GitHub에서 호스팅되는 악성코드, Imgur 이미지에서 Cobalt Strike 페이로드 계산해 내

 

 

GitHub-hosted malware calculates Cobalt Strike payload from Imgur pic

 

GitHub에서 PowerShell 스크립트를 다운로드 하기 위해 매크로를 포함한 워드 파일을 사용하는 새로운 악성코드가 발견되었습니다.

 

이 PowerShell 스크립트는 윈도우 시스템에서 Cobalt Strike 스크립트를 디코딩하기 위해 이미지 호스팅 서비스인 Imgur에서 정식 이미지 파일을 다운로드합니다.

 

여러 연구원들이 이 변종을 정부의 지원을 받는 APT 그룹인 MuddyWater와 연결시켰습니다. 이 그룹은 지난 2017년 중동의 기관을 주로 공격할 당시 처음으로 목격되었습니다.

 

Word 매크로, GitHub에 호스팅되는 PowerShell 스크립트 실행해

 

연구원인 Arkbird는 여러 단계를 거쳐 페이로드를 배포하는 새로운 매크로 기반 악성코드에 대한 자세한 정보를 공유했습니다.

 

이 악성코드는 구버전 Microsoft Word (*.doc) 파일 내에 포함된 매크로의 형태로 전달됩니다.

 

Bleeping Computer의 테스트 결과, 이 악성코드는 워드 문서가 실행되면 내장된 매크로를 실행합니다. 매크로는 powershell.exe를 실행하고 GitHub에서 호스팅되는 PowerShell 스크립트의 위치를 제공합니다.

 

 

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/github-hosted-malware-calculates-cobalt-strike-payload-from-imgur-pic/>

<악성 워드 문서에 내장된 매크로 스크립트> 

 

 

이 한 줄짜리 PowerShell 스크립트는 이미지 호스팅 서비스인 Imgur에서 실제 PNG 파일을 다운로드하는 명령이 포함되어 있습니다.

 

이 이미지 자체는 무해하지만, PowerShell 스크립트는 이미지의 픽셀 값을 사용하여 다음 단계 페이로드를 계산해냅니다.

 

 

<이미지 출처 : Imgur>

 

 

이미지 등 평범한 파일에 코드, 비밀 정보, 악성 페이로드 등을 숨기는 기술을 ‘스테가노그라피’라고 합니다.

 

Invoke-PSImage와 같은 툴을 통해 PowerShell 스크립트를 PNG 이미지 내 픽셀에 인코딩하고, 페이로드를 실행하기 위한 한 줄짜리 명령을 생성할 수 있습니다.

 

페이로드 계산 알고리즘은 foreach loop를 실행해 PNG 이미지 내 픽셀 값의 집합을 반복하고, ASCII 기능 명령을 얻기 위해 특정 산술 연산을 수행합니다.

 

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/github-hosted-malware-calculates-cobalt-strike-payload-from-imgur-pic/>

 <GitHub에서 호스팅되는 PowerShell Script>

 

 

디코딩된 스크립트, Cobalt Strike 페이로드 실행해

 

PNG의 픽셀값을 조작하여 얻어낸 디코딩된 스크립트는 Cobalt Strike 스크립트입니다.

 

Cobalt Strike는 정식 침투 테스팅 툴킷으로, 공격자는 이를 이용하여 해킹된 기기에 원격으로 셸을 생성하고, PowerShell 스크립트를 실행하고, 권한을 상승시키고, 피해자의 시스템에 리스너를 생성하기 위해 새 세션을 만드는 ‘비콘’을 배포할 수 있습니다.

 

디코딩된 셸 코드는 이 악성 페이로드가 보안 전문가들이 안티 바이러스 테스트를 수행하는 것으로 보안 툴과 SOC 팀을 속이기 위해 EICAR 문자열로 이루어져 있습니다.

 

하지만 Arkbird에 따르면, 이 페이로드는 추가 명령을 수신하기 위해 WinINet 모듈을 통해 명령 및 제어 서버에 연결합니다.

 

해당 C2 서버와 관련된 도메인인 Mazzion1234-44451[.]portmap[.]host는 더 이상 접근이 불가능한 상태입니다.

 

악성 매크로를 포함한 워드 문서 관련 IoC는 아래와 같습니다.

 

1.   d1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81

2.   ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866

 

피싱 메일이나 다른 수단을 통해 워드 문서를 받을 경우, 문서를 열거나 매크로를 절대 실행해서는 안됩니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Downloader.DOC.Gen’로 탐지 중입니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/github-hosted-malware-calculates-cobalt-strike-payload-from-imgur-pic/

https://twitter.com/Arkbird_SOLG/status/1343001491121065984