[2017] ShadowPad 공격

요약

- 2017년 넷사랑 서버 관리 소프트웨어 패키지에 백도어를 삽입해 배포한 공격.

   (넷사랑 : 은행, 미디어 회사, 에너지 회사, 제약 회사, 통신 사업자, 운송, 물류 등 다양한 분야의 회사가 사용 중)

- 최초 탐지 : 최초 탐지까지 최소 17일 소요.

- 악성 코드 정보 

(1)  특징 : 넷사랑이 판매하는 정상 암호 인증서로 정상 서비스로 위장.

(2)  공격 유형 : 서플라이 체인 공격

(3) 공격 방법 : 넷사랑의 업데이트 매커니즘을 하이재킹해 소프트웨어 업데이트에 백도어 삽입. 

                   공격자는 모든 넷사랑 클라이언트에 악성 코드 배포.

(4) 악성 코드 : Xmanager, Xshell 소프트웨어 패키지의 nssock2.dll 라이브러리에 백도어 삽입. 

                   백도어 코드는 8시간 마다 C&C서버에 도메인 이름, 네트워크 정보, 사용자 이름 등의 감염 컴퓨터 정보를 전송

(5) 백도어 실행 방법 : 특정 도메인에 대한 DNS TXT 기록을 이용해 백도어 실행

º 도메인 이름은 현 년도, 월을 기준으로 작성되었으며 DNS 룩업 기능을 수행

º TXT 기록이 작동 시, C&C DNS 서버는 디크립션 키를 전송

º 백도어 실행 시, ShadowPad 백도어는 프로세스를 실행하고 임의의 코드를 다운로드하고 실행할 수 있는 풀 백도어를 가짐. 

   가상 파일 시스템(vitual file system, VFS)를 레지스트리에 보유.

(6) 백도어 탐지 방법 : 아래 도메인에 DNS 요청을 보낸 이력이 있는지 확인 

º ribotqtonut[.]com

º nylalobghyhirgh[.]com

º jkvmdmjyfcvkf[.]com

º bafyvoruzgjitwr[.]com

º xmponmzmxkxkh[.]com

º tczafklirkl[.]com

º notped[.]com

º dnsgogle[.]com

º operatingbox[.]com

º paniesx[.]com

º techniciantext[.]com

- 영향 받는 제품 : 

º Xmanager Enterprise 5.0 Build 1232

º Xmanager 5.0 Build 1045

º Xshell 5.0 Build 1322

º Xftp 5.0 Build 1218

º Xlpd 5.0 Build 1220

- 2017년 8월 4일, 넷사랑은 악성 소프트웨어를 제거하기 위한 업데이트를 배포

탐지룰 존재유무

- IBM 

취약점명: Trojan.Windows.ShadowPad

탐지룰 : ShadowPad_Request_CnC

탐지장비 : IBM Security Network Protection, Proventia Network IPS

- TrendMicro : 

탐지명 : 2308 - Possible DGA – DNS (Response), 1008571, DNS Request To ShadowPad Domain Detection, 29425

TippinPoint 탐지명 : DNS: ShadowPad Checkin

참고자료

Kaspersky 분석 : https://securelist.com/shadowpad-in-corporate-networks/81432/

출처 : https://thehackernews.com/2017/08/netsarang-server-management.html

   https://www.boannews.com/media/view.asp?idx=56381&kind=1&search=title&find=%B3%DD%BB%E7%B6%FB