윈도우 IIS 웹 서버를 노리는 Lazarus 그룹
Contents
AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 최근 윈도우 IIS 웹 서버를 대상으로 공격을 수행한 것을 확인하였다. 이번에 확인된 공격 사례에서 공격자는 윈도우 IIS 웹 서버 프로세스인 w3wp.exe를 통해 정상 응용 프로그램(Wordconv.exe)과 해당 프로그램이 참조하는 악성 DLL(msvcr100.dll)을 동일한 폴더 경로에 배치하고 악성 DLL 실행을 위해 정상 응용 프로그램을 실행하였다. 공격 대상이 된 웹 서버는 현재 부적절하게 관리되거나 취약한 상태로 운용 중 인것으로 추정된다.
공격자는 악성 DLL 파일명을 정상 응용 프로그램이 참조하는 DLL 이름으로 변경함으로써 응용 프로그램 실행 시 정상 DLL 대신 동일 폴더 경로에 존재하는 악성 DLL이 먼저 실행되도록 하였다. 이러한 공격 수행 방식을 MITRE ATT&CK 에서는 DLL Side-Loading (T1574.002) 기법으로 분류하고 있다.
Lazarus 그룹이 DLL Side-Loading 기법을 사용하여 악성코드를 실행하는 행위는 이미 여러 차례 확인된 바 있다. 공격자는 DLL Side-Loading 기법에 사용하는 정상 프로세스 이름을 지속적으로 변경하고 있으며 본 글에서는 공격자가 초기 침투 과정에서 사용한 DLL Side-Loading 기법과 이후 행위에 대해 소개하고자 한다.
1. 초기 …
공격자는 악성 DLL 파일명을 정상 응용 프로그램이 참조하는 DLL 이름으로 변경함으로써 응용 프로그램 실행 시 정상 DLL 대신 동일 폴더 경로에 존재하는 악성 DLL이 먼저 실행되도록 하였다. 이러한 공격 수행 방식을 MITRE ATT&CK 에서는 DLL Side-Loading (T1574.002) 기법으로 분류하고 있다.
Lazarus 그룹이 DLL Side-Loading 기법을 사용하여 악성코드를 실행하는 행위는 이미 여러 차례 확인된 바 있다. 공격자는 DLL Side-Loading 기법에 사용하는 정상 프로세스 이름을 지속적으로 변경하고 있으며 본 글에서는 공격자가 초기 침투 과정에서 사용한 DLL Side-Loading 기법과 이후 행위에 대해 소개하고자 한다.
1. 초기 …
IoC
228732b45ed1ca3cda2b2721f5f5667c
47d380dd587db977bf6458ec767fee3d
4d91cd34a9aae8f2d88e0f77e812cef7
e501bb6762c14baafadbde8b0c04bbd6
https://www.samdb.or.kr/info/pinfo.aspx
47d380dd587db977bf6458ec767fee3d
4d91cd34a9aae8f2d88e0f77e812cef7
e501bb6762c14baafadbde8b0c04bbd6
https://www.samdb.or.kr/info/pinfo.aspx