카스퍼스키 보안연구원 머트 데기르멘치(Mert Degirmenci)가 최근 발표한 분석에 따르면 웹셸은 클라이언트 통신과 메모리 실행을 위한 맞춤형 인코딩 방식 등 복잡한 기능을 갖춘 'hrserv.dll'이라는 이름의 동적링크라이브러리(DLL)인 것으로 나타났다.
Kaspersky에 따르면 이 러시아어는사이버 보안아티팩트의 컴파일 타임스탬프를 기반으로 한 회사의 조사에서 2021년 초까지 거슬러 올라가는 악성 코드 변종을 발견했습니다.
웹 셸은 일반적으로 손상된 서버를 원격으로 제어하는 데 사용되는 악성 도구입니다. 일단 업로드되면 공격자는 데이터 도난, 서버 모니터링, 인트라넷 내 측면 발전을 포함한 다양한 악용 후 활동을 수행할 수 있습니다.
공격 체인에는 PsExec을 대체하는 PAExec 원격 관리 도구가 포함되어 있으며 Microsoft 업데이트("MicrosoftsUpdate")로 위장한 예약 작업을 생성한 다음 "JKNLA.bat"라는 Windows 배치 스크립트를 실행하도록 구성됩니다.
배치 스크립트는 DLL 파일("hrserv.dll")의 절대 경로를 매개변수로 받아들인 다음 이를 서비스로 실행하여 후속 작업을 위해 들어오는 HTTP 요청을 구문 분석할 수 있는 HTTP 서버를 시작합니다.
Degirmenci는 HTTP 요청의 유형과 정보에 따라 특정 기능이 활성화될 것이라고 말했습니다. 그는 "hrserv.dll" 파일에 사용된 GET 매개변수가 'hl'을 포함한 Google 서비스를 모방하는 데 사용된다고 덧붙였습니다.
이는 공격자가 이러한 악의적인 요청을 정상적인 네트워크 트래픽과 혼합하여 정상적인 이벤트와 악의적인 활동을 구별하기 어렵게 만들려는 시도일 가능성이 높습니다.
이러한 HTTP GET 및 POST 요청에는 "cp"라는 매개변수가 포함되어 있으며 해당 값의 범위는 0~7이며 다음 작업을 결정합니다. 여기에는 새 스레드 만들기, 임의 데이터가 포함된 파일 만들기, 파일 읽기, Outlook Web App에서 HTML 데이터 액세스 등이 포함됩니다.
POST 요청의 "cp" 값이 "6"이면 코드 실행이 트리거되고 인코딩된 데이터가 구문 분석되어 메모리에 복사되며 새 스레드가 생성되고 절전 모드로 전환됩니다.
또한 웹 셸은 "MicrosoftsUpdate" 작업과 원본 DLL 및 배치 파일을 삭제하여 포렌식 추적을 삭제하는 메모리 내 비밀 "다기능 임플란트"를 활성화할 수 있었습니다.
배후에 있는 위협 행위자가 누구인지는 확실하지 않지만, 소스 코드에 철자 오류가 여러 개 있어 악성 코드 작성자가 영어가 모국어가 아닌 사람임을 알 수 있습니다.
Degirmenci는 "웹 셸과 메모리 임플란트가 특정 조건에서 서로 다른 문자열을 사용한다는 점은 주목할 가치가 있습니다. 또한 메모리 임플란트도 도움말 정보를 세심하게 제작했습니다."라고 결론지었습니다.
“이러한 요소들을 고려하면, 악성 코드의 특성은 금전적인 동기를 지닌 악의적인 활동과 더 일치합니다. 그러나 그 작동 방식은 다음과 같습니다. 적절한 행동에는 유사점이 있습니다. "
최고 보안 책임자의 원본 글, 복제 시 출처 표시: https://www.cncso.com/kr/ew-hrservdll-web-shell-detected-in-apt.html
