[Ahnlab] 스피어 피싱 이후 무슨 일이 일어날까? 김수키 침투 시나리오

처음에는 단순한 메일 한 통으로 시작했지만, 이후에는 시스템 전반으로 피해가 확산될 수 있다.
최근 안랩이 분석한 김수키(Kimsuky)의 공격 사례는 이러한 흐름을 잘 보여준다.

 

들어가기에 앞서, 김수키에 대해 간단히 알아보자.

김수키는 북한 배후로 알려진 APT(지능형 지속 공격) 그룹이다. 주로 한국의 연구기관, 정부, 방산 관련 종사자들을 타깃으로 한 정밀 공격을 수행하는 것으로 알려져 있다. 이번에 확인된 사례도 스피어 피싱에서 시작됐다.

* 스피어 피싱이란 불특정 다수에게 무작위로 보내는 피싱이 아니라, 특정 대상을 노리고 맞춤형으로 보내는 피싱이다. 받는 사람이 관심을 가질 만한 내용으로 메일을 꾸민 뒤, 악성 파일을 첨부해 실행을 유도하는 방식이다.

[그림 1] 스피어 피싱 공격 의심 로그

[그림 2] 드로퍼 및 런처 Batch 악성코드

어떤 파일로 속였을까?

공격자는 .scr 확장자 파일이나 7Zip SFX 형태의 드로퍼를 사용했다. 파일명은 "MLOps를 이용한 EMS용 복합센서 관리.scr" 처럼 논문이나 업무 자료처럼 보이도록 꾸몄다.

* SCR 파일은 원래는 화면 보호기 파일이지만, 윈도우에서는 실행 파일처럼 동작할 수 있다. 그래서 공격자들이 정상 문서처럼 위장할 때 자주 악용한다.

* 드로퍼(Dropper)는 악성코드 본체를 직접 퍼뜨리는 대신, 먼저 설치용 프로그램처럼 보이는 파일을 실행하게 만든 뒤 그 안에서 실제 악성코드를 설치하는 방식이다.

[그림 3] HelloLoader의 전송 패킷

실행하면 어떻게 될까?

사용자가 파일을 실행하면 내부에서 attach_install.bat, install.exe 같은 파일이 차례로 실행된다. 이후 최종적으로 HelloLoader라는 악성코드가 메모리에서 실행된다. 여기에 더해 Run 레지스트리에 실행 명령을 등록해, 컴퓨터를 껐다 켜도 다시 실행되도록 만든다.

즉, 지속성을 확보하는 방식이다.

* Run 레지스트리는 윈도우가 시작될 때 자동으로 실행할 프로그램을 저장하는 영역이다. 공격자가 여기에 자신을 등록하면 재부팅 후에도 다시 실행될 수 있다.

* 지속성(Persistence)이란 시스템이 껐다 켜져도 공격자가 계속 남아 있도록 만드는 방식을 말한다.

 

HelloLoader는 어떻게 동작할까?

HelloLoader는 이름 그대로 추가 악성코드를 내려받아 실행하는 역할을 한다. 공격자가 운영하는 C2 서버에서 파일이나 명령을 받아온 뒤, 이를 풀어서 메모리에서 바로 실행한다.

이 과정에서 RC4라는 방식으로 데이터를 복호화한 뒤, hello()라는 함수를 호출해 실행하는 것으로 확인됐다. 파일 형태로 눈에 띄게 남기지 않고 메모리에서 바로 동작하기 때문에, 단순히 파일만 검사하는 방식으로는 놓칠 수 있다.

* RC4는 데이터를 암호화하거나 복호화할 때 사용하는 방식 중 하나다.

 

HelloLoader의 특징 중 하나는 감염된 시스템을 구분하는 방식이다.
관리자 권한이면 UID 앞에 A-, 일반 사용자 권한이면 U-를 붙인다. 그리고 이 값을 Base64로 바꾼 뒤 X-Browser-Validation 헤더에 넣어 C2 서버로 전송한다. 겉으로는 정상 웹 통신처럼 보이게 하려는 의도로 볼 수 있다.

또한 중복 실행을 막기 위해 Mutex를 만들고, 아래와 같은 명령을 Run 레지스트리에 등록해 계속 실행되도록 한다.

* Mutex는 같은 악성코드가 한 시스템에서 중복 실행되지 않도록 확인하는 값이다.

rundll32.exe C:\ProgramData\tmp\install.dat load

 

[그림 4] Srun 악성코드

초기 침투 이후에는 무슨 일이 일어났을까?

초기 침투가 끝난 뒤에는 여러 악성 행위가 이어졌다.

 

키로거가 함께 사용된 정황도 확인됐다. 이 악성코드는 사용자가 누른 키, 복사한 내용, 화면 캡처를 모아서 C:\ProgramData\tmp\ 경로에 저장한다.
즉, 사용자가 무엇을 입력했고 어떤 화면을 보고 있었는지까지 공격자가 확인할 수 있다는 뜻이다.

 

인젝터는 전달받은 페이로드를 RC4로 복호화한 뒤 다른 프로세스에 주입해 실행한다. 정상 프로세스에 악성 행위를 숨기는 방식이기 때문에, 단순 파일 기반 탐지만으로는 식별이 어려울 수 있다.

 

Srun은 지정된 세션에서 명령을 실행하는 런처형 악성코드다. 공격자가 원하는 세션에서 추가 명령을 수행할 수 있도록 해, 감염 이후의 행위를 이어가는 데 활용된다.

 

[그림 5] SAM을 덤프하는 DWAgent

여기에 더해 DWAgent라는 원격 관리 도구(RMM)도 사용된 정황이 확인됐다. HelloLoader 설치 이후 DWAgent를 통해 SAM 덤프 명령이 실행됐는데, SAM은 윈도우의 로컬 계정 정보와 비밀번호 해시 등이 저장된 영역이다. 따라서 이를 덤프했다는 것은 로컬 계정 인증 정보를 확보하려는 시도로 볼 수 있다.

* RMM(Remote Monitoring and Management)은 원격으로 시스템을 관리하는 도구다. 원래는 정상 관리 목적이지만 공격자에게 악용될 수도 있다.

 

이와 함께 Mimikatz, Procdump, RDP Wrapper 등이 사용됐으며, 원격 접속을 위한 RDP 활성화 명령도 확인됐다.

* Mimikatz는 윈도우 메모리에서 계정 정보(패스워드, 해시, 티켓 등)를 추출하는 도구다. 공격자들이 내부 횡이동(lateral movement)에 자주 활용한다.

 

예를 들어 공격자는 다음과 같은 명령으로 lsass.exe 프로세스를 덤프해 자격 증명 정보를 확보하려 했다.

procdump64.exe -r -ma lsass.exe 1.dmp

lsass.exe 프로세스를 덤프해 메모리에 존재하는 자격 증명 정보를 확보하려 했고,

 

reg add "hklm\system\currentcontrolset\control\terminal server" /v 
fDenyTSConnections /t REG_DWORD /d 0 /f

RDP(원격 데스크톱)를 강제로 활성화한 후, 방화벽에 3389 포트를 허용하는 규칙도 함께 추가했다.

즉, 감염 이후 원격 접속까지 열어두고 장기적으로 내부에 머무르려 했다는 것이다.

 

왜 이게 위험할까?

이번 공격이 더 위험한 이유는, 악성코드 감염 이후 정보 탈취와 내부 침투로까지 이어질 수 있기 때문이다.

계정 정보가 탈취되면 그걸로 내부 시스템에 접근할 수 있고, 내부 접근이 가능해지면 추가 공격의 발판이 된다. RDP까지 열려 있으면 공격자는 언제든 다시 들어올 수 있다.

특히 기업 환경에서는 계정 하나가 뚫리는 순간, 연결된 서버와 시스템 전반으로 피해가 확산될 수 있다.

 

어떻게 대응할까?

안랩에선 몇 가지 점검 포인트도 함께 제시했다.

먼저 Run 레지스트리를 확인해 MSEdgeInstaller, ChromeUpdate 같은 이름으로 수상한 항목이 등록돼 있는지 살펴볼 필요가 있다.

메일을 확인할 때는 발신자 이름만 보지 말고, 실제 도메인까지 함께 확인하는 것이 중요하다. 이름이 익숙하더라도 도메인이 다르면 한 번쯤 의심해볼 필요가 있다.

또한 .exe, .vbs, .js, .lnk, .scr 같은 실행형 확장자가 포함된 첨부파일은 무심코 열지 않도록 주의해야 한다.

만약 의심되는 파일을 실행한 뒤 평소와 다른 이상 징후가 보인다면, 즉시 비밀번호를 변경하고 보안 담당 부서에 알리는 것이 좋다. 대응이 빠를수록 피해를 줄일 수 있다.

 

이번 사례는 스피어 피싱이 단순히 메일 한 통의 문제가 아니라는 점을 잘 보여준다.
사용자가 한 번 실행한 파일이 이후 악성코드 설치, 정보 수집, 계정 탈취, 원격 접속 활성화까지 이어질 수 있기 때문이다. 

결국 중요한 것은 수상한 메일과 첨부파일을 의심하고, 실행 이후 이상 징후를 빠르게 알아차려 초기에 대응하는 것이다.

---

참고 자료

https://www.ahnlab.com/ko/contents/content-center/36123

스피어 피싱 이후 무슨 일이 일어날까? 김수키 침투 시나리오