라자루스 그룹 DLL Side-Loading 기법 이용 (mi.dll)

APT 2年前 (2022) admin

985 0 0

ASEC 분석팀은 라자루스 공격 그룹을 추적하던 중 공격자가 초기 침투 단계에서 다음 공격 단계 달성을 위해 정상 응용 프로그램을 이용한 DLL Side-Loading 공격 기법(T1574.002)을 사용하는 정황을 포착했다.

Hijack Execution Flow: DLL Side-Loading, Sub-technique T1574.002 – Enterprise | MITRE ATT&CK®

APT19 launched an HTTP malware variant and a Port 22 malware variant using a legitimate executable that loaded the malicious DLL.[2]

DLL Side-Loading 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행 될 때 악성 DLL이 함께 동작하도록 하는 기법이다. 즉, 악성 DLL의 이름을 정상 프로그램이 참조하는 다른 경로에 위치한 정상 DLL 파일명과 동일하게 변경하여 악성 DLL이 먼저 실행 되도록 하는 악성코드 실행 기법이다.

라자루스 그룹이 악용한 정상 프로세스 목록은 다음과 같다. wsmprovhost.exe, dfrgui.exe 파일 모두 MS 정상 파일이다.

wsmprovhost.exe (Host process for WinRM plug-ins)
dfrgui.exe (Microsoft Drive Optimizer)

자사 ASD(AhnLab Smart Defense) 인프라를 통해 확인한 결과, 공격자는 오래된 버전의 이니텍 프로세스(inisafecrosswebexsvc.exe)를 통해 초기 침투에 사용되는 백도어 악성코드(scskapplink.dll)를 유포하였다.

라자루스 그룹 DLL Side-Loading 기법 이용 (mi.dll) — [그림 1] 초기 침투 단계 로그

이후 실행된 백도어 악성코드는 wsmprovhost.exe를 생성하여 DLL Side-Loading 추가 페이로드를 실행한 것으로 추정된다. DLL Side-Loading 기법 사용 추정에 대한 근거는 피해 PC에서 wsmprovhost.exe가 생성된 폴더 경로에 “mi.dll”이라고 하는 악성 DLL이 추가로 발견 되었기 때문이다. 다음은 wsmprovhost.exe와 같은 경로에 존재했던 mi.dll의 파일 경로 정보이다.

C:\ProgramData\Microsoft\IdentityCRL\mi.dll
C:\ProgramData\Microsoft\IdentityCRL\wsmprovhost.exe
C:\ProgramData\USOShared\mi.dll
C:\ProgramData\USOShared\wsmprovhost.exe
C:\ProgramData\midassoft\mi.dll
C:\ProgramData\midassoft\wsmprovhost.exe

mi.dll은 아래 [그림 3]과 같이 wsmprovhost.exe에서 참조하는 DLL 이다. 따라서 wsmprovhost.exe 실행 시 해당 프로세스 메모리에는 mi.dll이 로드된다.

MS 정상 파일인 mi.dll 은 “c:\windows\system32” 경로에 존재하지만, 이번 공격에 사용된 mi.dll은 윈도우 시스템 경로가 아닌 다른 특정 경로에 wsmprovhost.exe와 함께 확인되었으며 공격자는 github 오픈소스인 BugTrap 프로젝트 소스코드에 악성코드를 포함하여 mi.dll 이라는 파일명으로 유포하였다.

wsmprovhost.exe의 프로세스 메모리 에서 실행되는 악성 mi.dll은 내부적으로 AES-128 알고리즘으로 암호화된 추가 바이너리를 포함하고 있으며 실행 시점에 인자로 전달받은 복호화 키로 해당 바이너리를 복호화한 뒤 메모리 상에서 추가 악성코드를 실행한다.

라자루스 그룹은 wsmprovhost.exe 뿐만 아니라 dfrgui.exe와 같은 다른 윈도우 정상 프로그램을 통해서도 악성 코드를 실행한 것으로 확인되었다. 이렇듯 정상 프로세스 메모리 영역에서 실행되는 DLL을 통해 악성 행위를 수행하는 것은 보안 제품의 행위 탐지를 회피하기 위한 것으로 추정된다.

최근 라자루스 그룹은 공격 목표 달성을 위해 보안 제품 무력화를 위한 루트킷 사용 뿐만 아니라 이번 보고서에서 소개한 정상 응용 프로그램을 통해 악성 행위를 하는 등 다양한 공격 방식을 사용하고 있다. 안랩에서는 해당 그룹의 공격 방식을 면밀히 주시 및 대응하고 있으며 현재 해당 유형에 대해 다음과 같이 진단하고 있다.

[IOC]
[파일명,MD5,진단명)
– SCSKAppLink.dll (0cc73994988e8dce2a2eeab7bd410fad) Trojan/Win.Lazardoor.C5266363 (2022.09.30.03)
– mi.dll (54b0454163b25a38368e518e1687de5b) – Trojan/Win.LazarLoader.C5226517 (2022.08.22.02)
– dfgui.exe (9caebeda61018e86a29c291225f0319f) – MS 정상 파일
– wsmprovhost.exe (ff46decb93c6d676a37e87de57bae196) – MS 정상 파일

[행위 진단]
– InitialAccess/MDP.Event.M4242 (2022.09.21.00)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.