FoggyWeb 백도어 탐지

마이크로소프트는 2021년 봄부터 악명 높은 NOBELIUM APT 그룹이 활용한 또 다른 악성코드를 최근에 발견했습니다. FoggyWeb이라 불리는 이 새로운 위협은 AD FS(Active Directory Federation Services) 서버에서 정보를 유출할 수 있는 사후 착취 백도어로 작동합니다. 이 악성코드는 여러 조직에 대한 표적 공격에 사용되었으며 수개월 동안 눈에 띄지 않고 활동해왔습니다.

NOBELIUM APT

NOBELIUM은 사이버 위협 분야에서 비교적 새로운 플레이어로, APT의 활동이 처음으로 포착된 시기는 2019년 말로 거슬러 올라갑니다. 그 이후로 NOBELIUM은 주문 제작된 악성코드 샘플을 활용하여 획기적인 공격을 수행하는 고도로 정교한 해킹 단체로 입지를 다졌습니다.

마이크로소프트에 따르면 NOBELIUM APT는 SolarWinds 공급망 공격 and 대상 스피어 피싱 캠페인 을 글로벌 주요 정부 기관 및 NGO에 대해 수행했습니다. 또한 이 그룹은 Sunburst, Sunspot, Teardrop 등 악명 높은 악성코드 샘플을 개발했습니다. Goldmax, Sibot, 그리고 GoldFinder.

NOBELIUM은 악명 높은 러시아 국가 후원 APT29 그룹(Cozy Bear, The Dukes)의 활발한 부서로, 러시아 외무정보국(SVR)을 대신하여 활동하는 것으로 믿어지고 있습니다.

FoggyWeb이란?

NOBELIUM 도구 모음의 다른 샘플과 유사하게, FoggyWeb은 손상된 AD FS 서버에서 관리자 수준의 액세스를 얻기 위해 적용되는 고도로 타겟화된 수동 백도어입니다. 이는 보통 원활한 사용자 인증을 위해 사용되는 SAML(Security Assertion Markup Language) 토큰을 악용하여 AD FS 자원에 지속적인 접근을 얻을 수 있습니다. SAML 표준을 악용하는 것은 NOBELIUM APT에게 새로운 것이 아닙니다. 이전에 이 그룹은 Golden SAML 공격 방식을 활용하여 SolarWinds 해킹과 관련된 타협을 확장하는 것으로 알려졌습니다.

공격자는 AD FS 서버에 초기 접근을 얻게 되면, FoggyWeb을 배포하여 구성 데이터베이스, 암호 해독된 토큰 서명 인증서 및 토큰 암호 해독 인증서를 획득합니다. 이 고감도 데이터는 해커들이 조직 내 인프라에서 직원들의 클라우드 계정을 침해할 수 있게 합니다.

데이터 유출 기능 외에도, FoggyWeb은 공격자의 C&C(Command-and-Control) 서버로부터 받은 추가 악성 코드를 실행할 수 있습니다. 마이크로소프트 위협 정보 센터(MSTIC) 의 분석에 따르면 그렇습니다.

FoggyWeb Backdoor 탐지

인프라에 대한 가능한 공격을 탐지하고 FoggyWeb 감염을 방지하려면, 생산적인 위협 바운티 공헌자인 Nattatorn Chuensangarun. 

이 공유한 커뮤니티 Sigma 규칙을 다운로드할 수 있습니다.

이 규칙은 조직 내 AD FS 서버를 모니터링하고 NOBELIUM 악성 활동과 관련된 특정 파일의 존재를 감지합니다.

탐지는 Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix과 같은 다음 SIEM SECURITY ANALYTICS 플랫폼에 대한 번역이 되어 있습니다.

이 규칙은 MITRE ATT&CK 방법론에 맵핑되어 초기 접근 전술과 Exploit Public-Facing Applications 기술(t1190), 그리고 인증 정보 접근 전술과 웹 자격 증명 위조 기술(t1606)의 SAML 토큰 하위 기술(t1606.002)에 대응합니다.

또한 조직 인프라에서 FoggyWeb 백도어 존재를 감지하려면, Florian Roth.

가 개발한 커뮤니티 Sigma 행동 기반 규칙을 다운로드할 수 있습니다.

이 규칙은 FoggyWeb 백도어 로더에 의해 사용되는 DLL 이미지 로드 활동을 감지합니다.

탐지는 Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys와 같은 다음 SIEM SECURITY ANALYTICS 플랫폼에 대한 번역이 되어 있습니다.

FoggyWeb이 회사 자산 내에서 식별된 경우, 마이크로소프트의 최선의 관행에 따라 제공된 완화 단계를 따를 수 있습니다. 권고.

SOC Prime 플랫폼을 탐험하여 사이버 보안 경험을 한 단계 끌어올리세요. 20개 이상의 지원되는 SIEM XDR 기술 내에서 최신 위협을 즉시 사냥하고 악용된 취약점과 MITRE ATT&CK 매트릭스의 컨텍스트에서 모든 최신 공격에 대한 인식을 높이며 글로벌 사이버 보안 커뮤니티로부터 익명 피드백을 받으면서 보안 운영을 간소화하세요. 여러분만의 탐지 콘텐츠를 제작하고 공헌에 대한 보상을 받고 싶습니까? 우리의 Threat Bounty 프로그램에 참여하세요!

플랫폼으로 가기 Threat Bounty 참여하기