해벡스

Havex
해벡스
기술명
에일리어스올드레아
유형쥐.
작성자에너지 베어
사용된 포트44818, 105 및 502
영향을 받는 운영 체제Windows, Linux, iOS, Android
기입처PHP



백도어라고도 불리는 Havex 악성 프로그램.올드레아는 러시아의 APT 그룹 "에너지 베어" 또는 "드래곤플라이"[1][2]고용된 RAT이다.Havex는 2013년에 발견되었으며 지난 10년 동안 개발된 5개의 알려진 ICS 맞춤형 악성 프로그램 중 하나입니다.이러한 악성코드에는 Stuxnet, BlackEnergy, Industryer/CRASHOVERRIDE TRITON/[3]TRISIS가 포함된다.Energy Bear는 에너지, 항공, 제약, 국방,[1] 석유화학 분야를 대상으로 한 광범위한 스파이 활동에 Havex를 활용하기 시작했습니다.이 캠페인은 주로 미국과 [2]유럽의 희생자들을 대상으로 했다.

검출

Havex 악성코드는 F-Secure와 Symantec의 사이버 보안 연구자에 의해 발견되었으며 2013년 [4][5]ICS-CERT에 의해 이들 회사의 정보를 활용하여 보고되었습니다.ICS-CERT Alert는 여러 공격 벡터를 통해 ICS 기기를 대상으로 한 새로운 멀웨어 캠페인을 분석하고 OPC를 사용하여 타깃 [2]네트워크상의 산업용 기기를 정찰하는 것을 보고했습니다.

묘사

Havex 멀웨어에는 RAT와 [4]PHP로 작성된 C&C 서버의 2가지 주요 컴포넌트가 있습니다.Havex에는 [2]네트워크상의 산업용 디바이스 검색에 사용되는 OPC(Open Platform Communications) 스캔 모듈도 포함되어 있습니다.OPC 스캔모듈은 포트 44818, 105 및 502에서 [6]동작하는TCP 디바이스를 스캔하도록 설계되어 있습니다.SANS의 연구진은 이러한 포트가 Siemens나 Rockwell [6]Automation과 같은 ICS/SCADA 기업에 공통적인 것이라고 지적했습니다.OPC 프로토콜을 남용함으로써 Havex는 피해자 [7]시스템 내부에 산업 네트워크를 매핑했습니다.연구자에 따르면 OPC 스캔 모듈은 오래된 DCOM 기반(분산 컴포넌트 객체 모델) OPC 표준에서만 동작하며 최신 OPC 통합 아키텍처(UA)[2]에서는 동작하지 않습니다.Havex는 이러한 특정 시스템에서 정보 수집을 수행하기 위해 작성되었기 때문에 ICS 맞춤형 멀웨어 범주에 포함됩니다.Havex는 ICS 벤더 웹사이트에 대한 공급망 및 워터홀 공격과 함께 피싱 캠페인을 이용하여 피해자 [5][6]시스템에 대한 접근을 확보했습니다.워터홀과 공급망 공격은 방법론적으로 두 가지였다.첫 번째 방법에서는 피해자가 합법적인 공급업체 웹 사이트에서 Havex [1]악성 프로그램을 포함하는 손상된 페이지로 리디렉션되었습니다.두 번째 방법에서는 공격자가 취약한 공급업체 웹 사이트를 손상시키고 합법적인 소프트웨어를 손상시켜 Havex RAT를 주입했습니다.사용자는 공급업체 [6]웹 사이트에서 정규 소프트웨어를 다운로드할 때 자신도 모르게 멀웨어를 다운로드하게 됩니다.이 방법을 사용하면 소프트웨어는 네트워크에 프로그램을 설치할 수 있는 권한을 가진 사용자에 의해 다운로드되었기 때문에 멀웨어는 기존의 보안 수단을 우회할 수 있었습니다.이미 알려진 문제 벤더는 MESA Imaging, eWON/Talk2M 및 MB Connect [8]Line입니다.공격 벡터는 비즈니스 네트워크를 대상으로 하고 있었지만, 많은 ICS 환경에서 견고한 에어갭이 없기 때문에 Havex와 같은 말웨어가 비즈니스 네트워크에서 산업용 네트워크로 쉽게 이동하여 ICS/SCADA 기기를 감염시킬 수 있습니다.Havex는 다른 백도어 악성코드와 마찬가지로 다른 악성코드를 피해자 기기에 주입할 수 있습니다.특히 Havex는 손상된 장치에 Karagany 페이로드 주입에 자주 사용되었습니다.Karagany는 Dragonfly C&C [6]서버 간에 자격 정보를 도용하고 스크린샷을 찍고 파일을 전송할 수 있습니다.

피해지역 및 피해자

Dragonfly 그룹은 Havex 악성코드를 에너지 및 항공에 대한 스파이 캠페인에 이용했다.주로 미국과 [1]유럽에서 발생한 의약품, 국방, 석유화학 피해자들입니다드라고스의 사이버 보안 연구진은 이 캠페인이 이들 지역과 분야의 [9]2,000개 이상의 사이트를 대상으로 한 것으로 추정했다.Symantec의 연구진은 Havex 악성코드가 처음에는 미국과 캐나다 국방 및 항공 [10]분야를 대상으로 한 후 에너지 인프라스트럭처의 타깃을 찾기 시작했음을 관찰했습니다.연구진은 발견 프로세스를 통해 Havex 캠페인과 관련된 146대의 C&C 서버와 88종의 [11]멀웨어를 조사했습니다.

악용 키트

웹 사이트 리다이렉트 주입

Havex는 [1]사용자를 악의적인 웹 사이트로 리디렉션하는 워터링 홀 공격을 통해 시스템을 감염시킵니다.이 캠페인의 손상된 웹 사이트는 LightsOut 및 Hello 악용 키트를 사용하여 Havex 및 Karagany 트로이 [10]목마 시스템을 감염시켰습니다.LightsOut 악용 키트는 Java 및 브라우저의 취약성을 악용하여 Havex 및 Karagany 페이로드를 [10]전달했습니다.Hello 악용 키트는 LightsOut 악용 키트의 업데이트된 버전으로 [10]2013년에 사용되었습니다.업데이트된 Hello 악용 키트는 설치 공간을 사용하여 대상 OS 버전, 글꼴, 브라우저 추가 기능 및 기타 사용자 [10]정보를 확인합니다.이 정보가 수집되면 공격 키트는 공격 대상을 [10]가장 효율적인 공격에 기반하여 악의적인 URL로 리디렉션하여 대상에 액세스합니다.

레퍼런스

  1. ^ a b c d e "Havex". NJCCIC. Retrieved 2018-04-18.
  2. ^ a b c d e "ICS Focused Malware ICS-CERT". ics-cert.us-cert.gov. Retrieved 2018-04-18.
  3. ^ "Attackers Deploy New ICS Attack Framework "TRITON" and Cause Operational Disruption to Critical Infrastructure FireEye". Retrieved 2018-05-14.
  4. ^ a b "ICS Focused Malware (Update A) ICS-CERT". ics-cert.us-cert.gov. Retrieved 2018-04-18.
  5. ^ a b "Cyber espionage campaign based on Havex RAT hit ICS/SCADA systems". Security Affairs. 2013-06-25. Retrieved 2018-04-18.
  6. ^ a b c d e Nelson, Nell (18 January 2016). "The Impact of Dragonfly Malware on Industrial Control Systems". SANS Institute.
  7. ^ "CRASHOVERRIDE: Analysis of the Threat to Electric Grid Operations" (PDF).
  8. ^ "Full Disclosure of Havex Trojans - NETRESEC Blog". Netresec. 27 October 2014. Retrieved 2018-04-15.
  9. ^ "CRASHOVERRIDE: Analysis of the Threat to Electric Grid Operations" (PDF).
  10. ^ a b c d e f "Dragonfly: Cyberespionage Attacks Against Energy Suppliers" (PDF). 7 July 2014.
  11. ^ "Attackers Using Havex RAT Against Industrial Control Systems SecurityWeek.Com". www.securityweek.com. Retrieved 2018-04-18.