> 운영 및 유지보수 > 안전 > APT28 샘플 분석을 구현하는 방법

APT28 샘플 분석을 구현하는 방법

WBOY
풀어 주다: 2023-05-27 15:53:53
앞으로
1675명이 탐색했습니다.

1 배경

APT28은 통칭 판타지베어조직(Fantasy Bear Organization)으로 알려진 러시아 첩보단체입니다. 2019년에는 이 단체의 활동이 유난히 잦았습니다. APT28은 올해 초 싱크탱크 침입부터 이어진 크고 작은 공격에 이르기까지 다양한 공격에 등장했습니다. Fantasy Bear는 2016년에 미국 대통령 선거에 영향력을 행사하기 위해 민주당 전국위원회의 이메일을 해킹한 것으로 세계적으로 유명해졌습니다. 이 조직은 공격 방법으로 스피어 피싱과 제로데이 공격을 주로 사용하며, 사용하는 도구도 매우 빠르게 업데이트됩니다. 2015년에는 6개 이상의 서로 다른 0Day 취약점이 사용되었습니다. 이는 일반적으로 사용되는 소프트웨어에서 알려지지 않은 수많은 취약점을 찾아내기 위해 많은 수의 보안 인력이 필요한 상당한 프로젝트입니다.

Zepakab 다운로더는 당사 장치에서 캡처한 샘플 데이터를 분석하여 샘플 분석 결과를 얻었습니다. 여기서 간단한 분석을 통해 Zepakab의 기술적 비밀을 엿보도록 하겠습니다.

2 샘플 분석

샘플을 간단하게 분석한 결과, 해당 샘플은 UPX를 사용해 Shell 암호화가 이루어졌으나 그 외 추가적인 처리는 이루어지지 않은 것으로 확인되었습니다. UPX를 사용하여 정상적으로 압축을 풀고 일반 샘플을 생성할 수 있습니다. ㅋㅋㅋ . AutoIt은 BASIC 언어와 유사한 프로그래밍 언어로, 주요 목적은 Windows 그래픽 인터페이스를 자동화하는 프로그램을 설계하는 것입니다. 이 언어로 개발된 악성 프로그램은 바이러스 백신 소프트웨어의 탐지를 쉽게 피할 수 있습니다.

APT28 샘플 분석을 구현하는 방법

APT28 샘플 분석을 구현하는 방법

다음으로 Zepakab의 AutoIt 코드를 디컴파일하여 소스코드를 추출하겠습니다. 보시다시피, "main" 기능은 Zepakab의 메인 루틴입니다. 주요 기능은 지속적으로 시스템 정보를 얻고, 스크린샷을 찍어 루프를 통해 서버에 보내는 것입니다. 필요할 때 시스템에 상주할 악성 샘플을 다운로드하세요.

APT28 샘플 분석을 구현하는 방법

프로그램에서 시스템 정보 수집 작업은 "_computergetoss" 함수를 호출하는 "info" 함수에서 완료됩니다. "_computergetoss"는 WMI(Windows Management Instrumentation)의 AutoIt 인터페이스를 사용하고 "SELECT * FROM Win32_OperatingSystem" 쿼리 문을 사용하여 시스템 정보를 쿼리합니다.

APT28 샘플 분석을 구현하는 방법

APT28 샘플 분석을 구현하는 방법악성코드는 아래 scr 함수를 통해 바탕화면 스크린샷을 “%TEMP% tmp.jpg”로 저장합니다.

APT28 샘플 분석을 구현하는 방법

서버에서 페이로드를 다운로드한 후 Zepakab은 "악어" 기능을 통해 이를 "C:ProgramDataWindowsMicrosoftSettingssrhost.exe"에 저장합니다.

APT28 샘플 분석을 구현하는 방법

위에서 언급한 주요 기능 외에도 Zepakab에는 몇 가지 독특한 기능이 있습니다. 예를 들어, 안티 가상 머신은 가상 머신 탈출을 달성하기 위해 특수 알고리즘으로 계산된 현재 중요한 가상 머신 파일, 프로세스 및 식별자를 찾습니다.

APT28 샘플 분석을 구현하는 방법

또한 "_sofware" 기능은 레지스트리

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall"APT28 샘플 분석을 구현하는 방법

을 통해 설치된 소프트웨어를 구문 분석합니다. 동시에 systeminfo 명령을 사용하여 시스템 정보를 얻고 프로세스를 검색하여 시스템 정보에 추가합니다.

이 코드는 복잡한 난독화 기술을 사용하지 않으므로 다운로더의 서버 주소가 185.236.203.53, URI가 "locale/protocol/volume.php"임을 쉽게 알 수 있습니다. HTTP 프로토콜을 사용하여 서버와 통신하는 다운로더는 데이터를 base64로 인코딩 및 암호화한 후 데이터를 보내고 받습니다.

APT28 샘플 분석을 구현하는 방법

APT28 샘플 분석을 구현하는 방법

3 요약

Zepakab은 2019년 내내 매우 활발했습니다. 개발 방법은 매우 간단하지만 피해 정도는 낮지 않으며 APT28 조직도 매우 빠르게 무기를 업데이트합니다. 간단한 개발 방식으로 인해 업데이트 속도가 더 빨라질 수 있습니다. Fantasy Bear는 여전히 작살 공격, 0Day 취약점 등과 같은 일반적인 공격 방법을 주로 사용합니다. 판타지베어 그룹은 이런 저비용 개발방식 덕분에 사이버공격을 더욱 효과적으로 수행할 수 있다.

위 내용은 APT28 샘플 분석을 구현하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
원천:yisu.com
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿