미국 CISA에서 5월 한달간 국가 침입탐지 시스템인 EINSTEIN에서 가장 많이 탐지된 시그니처를 공개하였다. 공개된 정보는 가장 활발하게 진행되고 있는 위협에 대한 정보와 Snort 탐지 시그니처를 제공하고 있으며, 해당 위협에 대한 간단한 대응 방안 역시 제공하고 있다. 단, CISA에서 제공된 Snort 시그니처는 CISA 및 미국 각 기관에서 실제 사용되고 있는 Snort 시그니처와 동일하지는 않기 때문에 실제 사용 시에는 일부 커스터마이징이 필요하다. CISA에서 공개된 정보는 다음과 같다.

• 1. NetSupport Manager RAT

NetSupport Manager RAT는 원래 정상적으로 사용되던 프로그램이었지만 원격에서 관리자 권한을 허용하기 때문에 악용될 경우 다양한 정보를 탈취하는 등 침해사고에 이용될 여지가 크다. 또한 일반적으로 실행중인 프로세스 목록에 잘 나타나지 않고 정상 소프트웨어로 위장하기 때문에 탐지하기 어려운 경우가 많다.

이러한 NetSupport Manager RAT는 피싱 메일 캠페인에 악용된 사례가 2018년 4월 FireEye에 의해 최초로 보고되었고, 지난 1월 Palo Alto의 연구자들에 의해 발견되었다.

• - Snort Signature

[alert tcp any any -> any $HTTP_PORTS (msg:"NetSupportManager:HTTP Client Header contains 'User-Agent|3a 20|NetSupport Manager/'"; flow:established,to_server; flowbits:isnotset,.tagged; content:"User-Agent|3a 20|NetSupport Manager/"; http_header; fast_pattern:only; content:"CMD="; nocase; http_client_body; depth:4; content:"POST"; nocase; http_method; flowbits:set,.; classtype:http-header; reference:url,unit42.paloaltonetworks.com/cortex-xdr-detects-netsupport-manager-rat-campaign/; reference:url,www.pentestpartners.com/security-blog/how-to-reverse-engineer-a-protocol/; reference:url,github.com/silence-is-best/c2db;]

• 2. Kovter

Kovter는 다양한 변종이 존재하는 파일리스 악성코드로, 경찰을 위장한 랜섬웨어 유포 공격에서 최초로 탐지되었다. 이 악성코드는 독특한 방식을 통해 진화해 Internet Security Center에서 가장 많이 유포되고 있는 악성코드 중 하나로 선정되었다.

• - Snort Signature

[alert tcp any any -> any $HTTP_PORTS (msg:"Kovter:HTTP URI POST to CnC Server";; flow:established,to_server; flowbits:isnotset,.tagged; content:"POST / HTTP/1.1"; depth:15; content:"Content-Type|3a 20|application/x-www-form-urlencoded"; http_header; depth:47; fast_pattern; content:"User-Agent|3a 20|Mozilla/"; http_header; content:!"LOADCURRENCY"; nocase; content:!"Accept"; http_header; content:!"Referer|3a|"; http_header; content:!"Cookie|3a|"; nocase; http_header; pcre:"/^(?:[A-Za-z0-9+\/]{4})*(?:[A-Za-z0-9+\/]{2}==|[A-Za-z0-9+\/]{3}=|[A-Za-z0-9+\/]{4})$/P"; pcre:"/User-Agent\x3a[^\r\n]+\r\nHost\x3a\x20(?:\d{1,3}\.){3}\d{1,3}\r\nContent-Length\x3a\x20[1-5][0-9]{2,3}\r\n(?:Cache-Control|Pragma)\x3a[^\r\n]+\r\n(?:\r\n)?$/H";; classtype:nonstd-tcp;; reference:url,www.malware-traffic-analysis.net/2017/06/29/index2.html;]

• 3. XMRig

XMRig는 암호화폐 채굴을 위한 도구이다. 해당 도구 자체는 정상적으로 모네로를 채굴하는 도구이지만 공격자에 의해 악용되어 시스템에 과부하가 걸리거나 가용성을 해치는 등의 결과를 가져오는 경우가 많다.

• - Snort Signature

[alert tcp any any -> any !25 (msg:"XMRIG:Non-Std TCP Client Traffic contains JSONRPC 2.0 Config Data";; flow:established,to_server; flowbits:isnotset; content:"|22|jsonrpc|22 3a 22|2.0|22|"; distance:0; content:"|22|method|22 3a 22|login|22|"; distance:0; content:"|22|agent|22 3a 22|XMRig"; nocase; distance:0; fast_pattern; content:"libuv/"; nocase; distance:0; content:!"|22|login|22 3a 22|x|22|"; flowbits:set,; classtype:nonstd-tcp;; reference:url,malware-traffic-analysis.net/2017/11/12/index.html; reference:url,www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=1101;]

대응방안

• Anti-Virus 제품의 시그니처와 엔진을 항상 업데이트할 것.
• 시스템의 보안 업데이트를 최신 버전으로 유지할 것
• 파일 및 프린터 공유 기능을 비활성화 하고, 해당 기능이 필요할 경우 강력한 암호를 설정하거나 AD 인증을 거치도록 할 것
• 소프트웨어를 설치하거나 실행시킬 때 사용자의 권한을 제한하고, 로컬 관리자 그룹에 필요없는 사용자를 추가시키지 말 것.
• 패스워드 정책을 강화할 것.
• 이메일 첨부파일을 열 때 첨부파일이 알려진 발신자에게서 온 것이더라도 주의할 것
• 요청하지 않은 연결을 거부하도록 구성된 개인 방화벽을 사용하도록 설정할 것
• 업무용 PC나 서버에서 불필요한 서비스를 비활성화 할 것.
• 의심스러운 이메일 첨부파일을 점검하고 첨부된 파일이 정상적인 파일인지 점검할 것(ex: 확장자와 파일 헤더 일치여부)
• 사용자의 웹 브라우저 이용을 모니터하고 부적절한 컨텐츠를 포함하는 사이트를 제한할 것.
• 인터넷에서 다운로드한 소프트웨어는 실행 전 반드시 정상파일 여부를 점검할 것.
• 최신 위협에 대한 정보를 수집하고 적절한 접근제어 정책을 수립할 것.

[Referrer]

https://www.us-cert.gov/ncas/alerts/aa20-182a

보안관제센터 Team MIR