 플러그인과 마찬가지로 악용 가능한 많은 취약점이 발견되었습니다. 그중에는 "임의 파일 업로드 취약점", "XMLRPC.php 직접 접근", "원격 권한 상승 취약점", "크로스 사이트 스크립팅", "정보 유출 취약점" 등이 있습니다. 분석 과정에서 최신 취약점인 exploit-db와 rapid7을 사용하는 것으로 확인되었습니다. 또한 코드에는 "https://exploit-db.com/search/?action=search&filter_description=LinuxLinuxKernelposix_getegid?nameuidnamegid/cwd”일반적으로 이러한 취약점은 웹사이트 소유자가 패치하지 않는데, 최신 플러그인으로 업데이트하면 웹사이트 테마에 영향을 미칠 수 있기 때문입니다. 따라서 이러한 웹사이트는 다양한 악성코드를 수집하기 위한 무료이고 탐지 불가능한 인프라로 악용될 수 있어 쉽게 공격 대상이 됩니다.
Emotet은 어떻게 웹사이트를 손상시키고 위협 배포자로 사용되고 있나요?
사용자가 URL에 접근하면 서버에 "Get" 요청이 전송됩니다. 서버는 URL을 읽고 현재 요청과 관련된 PHP 페이지를 실행합니다.
예를 들어, 사용자가 "https://www.Abc.com/login"에 접속하면 서버 측 웹 서버는 login.php 페이지를 확인합니다. 해당 페이지가 있으면 서버에서 코드를 실행하고 HTML을 응답으로 전송합니다. 일반적으로 PHP 코드는 서버에 의해 접근이 제한되어 직접 접근할 수 없습니다. PHP 기반 웹사이트/서버에 백도어 스크립트를 심으려면 공격자는 위에서 언급한 취약점을 이용하여 PHP 서버에 백도어 스크립트를 업로드해야 합니다. 그런 다음 공격자는 해당 리소스(백도어 스크립트)에 대한 요청을 전송해야 합니다. 이 요청은 PHP 서버에서 실행되어 서버의 관리자 ID와 비밀번호와 함께 PHP 서버에 접근할 수 있도록 합니다. 이렇게 되면 CnC 서버에서 더 많은 악성 콘텐츠를 다운로드하게 됩니다.
Emotet은 취약한 웹사이트에 백도어 스크립트를 업로드하여 PHP 웹사이트를 표적으로 삼을 수 있습니다. 공격자는 wpscan, owasp-zap, Joomla 스캐너, nmap과 같은 취약점 스캐너를 사용하여 웹사이트의 취약점을 찾아낼 수 있습니다. 또한, "fped8.org" 서버에도 많은 손상된 웹사이트가 등록되어 있는 것으로 확인되었습니다.
Emotet에 의해 손상된 웹사이트에는 유사한 스크립트도 포함되어 있습니다. 스크립트 of Roi777Eng PHP 백도어를 이용해 웹사이트를 해킹하는 방법.
Emotet의 첫 번째 목표는 "fped8.org" 서버에 등록된 웹사이트를 해킹하여 악성 스크립트를 업로드한 후, 다른 취약한 웹사이트를 공격하는 것입니다. 임의의 파일 업로드 취약점을 이용하여 백도어 PHP 스크립트를 업로드하는데, 이는 업로드가 진행되는 동안 서버나 코드가 파일 MIME 유형을 검사하지 않고 해당 웹사이트의 업로드 폴더에 직접 접근할 수 있음을 의미합니다. 따라서 공격자는 백도어를 쉽게 설치할 수 있습니다. 스크립트가 웹사이트에 업로드되면 공격자는 "https://www.Abc.com/wp-uploads/2018/11/backdoor.php"와 같은 요청을 실행하여 서버에서 스크립트를 실행합니다. 또한 WordPress와 Joomla 샵에서 제공되는 WordPress 테마도 해킹합니다. 저희는 404월에 업로드된 "sketch"라는 테마가 포함된 해킹된 웹사이트 중 하나를 분석했습니다. 해당 웹사이트의 XNUMX.php 페이지가 해킹되어 공격자에게 백도어 접근 권한을 제공했습니다. 웹사이트가 악용되면 공격자는 악성 코드를 실행하여 요청을 수신합니다. 필터를 우회하기 위해 난독화된 코드를 사용합니다.
예: “https://www.Abc.com/remote.php?key='shell_'$v'exec(ls -ano)' ”.
위 예에서 shell_exec는 셸 명령을 실행하는 PHP 함수입니다. 웹 호스팅 서비스 제공업체가 추가한 검사를 우회하기 위해 공격자는 요청에 $v와 같은 null 변수를 추가합니다. 초기화되지 않은 이러한 변수는 무시됩니다. PHP에서 "shell_exec"와 shell_exec는 동일한 의미를 가지며, 모든 문자열을 함수 호출로 사용할 수 있습니다. 이 함수 이름을 73진수로 "\x68\x65\x6\x6C\x5C\x65F\x78\x65\x63\xXNUMX"과 같이 작성할 수 있는데, 이는 shell_exec 함수와 같습니다. 이렇게 하면 방화벽을 우회하여 웹 서버에서 여러 명령을 실행할 수 있습니다.
예 :
<?php
$m="쉘_실행";
$v = $m('디렉토리');
에코 $v;
?>
조사 결과, 이러한 침해된 웹사이트는 공격자가 Emotet, Miner 등과 같은 맬웨어를 전달하는 데 사용할 수 있는 맬웨어 호스팅 플랫폼이나 인프라로 사용된다는 것을 발견했습니다. 위에서 설명한 대로 전 세계적으로 PHP 웹사이트의 수는 매우 많습니다. 마찬가지로 침해된 웹사이트의 수도 많습니다.
이모텟 캠페인에서 공격자의 명령에 따라 실행되는 여러 개의 악성 스크립트가 발견되었습니다. 공격자는 요청 게시만으로 exe 또는 doc 파일의 새로운 변종을 전송할 수 있습니다. 감염된 웹사이트에서 스크립트는 파일을 암호화하고 임의의 이름으로 저장합니다. 이러한 PHP 스크립트를 실행하기 위해 PHP의 eval() 함수를 사용합니다. 아래 악성 스크립트는 감염된 서버에 원격으로 접근하거나 백도어에 접근하는 데 사용됩니다. 일반적으로 스크립트는 아래 위치에서 발견됩니다. wp-admin\wpclient.
원격.php
settings.php
minify.php
wsetting.php
syslib.php
new_license.php
어떤 경우에는 위 스크립트가 웹사이트의 루트 폴더나 wp-includes에 위치하는 것을 발견했으며, 테마의 404.php 파일도 수정했는데, 이 파일에는 아래 스크립트에 언급된 것과 동일한 코드가 포함되어 있었습니다. 몇 가지 중요한 스크립트를 살펴보겠습니다.
원격.php:
이 스크립트는 PHP 도어웨이 백도어로 사용됩니다. 이 스크립트는 "HTTP" 및 "curl" 요청을 "fped8.org/doorways/settings_v2.php” "update.php" 아래 그림과 같이
이 스크립트는 악성 스크립트 모듈 업데이트에서 주요 역할을 하는 것으로 보입니다. 공격자는 "get" 및 "post" 요청 매개변수에 따라 함수를 활성화합니다. remote.php는 HTTP 요청에서 가져온 PHP 스크립트를 다운로드하고 실행할 수 있는 기능을 가지고 있는 것으로 확인되었습니다. remote.php에 직접 접근하려고 하면 "true" 응답을 보내거나 다른 도메인으로 리디렉션됩니다. 이 스크립트는 WordPress의 경우 '/wp-blog-header.php', Joomla의 경우 '/includes/framework.php'를 감지하여 콘텐츠 관리 시스템(CMS)을 확인합니다. 그런 다음 PHP 사이트의 유형에 따라 테마 템플릿을 편집하고, 해당 테마 템플릿에 _themesfile_data, _extlinksfilename, _other_data를 받는 edittext()라는 함수를 정의하여 웹사이트 테마에 추가합니다.
temp*clientid*라는 이름의 캐시 폴더에 데이터를 다운로드하고 저장합니다. 인코딩된 PHP 스크립트 하나와 fped8.org에 요청을 보내는 호스트 서버의 IP 주소 목록을 가져옵니다. 조사 결과, 이 IP 주소 목록은 감염된 웹사이트의 Emotet 폴더에 있는 IP 주소 목록과 유사합니다. 이를 통해 Emotet 캠페인을 "PHP 백도어로 가는 문" 캠페인과 연관시킬 수 있었습니다. 또한, full_del_dir() 디렉터리를 삭제하는 함수도 포함되어 있습니다.
설정.php:
이 파일은 침입자의 주요 구성 요소입니다. 이 페이지를 열면 비밀번호 입력란과 제출 버튼이 나타납니다. PHP 코드를 분석한 결과, 이 페이지가 여러 번 암호화되어 있음을 발견했습니다. base64_decode와 str_rot13을 사용하여 이 파일을 복호화했습니다. 그런데 배열에는 base64로 암호화된 문자열이 많이 포함되어 있었습니다. 복호화 결과, 소켓 연결을 수행하는 Perl 스크립트와 자바스크립트가 발견되었습니다. 이 스크립트 파일은 공격자가 셸에 접근하는 데 사용되는 것으로 추정됩니다.
또한 "https://exploit-db.com/search/?action=search&filter_description=LinuxLinuxKernelposix_getegid?nameuidnamegid/cwd", "http[:]//crackfor.me/index.php", "http[:]//md5.rednoize.com/", "https[:]//hashcracking.ru/index.php"에 대한 href 액션을 포함합니다. 또한 shell_exec와 같은 PHP 함수를 사용하여 명령을 실행합니다. 이 함수는 셸에서 명령을 실행하고 결과를 문자열로 반환합니다. 또한 파일을 업로드할 수 있습니다. 이 스크립트는 "find -type f -name fetchmailrc, htpasswd, config*"와 같은 함수도 사용합니다. 또한 SQL 명령으로 데이터를 삽입하고 덤프합니다.
wpsetting.php:
업로드된 파일을 대상지로 이동하는 데 사용됩니다.
Minify.php:
사용자 요청을 보내면 비밀번호 입력란이 나타납니다. Minify.php와 Settings.php는 모두 동일한 파일입니다. 복호화 결과, 이는 웹셸(webshell)에 불과한 것으로 확인되었습니다. "hxxps://webshell.co/"에서도 유사한 웹셸을 찾을 수 있습니다. minify.php와 setting.php 파일은 서로 다른 암호화 알고리즘으로 암호화되어 실행 시 복호화됩니다. 서버 측 탐지를 피하기 위해 두 스크립트 파일은 고도로 암호화되어 있습니다. 이 스크립트는 다양한 유틸리티로 구성된 웹셸로, 공격자가 사용자 ID와 비밀번호 없이도 시스템 전체에 접근할 수 있도록 도와줍니다.
이 스크립트에서 사용 가능한 도구:
1.파일 관리자
2.SQL 브라우저
3.콘솔
4. PHP 코드를 실행하는 PHP Shell(Eval())
5. 사전 공격을 위한 무차별 대입 공격 도구
6. 소켓 연결을 생성하는 네트워크 스크립트.
이 스크립트가 웹 서버에 업로드되면 공격자는 다른 스크립트를 쉽게 설치하고 파일 관리자를 사용하여 FTP에 접근할 수 있습니다. 조사 결과, 이 스크립트는 지속성을 확보하기 위해 감염된 사이트의 활성 테마에 404 페이지로 추가되는 것으로 확인되었습니다. 하지만 이러한 스크립트는 한 번의 클릭으로 자동으로 삭제되는 기능이 있으므로 공격자는 모든 스크립트를 삭제할 수 있습니다.
new_license.php:
손상된 서버 중 일부에서 new_license.php를 발견했습니다. 이 PHP 스크립트는 클라이언트 및 서버 측 검증 없이 여러 부분으로 구성된 HTML 폼을 포함합니다. 공격자는 그림 12와 같이 서버에 모든 PHP(페이로드 또는 백도어)를 업로드할 수 있으며, 이 페이지에서 업로드된 스크립트에 대한 링크를 확인할 수 있습니다. 이러한 유형의 스크립트는 웹 서버에서 파일을 업로드하고 악성 코드를 실행하는 데 사용됩니다.
Emotet 스크립트 파일
Emotet이 무작위로 생성된 이름 폴더에 파일 5개를 드롭하는 것을 발견했습니다. 파일 목록은 아래와 같습니다.
.67179322b768a6c97af866b5561a06aabf878f15
.bt
htaccess로
index.php
웹.구성
.bt:
이 파일은 호스트 URL 목록과 IP 주소 목록을 포함하는 숨겨진 파일이며, "PHP 백도어 파일"도 마찬가지입니다. 많은 Emotet 감염 도메인에는 이 파일과 위에서 언급한 파일이 포함되어 있습니다. 따라서 두 캠페인 모두 악성코드 유포를 위해 협력했을 것으로 추정됩니다.
.67179322b768a6c97af866b5561a06aabf878f15:
이는 Emotet이 감염된 사이트에서 다운로드될 때마다 요청이 있을 때마다 업데이트되는 JSON 파일입니다.
{“4″:1031,”5″:1255,”2″:31,”3”:14}
여기 1031은 현재 감염된 사이트에서 다운로드된 Emotet의 수입니다.
.htaccess :
파일 접근 권한을 제공하고 특정 파일에 대한 접근을 제한하는 데 사용됩니다. 이 파일은 index.php에 권한을 부여합니다. 다음은 권한 목록입니다.
디렉토리 인덱스 index.php
거부 할 주문
모두에서 허용
index.php :
여기에는 주요 Emotet 페이로드가 포함되어 있습니다. 피싱 이메일에는 index.php 링크가 포함된 위 폴더가 피해자에게 제공됩니다. 사용자가 링크를 클릭하면 복호화된 Emotet 악성코드(doc/Exe)가 응답으로 전송됩니다. 메일에는 index.php가 포함된 폴더로 연결되는 링크가 포함되어 있습니다. 서버에 요청이 전송되면 index.php를 실행하고 exe 또는 doc 파일을 응답으로 전송합니다.
이 index.php 파일도 매우 강력하게 암호화되어 있습니다. 디코딩 결과, Emotet은 클래스와 개인 변수를 사용하여 주요 페이로드를 암호화된 형태로 저장한다는 것을 발견했습니다. "execute"라는 함수가 페이로드를 디코딩하여 사용자에게 전송합니다. 이 함수는 PHP의 헤더 함수를 사용하여 응답을 전송합니다.
헤더에는 "'만료일: 01년 1970월 00일 화요일 00:00:0 GMT'", "Cache-Control: no-store, no-cache, must-revalidate, max-age=67179322'"과 같은 데이터가 전송됩니다. 파일의 콘텐츠 유형은 "application/octet-stream", "Content-Transfer-Encoding: binary"로 명시되어 있습니다. 응답으로 파일을 성공적으로 전송한 후, JSON 파일 ".768b6a97c866af5561b06a878aabf15fXNUMX"에 새로운 다운로드 횟수를 기록합니다.
이 스크립트를 복호화하려면 먼저 위 그림과 같이 pack 함수를 사용하여 API 이름을 복호화합니다. 그런 다음 복호화된 함수(Gzinflate, base64_decode)를 사용하여 나머지 PHP 스크립트를 복호화합니다.
클라이언트 측에서 실행
우리는 이전 블로그에서 이 캠페인이 클라이언트 측에서 확산되는 메커니즘에 대해 이미 논의했습니다. 4년 된 위협 Emotet의 진화: 악명 높은 트로이 목마에서 복잡한 위협 배포자로
결론 :
이런 방식으로 PHP 악성코드는 악성코드가 없는 PHP 웹사이트/서버를 감염시켜 공격자가 악성 스크립트를 실행할 수 있도록 합니다. 또한, 악성코드를 배포하는 데 사용될 수 있는데, 예를 들어 index.php 파일에 암호화된 Emotet 악성코드가 포함되어 있습니다. 이 PHP가 호출될 때마다 복호화된 Emotet 악성코드(doc/exe)가 응답으로 전송됩니다. 이렇게 감염된 웹사이트는 공격자가 악성코드 호스팅 플랫폼 또는 인프라로 사용합니다. 경우에 따라 공격자가 웹 서버에 접근한 후 악성 스크립트를 삭제할 수도 있다는 사실이 확인되었습니다.
이모텟 맬웨어는 스팸 메일을 통해 확산되며, 사용자를 쉽게 피싱하기 위한 사회 공학적 기법을 사용합니다.
Quick Heal은 Emotet 캠페인의 각 계층에 대해 다층적 보호 기능을 제공합니다.
따라야 할 보안 조치
- 알 수 없는 출처에서 보낸 메일 본문의 링크를 열지 마세요.
- 신뢰할 수 없는 출처에서 받은 첨부 파일은 다운로드하지 마세요.
- 항상 바이러스 백신 소프트웨어의 이메일 보호 기능을 켜 두세요.
- 문서 실행 시 '매크로'나 '편집 모드'를 활성화하지 마세요.
곧 공개될 Emotet 캠페인에 대한 기술 문서도 기대해주세요.
주제 전문가:
Bajrang Mane, Vallabh Chole, Preksha Saxena | Quick Heal 보안 연구소
