라자루스 그룹 DLL Side-Loading 기법 이용 (mi.dll)
Contents
ASEC 분석팀은 라자루스 공격 그룹을 추적하던 중 공격자가 초기 침투 단계에서 다음 공격 단계 달성을 위해 정상 응용 프로그램을 이용한 DLL Side-Loading 공격 기법(T1574.002)을 사용하는 정황을 포착했다.
DLL Side-Loading 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행 될 때 악성 DLL이 함께 동작하도록 하는 기법이다. 즉, 악성 DLL의 이름을 정상 프로그램이 참조하는 다른 경로에 위치한 정상 DLL 파일명과 동일하게 변경하여 악성 DLL이 먼저 실행 되도록 하는 악성코드 실행 기법이다.
라자루스 그룹이 악용한 정상 프로세스 목록은 다음과 같다. wsmprovhost.exe, dfrgui.exe 파일 모두 MS 정상 파일이다.
- wsmprovhost.exe (Host process for WinRM plug-ins)
- dfrgui.exe (Microsoft Drive Optimizer)
자사 ASD(AhnLab Smart Defense) 인프라를 통해 확인한 결과, 공격자는 오래된 버전의 이니텍 프로세스(inisafecrosswebexsvc.exe)를 통해 초기 침투에 사용되는 백도어 악성코드(scskapplink.dll)를 유포하였다.
이후 실행된 백도어 악성코드는 wsmprovhost.exe를 생성하여 DLL Side-Loading 추가 페이로드를 실행한 것으로 추정된다. DLL Side-Loading 기법 사용 추정에 대한 근거는 피해 PC에서 wsmprovhost.exe가 생성된 폴더 경로에 “mi.dll”이라고 하는 악성 DLL이 추가로 발견 되었기 때문이다. …
DLL Side-Loading 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행 될 때 악성 DLL이 함께 동작하도록 하는 기법이다. 즉, 악성 DLL의 이름을 정상 프로그램이 참조하는 다른 경로에 위치한 정상 DLL 파일명과 동일하게 변경하여 악성 DLL이 먼저 실행 되도록 하는 악성코드 실행 기법이다.
라자루스 그룹이 악용한 정상 프로세스 목록은 다음과 같다. wsmprovhost.exe, dfrgui.exe 파일 모두 MS 정상 파일이다.
- wsmprovhost.exe (Host process for WinRM plug-ins)
- dfrgui.exe (Microsoft Drive Optimizer)
자사 ASD(AhnLab Smart Defense) 인프라를 통해 확인한 결과, 공격자는 오래된 버전의 이니텍 프로세스(inisafecrosswebexsvc.exe)를 통해 초기 침투에 사용되는 백도어 악성코드(scskapplink.dll)를 유포하였다.
이후 실행된 백도어 악성코드는 wsmprovhost.exe를 생성하여 DLL Side-Loading 추가 페이로드를 실행한 것으로 추정된다. DLL Side-Loading 기법 사용 추정에 대한 근거는 피해 PC에서 wsmprovhost.exe가 생성된 폴더 경로에 “mi.dll”이라고 하는 악성 DLL이 추가로 발견 되었기 때문이다. …
IoC
0cc73994988e8dce2a2eeab7bd410fad
54b0454163b25a38368e518e1687de5b
9caebeda61018e86a29c291225f0319f
ff46decb93c6d676a37e87de57bae196
54b0454163b25a38368e518e1687de5b
9caebeda61018e86a29c291225f0319f
ff46decb93c6d676a37e87de57bae196