터널스네이크 작전: 모리야 루트킷 감지

카스퍼스키 연구원들은 수년간 중국과 연계된 APT 공격자가 감염된 인스턴스에 백도어를 설치하기 위해 은밀하게 활용한 이전에 알려지지 않은 Windows 루트킷을 발견했습니다. ‘모리야’로 명명된 이 루트킷은 공격자에게 네트워크 트래픽을 캡처하고 보안 제품의 탐지를 피하면서 손상된 장치에서 명령을 은밀하게 실행할 수 있는 능력을 제공합니다. 연구원들은 모리야가 아시아 및 아프리카 전역의 지역 외교 자산을 대상으로 한 사이버 스파이 활동인 장기 지속적인 ‘Operation TunnelSnake’의 악성 툴셋을 보완한다고 믿습니다.

모리야 루트킷

자세한 조사 에 따르면, Kaspersky에 따르면 모리야는 조직의 공개 서버에서 수동 백도어를 설치할 수 있는 정교한 악성 도구입니다. 이러한 백도어는 공격자의 명령 및 제어(C&C) 서버와 은밀한 연결을 설정하여 손상된 인스턴스를 통해 이동하는 모든 트래픽을 모니터링하고 악의적인 목적으로 지정된 패킷을 필터링합니다. 특히 모리야는 서버 연결을 설정하지 않으며 대신 들어오는 트래픽을 기다립니다. 또한 루트킷은 Windows 드라이버의 도움으로 커널 모드에서 트래픽을 검사하고 필요한 패킷을 은밀하게 떨어뜨립니다. 이 접근법은 공격자들이 은밀한 채널을 통해 쉘 명령을 실행하면서 손상된 네트워크 내에서 몇 개월 동안 눈에 띄지 않도록 해줍니다.

루트킷 구조는 커널 모드 드라이버와 배포 및 제어를 담당하는 사용자 모드 에이전트로 구성됩니다. 첫 번째 작업을 수행하기 위해 에이전트는 드라이버 서명 강제 메커니즘을 우회하고 서명되지 않은 모리야 드라이버를 커널 메모리 공간에 로드하기 위해 VirtualBox 드라이버를 악용하는 일반적인 기술을 활용합니다. 또한 이 구성 요소는 C&C 서버로부터의 명령을 필터링하기 위해 고유한 값을 생성하여 은밀한 채널을 통과하는 모든 악성 패킷에 추가합니다. 추가적으로, 모리야는 명시적인 채널을 사용하여 역 쉘 세션을 설정할 수 있습니다.

커널 모드 드라이버 구성 요소는 Windows 필터링 플랫폼(WFP)를 활용하여 은밀한 통신을 강화합니다. 특히 WFP는 악성 드라이버 코드가 관심 있는 패킷을 필터링하고 Windows TCP/IP 스택을 통해 그 처리를 관리할 수 있는 커널 공간 API를 생성합니다. 드라이버는 필터링 엔진을 사용하여 모리야 관련 트래픽을 가져오고 패킷을 숨기기 위해 차단합니다. 동시에 관련 없는 트래픽은 시스템의 보안 경보를 피하기 위해 일반적으로 처리됩니다.

Operation TunnelSnake

모리야 루트킷은 Kaspersky에 의해 ‘Operation TunnelSnake’라는 명칭이 붙여진 장기적인 사이버 스파이 활동을 지원합니다. 루트킷이 2019-2020년에 손상된 네트워크에서 식별되었지만, 전문가들은 위협 행위자들이 2018년부터 활동했을 가능성이 있다고 믿습니다. 이 캠페인은 매우 타겟팅되어 있으며, 아프리카와 아시아의 주요 외교 기관 10개만을 대상으로 합니다.

연구원들에 따르면, 알려지지 않은 APT 그룹이 취약한 웹 서버를 악용해 초기 접근을 확보하고, 네트워크에 모리야와 다른 사후 익스플로잇 도구를 함께 배치한 것으로 나타났습니다. 도구 세트에는 China Chopper 웹 셸, BOUNCER, TRAN, Termite, Earthworm 및 주로 네트워크 발견, 횡방향 이동, 페이로드 배치를 위해 사용되는 다른 정교한 악성 코드 샘플이 포함되어 있습니다. 대부분의 도구는 맞춤 제작되었지만, 연구원들은 이전에 중국어 사용 APT 행위자들이 사용했던 몇 가지 오픈 소스 악성 코드를 발견했습니다. 이 사실은 공격자의 잠재적 원산지를 가리키지만, 구체적인 식별은 현재로서는 알려지지 않았습니다.

주목할 점은 모리야가 2018년 동안 TunnelSnake와 관련 없는 공격에서 관찰된 오래된 IISSpy 루트킷의 후계자일 수 있다는 것입니다. 게다가, 카스퍼스키 전문가들은 모리야를 주로 바이러스 백신 보호를 우회하는 데 사용되는 ProcessKiller 멀웨어와 연결시킵니다.

모리야 루트킷 탐지

조직 네트워크 내에서 발생할 수 있는 악의적인 활동을 탐지하기 위해, 당사의 생산적인 Threat Bounty 개발자 Osman Demir: https://tdm.socprime.com/tdm/info/ihN3d0opmHAn/#sigma

이 릴리스한 커뮤니티 Sigma 규칙을 다운로드할 수 있습니다.

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye

MITRE ATT&CK:

전술: 지속성, 방어 우회

기술: 새로운 서비스 (T1050), 루트킷 (T1014)

무료로 Threat Detection Marketplace에 가입하여 산업 최초의 SOC 콘텐츠 라이브러리와 함께 사이버 방어 역량을 향상시키세요. 이 라이브러리는 100K+ 쿼리, 파서, SOC 준비 대시보드, YARA 및 Snort 규칙, 머신 러닝 모델, CVE 및 MITRE ATT&CK® 프레임워크에 맵핑된 Incident Response 플레이북을 집계합니다. 위협 사냥 활동에 참여하고 Sigma 규칙을 직접 만들고 싶으신가요? 더 안전한 미래를 위한 Threat Bounty Program에 참여하세요!

플랫폼으로 가기 Threat Bounty 참여