Plit00's Story

Mitre ATT&CK 초기 전술 Drive-by Compromise 조사 및 실습 본문

Security/MITRE ATT&CK

Mitre ATT&CK 초기 전술 Drive-by Compromise 조사 및 실습

plit00 2022. 4. 15. 17:05

 

# 초기 전술
초기 액세스는 다양한 진입 벡터를 사용하여 네트워크 내에서 초기 발판을 확보하는 기술로 구성됩니다발판을 마련하는 사용되는 기술에는 표적 스피어피싱 공개 서버의 약점 악용이 포함됩니다.  초기 액세스를 통해 얻은 기반은 유효한 계정 외부 원격 서비스 사용과 같은 지속적인 액세스를 허용하거나 비밀번호 변경으로 인해 사용이 제한될 있습니다.

# T1189 Drive-by Compromise
- 공격자는 일반적인 탐색 과정에서 웹사이트를 방문하는 사용자 통해 시스템에 액세스할 있습니다. 기술을 사용하면 일반적으로 사용자의 브라우저가 악용의 대상이 되지만 공격자는 Application Access Token 획득과 같은 악용이 아닌 행동을 위해 해킹된 웹사이트를 사용할 있습니다.

 

- Browser Exploit Code way 

  공격자가 javascript, iFrame 교차 XSS 같은 악성코드를 삽입한 경우 합법적인.
웹사이트가 해킹됩니다.
악성 광고는 합법적인 광고 제공자를 통해 비용을 지불하고 제공합니다.
내장 Web application interface 콘텐츠를 표시하는데 사용할 있는 다른 종류의 개체를 삽입하거나 클라이언트에서 실행되는 스크립트를 포함하는데 사용됩니다.


종종 공격자가 사용하는 웹사이트는 정부, 특정 산업 또는 지역과 같은 특정 커뮤니티가 방문하는 웹사이트로, 공유된 이익을 기반으로 특정 사용자 또는 사용자 집합을 손상시키는 것이 목표입니다이러한 종류의 표적 공격을 전략적 침해 또는 워터링 공격이라고 합니다.

::
Watering Hole 공격이란? ::
표적에 대한 정보를 수집해 주로 방문하는 웹사이트를 파악해서 웹사이트에 미리 악성코드를 감염 시킵니다. 그리고 해당 표적의 컴퓨터에 악성코드를 추가로 설치합니다.
특정한 대상을 타깃으로 하는 공격으로, 주로 산업스파이 활동과 같이 기밀 정보를 뺴내기 위해 사용합니다.

:: Typical Drive-by Compromise Process ::
-
사용자가 적대적 제어 콘텐츠를 호스팅하는 사용되는 웹사이트를 방문합니다.
-
스크립트는 일반적으로 잠재적으로 취약한 버전에 대한 브라우저 플러그인 버전을 검색하여 자동으로 실행됩니다.
 
사용자는 스크립팅 또는 사이트 구성 요소를 활성화하고 경고를 무시하여 프로세스를                 지원할 있습니다.
-
취약한 버전을 찾으면 익스플로잇 코드가 브라우저에 전달됩니다.
-
악용이 성공하면 다른 보호 장치가 없는 사용자 시스템에서 공격자 코드가 실행됩니다.

#Group 소개
공통 : Watering Hole , 0-Day Exploit , 악성코드
- Andariel
특정 IP 범위 내에서 피해자에게 초기 액세스 권한을 얻기 위해 제로데이 익스플로잇과 함께
워터링 공격을 사용했습니다.
- APT19
2014
forbes.com 워터링 공격을 수행하여 표적을 손상시켰습니다.
- APT32
해킹된 웹사이트를 방문하도록 속여 피해자를 감염시켰습니다.
- APT37
한국 웹사이트의 전략적 해킹을 사용하여 멀웨어를 배포했습니다.
- APT38
피해자에게 초기 접근 권한을 얻기 위해 해킹 계획을 수행했습니다.
- Bad Rabbit
HTML
본문이나 파일에 Javascript 삽입하여 워터링 홀을 통해 퍼졌습니다.
- Bronze Butler
Flash
익스플로잇을 사용하여 워터링 공격을 수행하는 3개의 일본 웹사이트를 해킹했습니다.
- Bundlore
웹사이트의 악성 광고를 통해 확산 되었습니다.
- Darkhotel
호텔 로그인에 내장된 iframe 사용하여 선택된 피해자를 악성코드를 다운로드 하도록
리디렉션했습니다.
- Dragonfly / Dragonfly 2.0
맞춤형 익스플로잇 킷을 활용하는 SWC 통해 표적을 침해했습니다.
- Elderwood
특정 섹터 내의 표적이 방문한 특정 공개 페이지에 악성코드를 삽입하여 피해자에게
제로 데이 익스플로잇과 악성 코드를 전달했습니다.
- Grandoreiro
해킹된 웹사이트와 Google Ads 사용하여 피해자가 exe 다운로드하도록 유도했습니다.
- KARAE
YouTube
미끼로 사용하여 한국 피해자에게 토렌트 파일 공유 웹사티를 통해 배포되었습니다.
- Lazarus Group
해킹되 웹사이트를 통해 피해자에게 RATANKBA 전달했습니다.

RATANKBA : Lazarus Group에서 사용하는 원격 컨트롤러 도구 입니다.
[https://attack.mitre.org/software/S0241/]

- Leafminer
워터링 홀을 사용하여 감염시켰습니다
- Leviathan
워터링 홀을 사용하여 감염시켰습니다.
- LoudMider
일반적으로 Windows macOS VST 불법 복제 복사본과 함께 번들로 제공됩니다.
- Machete
가짜 블로그 웹사이트를 통해 Machete 배포했습니다.
Machete : Machete에서 사용하는 사이버 스파이 도구(Python기반 백도어)입니다
[https://attack.mitre.org/software/S0409/]
- patchwork
초기 피해자에게 익스플로잇이 포함된 파일을 전달하기 위해 워터링 홀을 이용했습니다.
- PLATINUM
취약한 브라우저 플러그인에 대한 Drive-By Attack 사용했습니다.
- POORAIM
워터링 역할을 하는 해킹된 사이트를 통해 전달되었습니다.
- PROMETHIUM
워터링 공격을 사용하여 합법적인 설치 프로그램의 악성 버전을 제공합니다.
- REvil
해킹된 웹사이트와 익스플로잇 킷을 통해 피해자 시스템을 감염시켰습니다.
- RTM
RIG SUNDOWN 익스플로잇 키트와 온라인 광고 네트워크를 통해 악성코드를 배포했습니다
- Threat Group-3390
침해를 광범위하게 사용하여 피해자를 표적으로 삼았습니다.
- Transparent Tribe
악성 하이퍼 링크 iframe 있는 웹사이트를 사용하여 Crimson, nJRAT 기타
악성 도구로 피해자를 감염시켰습니다.
[https://attack.mitre.org/software/S0115]
[https://attack.mitre.org/software/S0385]
- Turla
워터링 홀을 사용하여 피해자를 감염시켰습니다.
- Windigo
Drive-by Download 통해 Windows 멀웨어를 배포했습니다.
- Windshift
해킹된 웹사이트를 사용하여 원격 시스템에 사용자 지정 URL 체계를 등록했습니다.

 

[https://us-cert.cisa.gov/ncas/alerts/aa21-200a]
[
https://us-cert.cisa.gov/ncas/alerts/aa20-239a]

 

 

관련 CVE
[https://ackcent.com/initial-access-drive-by-compromise-t1189/]

  • 공격 시나리오 과정

    1.
    사이버 범죄자는 공격대상이 자주 방문하는 홈페이지 시스템의 정보를 수집합니다.

      2. 수집한 시스템의 취약점을 이용해 공격명령 악성코드 스크립트를 삽입합니다.

      3. 홈페이지에 삽입된 악성코드는 공격대상이 접속 때까지 잠복해 있습니다.
         
공격대상이 접속하면 악성코드 명령이 실행됩니다.

 

 

 

 


*   워터링 공격 요소

     # 워터링 공격은 인터넷 브라우저에서 동작하는 다양한 엔진들의 취약점을 이용합니다.

     - XSS 취약점
       게시판, 댓글 작성
       :: 악성 페이지로 리다이렉트 연결
       hook.js 공격자 서버에서 작동하고 있는 BeEF 브라우저 후킹 공격 스크립트입니다.
           해당 스크립트 구문은 공격 대상 PC에서 실행됩니다.
       => 쿠키값 탈취

     - 인터넷 브라우저 취약점(스크립트 엔진의 취약점)
       Javascript, VBScript, Acrive X등의 익스플로잇
       :: 악성코드 다운로드, 악성코드 실행, 명령 실행
       공격자는 인터넷 브라우저의 스크립트 엔진 취약점을 공격하는 코드를 작성해 홈페이지에
           삽입합니다.
       CVE-2019-0752 : 인터넷 익스플로러 10, 11버전의 VBScript 엔진의 취약점 입니다.
           소스코드를 프로세싱 하는 과정에 메모리 취약점으로 공격 명령을 실행시킬 있습니다.
        

     -  Adobe Flash Player 취약점
       :: 악성코드 다운로드, 악성코드 실행, 명령 실행  

     - 웹서버 취약점
      
홈페이지 소스코드에 익스플로잇 코드 삽입  

 

Example Code 

해당 악성코드 다운로드  


공격자의 후킹 스크립트
  

Comments