Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Oracle POS 데이터베이스 암호를 해독하는 ModPipe 악성 코드
작성일 2020-11-13 조회 1975

ModPipe 백도어

 

보안 연구원들이 호텔 업계에서 가장 널리 사용되는 관리 소프트웨어 중 하나인 Oracle Micros Passion RES 3700 Point-of-Sale 시스템을 대상으로 하는 모듈로 구성된 새로운 악성 프로그램을 발견했다.


ModPipe라는 이름의 이 악성코드는 PoS 시스템 데이터베이스의 암호를 Windows 레지스트리 값에서 해독하여 암호를 도용할 수 있는 모듈식 백도어다.

 

ModPipe의 특징 중 하나는 데이터베이스 암호 해독에 사용되는 GetMicInfo와 같은 다운로드 가능한 구성요소를 통해 기능을 확장할 수 있는 모듈형 아키텍처라는 점이다.

 

ESET 연구진은 2020년 4월 다운로드 가능한 세 개의 모듈을 발견했다.

 

GetMicInfo - 데이터베이스 암호, 설정 및 다양한 데이터 도용
ModScan - 지정된 IP 주소에 대해 검색 실행
ProcessList - 실행 중인 프로세스 및 프로세스 모듈 열거

 
 

현재 기능을 알 순 없지만, 최소한 4개의 요소가 더 포함되어 있을 가능성이 높다.


연구원들은 악성코드가 PoS 시스템을 어떻게 손상하는지 아직 모르지만, 초기드로퍼와 지속적인 로더, 기본 모듈, 네트워킹 모듈 및 다운로드 가능한 구성 요소를 포함하는 아키텍처를 알아냈다.

 

 

ModPipe 백도어 아키텍처
[그림1. ModPipe Architecture]

 

ESET의 연구원들은 GetMicInfo가 사용자 지정 알고리즘을 사용하여 PoS 데이터베이스 암호를 가로채고 해독한다고 분석했다.


암호 해독 메커니즘에 대한 자세한 내용은 공개되지 않았으며, 위협 행위자가 암호가 암호화되고 해독되는 방식을 이해하기 위해 Oracle의 소프트웨어를 리버스 엔지니어링 했음을 시사한다.


혹은 Oracle의 Micros PoS 부서에 영향을 준 2016년 데이터 침해로부터 정보를 얻었거나 사이버 범죄 시장에서 코드를 구매함으로써 정보를 얻을 수 있었을 것으로 예측된다.


PoS 데이터베이스에는 중요한 정보가 포함되어 있지만, 도난당한 비밀번호로 접근한다고 해서 결제 카드 데이터가 위험에 처하는 것은 아니다.


PoS 시스템은 가장 중요한 카드 데이터(숫자, 만료일)를 암호화된 형태로 저장하는데, 이는 공격자가 데이터베이스 암호화 키를 생성하는 암호 문구를 익히는 방법도 필요하다는 것을 의미한다.


연구원들은 프로세스에서 도난당한 데이터베이스의 암호 해독을 허용하는 다른 모듈이 있을 수도 있다고 생각한다고 밝혔다.


ESET가 분석한 두 번째 모듈인 ModScan은 C2서버에서 트래픽에 지정된 IP 주소를 검색하여 Micros PoS 환경에 대한 정보를 수집한다.


scan 명령을 사용하여 수신한 파라미터에 따라 악성코드는 시스템에 대한 다음 정보를 수집할 수 있다.

 

Oracle Micros RES 3700 버전
데이터베이스 이름
데이터베이스 서버 데이터

 

세 번째 모듈인 ProcList에는 현재 실행 중인 프로세스에 대한 정보를 얻는 간단한 작업이 있다. 


상세 내역에는 이름, 프로세스 식별자(PID), 상위 프로세스 PID, 스레드 수, 토큰 소유자, 토큰 도메인, 프로세스 생성 시간 및 명령줄 등이 포함된다.


ESET 보고서는 ModPipe의 기본 부품뿐만 아니라 발견된 다운로드 가능한 모듈 3개에 대한 기술적 분석을 제공한다.

 

 

출처
https://www.bleepingcomputer.com/news/security/modpipe-malware-decrypts-oracle-point-of-sale-database-passwords/
https://www.welivesecurity.com/2020/11/12/hungry-data-modpipe-backdoor-hits-pos-software-hospitality-sector/

첨부파일 첨부파일이 없습니다.
태그 ModPipe  Oracle