Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향SolarWinds 사이버 공격 분석에서 발견된 새로운 SUPERNOVA 백도어
작성일 2020-12-22 조회 199

 

 

보안 연구원들은 SolarWinds Orion의 공급망 공격의 아티팩트를 분석하는 동안, 두 번째 공격에서 나온 가능성이 있는 또 다른 백도어를 발견했다.

 

SUPERNOVA라는 이름의 맬웨어는 Orion 네트워크와 애플리케이션 모니터링 플랫폼의 코드에 심어진 웹 쉘로, 공격자가 트로이 목마 버전의 소프트웨어를 실행하는 컴퓨터에서 임의 코드를 실행할 수 있도록 했다.

 


또 다른 트로이 목마 버전의 Orion 구성 요소

 

웹 쉘은 SolarWinds의 Orion 소프트웨어에 있는 합법적인 .NET 라이브러리(app_web_logoimagehandler.ashx.b6031896.dll)의 트로이 목마 버전의 변종으로, 자동화된 방어 메커니즘을 피할 수 있도록 수정되었다.

 

Orion 소프트웨어는 DLL을 사용하여 HTTP API를 노출하므로 호스트가 특정 GIF 이미지를 요청할 때 다른 하위 시스템에서 응답할 수 있다.

 

지난주 기술 보고서에서, Palo Alto Networks의 선임 보안 연구원인 Matt Tennis는 해당 맬웨어가 합법적인 DLL에서 구현된 코드가 무해하고 상대적으로 높은 품질이기 때문에 분석에 실패할 가능성이 있다고 말했다.

 

분석 결과, 합법적인 SolarWinds 파일에 명령 및 제어(C2) 인프라에서 신호를 수신하기 위해 4개의 새 매개 변수를 추가한 것으로 나타났다.

 

해당 맬웨어는 매개 변수를 메모리의 .NET 어셈블리로 바로 컴파일하여 손상된 장치의 디스크에 아티팩트를 남기지 않는 DynamicRun이라는 하나의 메서드만 포함한다.

 

 

[그림1. 추가된 4개의 매개 변수]

 

 

이러한 방식으로 공격자는 감염된 장치에 임의 코드를 전송하고 네트워크에 높은 권한과 가시성을 가진 사용자 컨텍스트에서 실행할 수 있다.

 

현재 맬웨어 샘플은 69개 바이러스 백신 엔진 중 55개가 탐지했다.

 

SUPERNOVA가 Orion 소프트웨어에 얼마나 오래 존재했는지는 분명하지 않지만, Intezer의 악맬웨어 분석 시스템은 2020년 3월 24일의 컴파일 타임 스탬프를 보여준다.

 


아마도 두번째 해킹 그룹일 것

조사 결과에 따르면, SUPERNOVA는 웹 쉘을 통해 새로운 수준으로 타협한 고급의 해킹 그룹의 특징을 지니고 있다.

 

".NET 웹쉘은 매우 일반적이지만 대부분의 공개 연구 샘플은 명령 및 제어(C2) 매개 변수를 수집하여 비교적 표면 수준의 악용을 수행한다."라고 Tennis는 말했다.

 

연구원은 유효한 .NET 프로그램을 매개 변수로 사용하고 메모리 내 코드를 실행하면 초기 C2 요청 외에 추가 네트워크 콜백이 필요하지 않으므로 SUPERNOVA가 드물게 발생한다고 덧붙였다.

 

대부분의 웹 쉘은 런타임 환경의 컨텍스트에서 또는 CMD, PowerShell 및 Bash와 같은 하위 셸 또는 프로세스를 호출하여 페이로드를 실행한다.

 

Microsoft는 SUPERNOVA가 사이버 보안 회사인 FireEye 및 미국 정부의 6개 이상의 단체들을 침해했던 것과는 다른 공격자들의 소행일 가능성이 높다고 생각하고 있다.

 

"전체 SolarWinds 침해에 대한 조사로 인해 SolarWinds Orion 제품에도 영향을 미치는 추가 맬웨어가 발견되었지만 해당 침해와 관련이 없는 것으로 확인되며 다른 공격자에 의해 사용되는 것으로 확인되었다." - Microsoft

 

이 이론에 대한 한 가지 주장은, 처음에 발견된 SolarWinds.Orion.Core.BusinessLayer.Dll 라이브러리를 트로이 목마로 만든 SunBurst/Solarigate 맬웨어와 달리, SUPERNOVA는 디지털 서명이 없다는 점이다. 

 

 

 

출처

https://www.bleepingcomputer.com/news/security/new-supernova-backdoor-found-in-solarwinds-cyberattack-analysis/

첨부파일 첨부파일이 없습니다.
태그 SUPERNOVA  SolarWinds Orion  웹 쉘  임의 코드 실행