0xNews - 윈도우 운영체제 기능을 사용하여 방화벽 우회 가능 기법 발견
0xNews - 윈도우 운영체제 기능을 사용하여 방화벽 우회 가능 기법 발견
Fireeye 발표
MS 윈도우 Windows BITS Background Intelligent Transfer Service 를 사용하여 윈도우 시스템에 은밀하게 악성 페이로드 배포 방법 발견
Fireeye 사이버 포렌식 연구 중 해커 그룹의 악성 코드 분석 중 발견
윈도우 BITS 를 사용하여 백도어가 설치되는 공격 기법으로 알려지지 않은 지속적인 공격 메커니즘
BITS 는 Windows XP 에서 처음 도입된 구성 요소
유휴 네트워크 대역폭을 사용하여 컴퓨터간 파일의 비동기 전송을 용이하게 함
다운로드나 업로드할 파일이 포함된 작업을 컨테이너화 하면 자동 생성
일반적으로 맬웨어 서명 업데이트를 가져오기 위해 Windows Defender 바이러스 백신 스캐너 뿐만 아니라 클라이언트에 운영체제 업데이트를 제공하는데도 사용
MS 의 자체 제품 외 Mozilla Firefox 와 같은 다른 응용 프로그램에서도 이 서비스를 사용
브라우저가 닫혀 있어도 백그라운드에서 다운로드를 계속 수행
악성 애플리케이션이 BITS 작업을 생성하면 서비스 호스트 프로세스의 컨텍스트에서 파일이 다운로드 되거나 업로드 실행
이는 악의적이거나 알려지지 않은 프로세스를 차단할 수 있는 방화벽을 회피하는데 유용할 수 있으며 전송을 요청한 애플리케이션을 모호하게 하는데 도움을 제공
특히 맬웨어 감염과 같은 침해 사건은 BITS 서비스를 활용하여 윈도우 운영체제 내 실행파일을 실행하도록 구성된 시스템 업데이트로 새 작업을 생성하는 것으로 확인
이를 통해 잘못된 URL 을 통해 다운로드를 실시하거나 백도어 프로그램의 트리거 역할을 수행하도록 함
악의적인 BITS 작업은 로컬 호스트에서 존재하지 않은 파일의 HTTP 전송을 시도하도록 설정
이런 파일은 존재하지 않기 때문에 BITS 는 오류 상태를 트리거하고 알림 명령 실행
새로운 공격 메커니즘은 공격자가 BITS 와 같은 유용한 도구를 자신에게 유리하게 활용하는 방법을 분석하는 방법에 대한 새로운 방향을 제시
사고 대응이나 포렌식 조사를 지원하기 위해 Fireeye 연구팀은 BITS DB 파일을 분석하기 위해 작업과 파일 정보를 추출하는 것을 목표로 하는 파이썬 유틸리티를 공개 제공하기로 결정
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.