새로운 Raindrop 맬웨어, SolarWinds 침해와 연결
목차:
SolarWinds 침해에 대한 심층적인 조사에서 이 역사적인 사건과 관련된 네 번째 악성 소프트웨어가 드러났습니다. 보안 전문가들에 따르면, Raindrop이라는 새로운 위협은 Cobalt Strike 다운로더입니다. 이는 공격의 타협 후 단계에서 선택된 여러 목표 네트워크 간의 수평 이동을 강화하기 위해 적용되었습니다.
Raindrop은 이미 주목을 받고 있는 Sunburst, Sunspot, Teardrop과 함께 SolarWinds의 맞춤형 악성 소프트웨어의 수를 네 개로 증가시킵니다. 연구 에 따르면, Raindrop은 Teardrop과 많은 공통점을 가지고 있으며, 사실상 악성 소프트웨어 형제입니다. 그럼에도 불구하고, 배포 방법과 페이로드 구성은 다르므로 Raindrop을 별도의 인스턴스로 구분합니다.
Raindrop 공격
SolarWinds의 역사적인 사건에서 Raindrop의 기능을 설명하기 위해, 우리는 공격 타임라인을 검토해야 합니다. 침입은 적들이 — 아마도 러시아 관련 — Sunspot 악성 소프트웨어로 SolarWinds 내부 네트워크를 감염시킨 2019년 봄에 시작되었습니다. 특히 Sunspot은 SolarWinds Orion 개발 과정에 개입하고 최신 소프트웨어 버전에 Sunburst 코드를 삽입하기 위해 적용되었습니다. 이러한 악성 Orion 릴리지는 공급 업체의 정기 업데이트로 2020년 3월부터 6월까지 제공되었습니다. 그 결과, 18,000여 고객이 Sunburst 백도어에 감염되어, 해커들이 FireEye, Microsoft, 미국 정부 기관과 같은 유명 공급 업체의 네트워크에 침투할 수 있었습니다. 특히, 해커들은 Teardrop 및 Raindrop을 활용하여 네트워크 액세스를 개별적으로 확대했습니다.
Teardrop이 Sunburst 백도어에 의해 직접적으로 푸시된 반면, Raindrop의 감염 방법은 알려져 있지 않습니다. 그럼에도 불구하고, Raindrop은 최소 한 장치가 Sunburst로 손상된 네트워크에서만 나타났습니다. 보안 분석가들은 Raindrop 감염이 Sunburst 활동의 결과로 정의되지 않은 PowerShell 페이로드를 실행한 것일 수 있다고 제안합니다. 그러나 그러한 연결은 확정되지 않았습니다.
설치 후, Raindrop 운영자들은 7-Zip 소스 코드를 사용자 정의하여 악성 소프트웨어를 DLL 파일로 컴파일했습니다. 그러나 7-Zip은 단지 위장으로만 구현되었고, Raindrop 페이로드는 사용자 정의 패커를 통해 설치되었습니다. 이 패커는 회피 목적을 위해 실행을 지연시키고, 페이로드 추출을 위해 스테가노그래피를 적용하도록 설계되었습니다.
Raindrop 분석: Teardrop의 쌍둥이
Teardrop과 마찬가지로 SolarWinds 해커들은 Raindrop을 사용하여 탈취 후 단계 동안 수평 이동 능력을 강화했습니다. 그러나 Raindrop의 경우, 위협 행위자들은 더 선택적이었습니다. 연구자들은 이 변종을 찾은 네 명의 공급 업체만을 식별했습니다. 모든 경우에 Raindrop은 Cobalt Strike 페이로드를 푸시했습니다. 세 경우에 Cobalt Strike Beacon은 HTTPS를 사용하여 커맨드 앤 컨트롤(C2) 서버와 통신했습니다. 그러나 마지막 상황에서는 인터넷 연결이 없는 손상된 PC에서 SMB Named Pipe를 통해 통신하도록 배치되었습니다.
Teardrop과 Raindrop이 거의 동일하지만, 구성에서 약간의 차이가 있다는 점에 유의하십시오. 특히, 차이점에는 페이로드 형식, 임베딩, 암호화, 압축 메커니즘, 그리고 혼란화 및 내보내기 이름이 포함되어 있습니다.
Raindrop 탐지
악성 소프트웨어가 오랜 시간 동안 탐지되지 않고 효과적인 회피 기술을 적용했기 때문에, 연구자들은 SolarWinds 해킹에 영향을 받을 가능성이 있는 모든 조직에게 Raindrop 감염에 대한 추가 스캔을 실행할 것을 권장합니다. SOC Prime 팀은 Raindrop의 사전 탐지를 강화하기 위해 전용 Sigma 규칙을 개발했습니다:
Raindrop 악성 소프트웨어 패턴 [SolarWinds 공격 관련] (via sysmon)
2021년 1월 22일, 우리의 위협 현상금 개발자인 Emir Erdogan 은 Raindrop 탐지에 기여하기 위한 두 번째 규칙을 발표했습니다. 새로운 콘텐츠를 확인하여 안전하십시오!
Raindrop 악성 소프트웨어 (via rundll32)
규칙은 다음 플랫폼에 대한 번역을 포함합니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
전술: 수평 이동
기법: 원격 서비스 (T1021)
우리의 blog articles에서 SolarWinds 손상과 관련된 더 많은 규칙을 확인하십시오 FireEye 침해, SUNBURST 개요, 및 SUPERNOVA 분석입니다.
구독하기 위협 탐지 마켓플레이스에 가입하여 90,000개 이상의 SOC 콘텐츠 라이브러리를 통해 사이버 공격 탐지의 중간 시간을 단축하십시오. 콘텐츠 기반은 공격 수명 주기의 가장 초기 단계에서 가장 경고하는 사이버 위협을 탐지하기 위해 매일 풍부해집니다. 자신만의 맞춤형 콘텐츠를 만들고 싶으신가요? 더 안전한 미래를 위해 우리 위협 자원 커뮤니티에 가입하세요! community for a safer future!
