URL files and WebDAV used for IcedID (Bokbot) infection

on

1. 기사 내용

IcedID(Bokbot이라고도 불림)는 Cobalt Strike, 가상 네트워크 컴퓨팅(VNC) 트래픽과 같은 다른 활동으로 이어질 수 있는 정보 도용/백도어 악성 프로그램이다.

IceID는 종종 이메일을 통해 배포되며, 구글 광고 트래픽에서 가짜 소프트웨어 사이트에 의해 전달되는 것 또한 관찰되었다.


이메일 기반 배포의 경우 OneNote 파일이 이번 달에 가장 많이 관찰된 초기 유인물로 보여지나, 이러한 패턴은 주기적으로 바뀌는 특징이 있다.

단적인 예로, 2023-02-21 화요일에 IcedID에 대한 .url 파일과 WebDAV 트래픽을 사용하는 배포 패턴이 발견된 사례가 있다.

 


<Figure 1 - 감염 경로 Flow Chart>


hxxp://104.156.149[.]6/webdav/의 오픈 디렉토리에 대해 VirusTotal을 검색하면 서버에 연결을 시도하는 최소 22개의 .url 파일이 나타난다.

본 .url 파일들은 URL 오픈을 위해 http:// 방식이 아닌 file:\\\ 방식을 사용하며, .오픈 디렉토리에서 .url 파일과 각기 상응하는 이름을 가진 bat 파일들을 가져온다.

 


<Figure 2 - URL 파일과 그와 연관된 BAT 파일들>

.bat 파일은 \104.156.149[.]6\webdav\host.dll에서 Iceed용 DLL 설치 관리자를 실행한다.



<WebDAV 트래픽>

(WebDAV : 'Web Distributed Authoring and Versioning'의 약자. 사용자가 원격 웹 서버의 파일에 액세스하고 편집할 수 있도록 하는 HTTP 프로토콜의 확장자 집합.)

.url 및 .bat 파일은 모두 WebDAV를 사용하여 멀웨어를 검색하고 실행하며, Windows 파일 탐색기를 사용하여 WebDAV 서버에 액세스할 수 있다.

 


<Figure 3 - 파일 탐색기 창에서 \104.156.149[.]6\webdav\를 열었을 때의 상황 예시>


본 예시의 WevDAV 활동은 여러 HTTP PROPFIND 및 GET 요청을 생성했다.

GET 요청은 거의 모든 HTTP 트래픽에서 볼 수 있으나, 이러한 PROPFIND 요청은 WebDAV에 한정된다.

IcedID Infection에 대해 pcap과 WireShark로 분석한 결과, TCP 80 포트를 통한 여러 PROPFIND 요청을 찾을 수 있었다.



<Figure 4 - Wireshark에서 필터링된 감염 트래픽 예시 (1) / WebDAV PROPFIND 요청 부분 강조 표시>


PROPFIND 요청에 대한 TCP 스트림을 추적하면 요청 헤더에 Microsoft WebDAV 사용자 에이전트가 표시된다.

WebDAV 서버는 지정된 디렉토리 또는 파일의 속성을 가진 XML 파일을 반환한다.

 


<Figure 5 - HTTP를 통한 WebDAV PROPFIND 요청의 TCP 스트림 예시>


<감염된 Windows 호스트로부터의 IcedID 트래픽>

WebDAV 활동 후 트래픽의 모습은 이전 감염 모습과 유사했다.

유일하게 상이한 점은 .bat 파일로 인해 발생한 cURL을 사용하여 hxxp://mandalorecote[.]com/images/을 GET 요청한 HTTP 트래픽이었다.

 

<Figure 6 - Wireshark에서 필터링된 감염 트래픽 예시 (2)>


hxxp://mandalorecote[.]com/images/에 대한 HTTP GET 요청이 12kB 64비트 DLL을 반환했다.

본 DLL 파일은 IcedID 감염 프로세스에 사용된 것으로는 보여지지 않으며, 포렌식 조사 결과 디스크에 저장되는 것이 확인되지 않은 것으로 판명되었다.

본 예시는 미끼 파일이나 미끼 트래픽일 가능성이 높으며 DLL이 즉시 악의적으로 뭔가 행동을 취하는 것으로 보이지는 않지만,

IcedID 악성 활동의 주체적인 역할을 하는 지표인 것은 분명하다고 연구진들은 분석했다.

 

<Figure 7 - mandalorecnote[.]com으로부터 리턴된 12KB DLL 파일 / 미끼 트래픽이나 파일일 것으로 추정됨.>


2. 공격 유형 요약 정보

1) Bokbot이라고도 불리는 IcedID 멀웨어는 종종 이메일을 통해 배포되는 악성코드이나,
최근 .url파일과 WebDAV 트래픽을 이용하여 배포된 사례가 탐지됨.
2) 초기 감염 경로를 통해 설치 관리자가 실행되면 WevDAV 측에서 TCP 80 포트를 통해
여러 PROPFIND 요청 패킷을 생성.
3) PROPFIND 요청에 대한 TCP 스트림을 추적 시
요청 헤더에 Microsoft WebDAV 사용자 에이전트가 표시되며,
WebDAV 서버 측에서 지정된 디렉토리 또는 파일의 속성을 가진 XML 파일을 반환.



3. 권고사항

1) 각 영역 보안장비의 탐지 정책 확인 여부 필요

2) 백신 프로그램 최신 버전 유지 

3) 의심되는 메일 수신 시 스팸메일 신고 접수 권고

4) 출처가 불분명한 파일 다운로드 금지



InfoSec Handlers Diary Blog - SANS Internet Storm Center

Comments

Post a Comment