보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

[알아보잡 Series] 국내 타깃형 APT공격그룹 – 김수키(Kimsuky)

2020.03.31

45,403

 


 

 

 

01. 개요

 

‘알아보잡 시리즈’의 세 번째 주자는 국내타깃으로 정보수집 및 사회적 혼란을 목적으로 공격을 수행하는 해킹그룹 ‘김수키(Kimsuky)’에 대해서 살펴보고자 한다. 해킹그룹 ‘김수키(Kimsuky)’의 공격배후는 북한으로 추정하고 있으며 국내에는 1만 799명의 개인정보와 CANDU 제어 프로그램 자료, 원전설계도 등이 유출된 2014년 한수원 해킹사고로 널리 알려져 있는 공격그룹이다. 사회공학기법의 공격방식을 사용하여 다양한 국내•외 사회적 이슈와 특히 북한 관련 이슈들을 이용하여 활발한 공격을 진행하고 있다.

 

최근에는 코로나19 관련 문서로 사칭한 ‘워드 매크로 악성코드’를 첨부하여 ‘코로나 바이러스 관련 이사장님 지시사항’이라는 제목으로 악성메일을 유포한바 있다. 작년까지는 주로 한글 문서형 악성코드를 이용한 공격 양상을 보였으나 최근에는 ‘Windows 실행 파일을 이용한 공격 벡터’가 발견되었다. 해당 악성코드는 문서형 악성코드로 위장하여 정상문서파일이 실행되고 악성행위를 수행하는 등 치밀한 공격수법을 사용하고 있다.

 

따라서 알아보잡 세 번 째 시리즈에서는 기존 공격방식과 다른 양상을 보이고 있는 해킹그룹 ‘김수키(Kimsuky)’ 의 공격샘플로 추정되는 5종에 대해서 TTP를 분석해보고자 한다.

 


[표 1] 2020년 상반기 Analysis Report에서 다룰 공격그룹의 목록

 

02. MITRE ATT&CK Matrix

 

해킹그룹 ‘김수키(Kimsuky)’에서 사용하는 공격패턴을 분석하기 위해 MITRE에서 제공하고 있는 ATT&CK Matrix를 활용하여 기존의 ‘김수키’ 그룹에 사용되는 TTP의 매핑표과 공격형태를 비교해 보았다. ATT&CK Matrix에 개제되어 있는 ‘김수키’의 공격벡터는 총 23개(중복제외 19개)이며 본 보고서에서 분석한 샘플에서 사용된 공격벡터 중 신규 5개와 기존 공격벡터와 중복되는 5개를 포함하면 총 28개의 공격벡터를 확인할 수 있다.

 

노란색 블록 처리된 부분은 기존에 MITRE ATT&CK에서 제공하고 있는 '김수키' 그룹이 사용하는 TTP에 대한 내용과 이번 샘플에서 발견된 TTP가 동일 한 부분을, 회색 블록은 새로 추가된 부분이다.

 


[표 2] 해킹그룹 김수키에서 사용되는 TTP의 MITRE ATT&CK Matrix 매핑표

 

03. 김수키(Kimsuky)

 


본 보고서에서 분석되는 '김수키' 공격그룹의 추정 샘플 5종은 모두 실행파일(PE)로 되어있다. 이 실행파일들은 실행 시 미끼파일과 추가 악성코드를 드롭하는 특징을 가지고 있다. 따라서 파일 실행 전 상태와 추가파일에 대한 분석을 STEP1과 STEP2로 나누어 진행했다. 

 



[표 3] 분석에 사용된 샘플 IOC

 

04. STEP 1 - 실행파일

 

STEP1에서는 해당 드로퍼의 파일 정보, 드롭 파일 위치, 파일 드랍 방법 등에 대한 드로퍼 자체의 특징에 대해 정리했다. 

 

1) Step 1-1. 파일 정보(File Information)

 

수집된 악성코드에 대한 특성을 다음과 같이 정리해보았다. 아래의 표와 같이 다섯 종의 파일 모두 문서 실행파일의 아이콘은 미끼 파일의 실제 아이콘과 동일하다. 확장자와 실행 파일의 확장자를 함께 가지고 있다. 실행파일 확장자 앞에는 공백문자가 다량으로 적혀있다. 일부의 파일에는 동일한 PDB가 존재하였다. 

 


[표 4] 분석에 사용된 샘플의 파일 정보

 

2) Step 1-2. 드로퍼(Dropper)

 

최근 유포되고 있는 형태의 파일들은 모두 문서파일을 사칭한 실행파일 드로퍼(Dropper) 형태를 가지고 있다. 특정 위치에 배치파일을 생성하고 최종 악성 행위를 하는 파일을 드롭하고 실행한다. 

 

 

[그림 1] 생성되는 배치파일(rns.bat)

 

 

[표 5] 추가 생성파일 경로 및 파일 위치

 

 

코드로 확인된 드로퍼의 행위는 아래의 표와 같다. 배치파일은 실행된 드로퍼 파일을 삭제하는데 사용된다.

 

 

[표 6] 드로퍼로 사용된 샘플들의 행위 루틴 

05. STEP 2 - 추가파일

 

 

드로퍼를 통해 생성된 미끼 파일(정상 문서 파일)은 실행되고 드롭된 추가 파일은 악성 행위를 위해 은밀하게 실행된다. 따라서 감염된 사용자에게 실제로 보이는 행위는 미끼 파일이 정상적으로 열리는 것 뿐이다. 다섯 개의 샘플 모두 악성 행위를 하는 DLL을 드롭하고 explorer.exe에 인젝션 시켜 실행했다. 6개의 DLL 모두 임의의 C2와 통신하며 DLL 내부의 스트링은 특정 알고리즘으로 암호화되어있다. 

 

 

[표 7] 추가 악성행위를 하는 DLL 파일 정보


 

추가 파일은 레지스트리의 다음과 같은 위치에 위치하며 재 부팅 시 자동으로 동작하게 된다. 

 

 

[표 8] 레지스트리에 저장된 추가 파일 정보

 

06. 참고자료

 

[1] https://app.any.run/tasks/96066539-89df-4429-9102-bc8aeaa6c91b/

[2] https://app.any.run/tasks/51a36449-e55e-430d-9b8f-2f6579c2587e/

[3] https://app.any.run/tasks/32129f69-1656-4ec7-8c9b-d4bf60251dc6/

[4] https://app.any.run/tasks/b9c49b30-3b6d-46db-855b-2b6bc2d3ee43/

[5] https://app.any.run/tasks/d0d62d9d-3b55-44d7-aa02-9ea966a5a751/

[6] https://attack.mitre.org/matrices/enterprise/windows/

[7] https://attack.mitre.org/groups/G0094/