아니.. 이게뭐라고 방문자수가 이렇게 늘어난걸까..
갑자기 늘어난 방문자 수에 하루종일 고민해봤는데
결론적으로 똥싸는 사람이 많아서 그런거같아.
인생 뭐 그런거 아니겠서?
지난번 글에서는 솔라윈즈(Solarwinds) 해킹사고의 개요,
공격 방법이었던 공급망 공격(Supply Chain Attack)
그리고 해당 공격에서 사용된 악성코드 3대장 중
SUNBURST와 관련된 분석글들에 대해 정리해보았네.
쓸땐 몹시 후훗..했는데 다 쓰고 자고 일어나서 다시 보니까 진짜 글 삭제하고싶었는데
다음글 더 잘쓰면 되는거 아니겠니 하고 걍 안지웠숴
몰라
그럼 오늘은 남은 SUNSPOT과 TEARDROP에 대한 자료들을 정리해볼게
SUNSPOT
처음 솔라윈즈 해킹사건에 대한 이야기가 와글와글 나올 땐 SUNBURST에 대한 이야기만 바글바글 했어.
SUNBURST가 하늘에서 똑 떨어진것도 아니고.. 저정도로 백도어 코드를 쟝쟝 넣으려면
사전에 뭔가가 있었을텐데.. 라는 생각이 들었지만 쏟아지는 SUNBURST에 대한 자료를 정리하고 샘플을 보느라
존재에 대해 잠시 잊고 있을 무렵 CROWDSTRIKE 블로그에 이런 글이 하나 올라와.
SUNSPOT: An Implant in the Build Process(2021.01.11)
www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
SUNSPOT Malware: A Technical Analysis | CrowdStrike
In this blog, we offer a technical analysis of SUNSPOT, malware that was deployed into the build environment to inject this backdoor into the SolarWinds Orion platform.
www.crowdstrike.com
SUNBURST 백도어 코드를 추가하기 위한 사전 작업에서 사용된 악성코드라고 해.
상당히 잘 정리되어있으니 읽어보면 좋을 것 같아서 들고왔어.
나같은 경우는 사실 공급망 공격 이라는 단어의 개념 정도만 이해하고 있는 상황이었는데
이렇게 샘플로 보니까 확 와닿는거같아.
아쉽게도 샘플을 구하지 못해서 분석해보진 못했지만, 글에 잘 설명 되어있으니 안심하라구?
MITRE ATT&CK에도 업데이트 되어있네.
Sunspot
attack.mitre.org/software/S0562/
Sunspot, Software S0562 | MITRE ATT&CK®
attack.mitre.org
(+) MITRE ATT&CK에 대한 정보는 왜 자꾸 들고오나용?
개인적으로든 업무적으로든 내가 분석한 이슈나 샘플에 대해서 MITRE ATT&CK로 정리를 해보려고 연습(?)중이야.
그래서 그래.. 순전히 내 관심사라서.. 눈에 익히려고..
잠깐 정리를 해보자면
악성코드의 사용 순서만 두고 보면
SUNSPOT -> SUNBURST -> TEARDROP 이되겠구만.
SUNSPOT이 따악 빌드중인 환경을 감시하고있다가
SUNSPOT : 어? ㅋㅋ 얘 빌드함 ㄱㄱ
하고 빌드중인 프로세스를 쌔벼서 SUNBURST 코드를 추가시킨 다음에 따악 완성 두둥탁
어이없다 증말.. 이게.. 되네..
TEARDROP
SUNBURST 관련글을 보면 꼭 나오는 이름이었어.
메모리전용 드로퍼(?) 라고 하는데 이놈도 도통 이해가 안되는거야
그래서 SUNBURST에서 드롭(DROP)이 되는건지 다운(DOWN)이 되는 건지..
그 행위는 어디있는데 난 코드에서 못찾고 있는건지 나만못찾나
아니 누가 제발좀 알려줘!!!!!!! 하고있는데 ㅎㅎ
Deep dive into the Solorigate second-stage activation: From SUNBURST to TEARDROP and Raindrop(2021.01.20)
Deep dive into the Solorigate second-stage activation: From SUNBURST to TEARDROP and Raindrop - Microsoft Security
Our continued investigation into the Solorigate attack has uncovered new details about the handover from the Solorigate DLL backdoor (SUNBURST) to the Cobalt Strike loader (TEARDROP, Raindrop, and others).
www.microsoft.com
밟아본적도 없는 미국땅을 향해 큰절을 올리고 읽어봤지모야.
궁금했던 SUNBURST와 TEARDROP(and Raindrop)의 연결고리에 대해 잘 설명해준 좋은 글이라고 생각해.
다 영어지만 어쩔수 없어. 구글 번역기와 파파고를 잘 섞어 쓰면..킄..킄
Teardrop(MITRE ATT&CK)
attack.mitre.org/software/S0560/
Teardrop, Software S0560 | MITRE ATT&CK®
attack.mitre.org
TEARDROP(malpedia)
malpedia.caad.fkie.fraunhofer.de/details/win.teardrop
TEARDROP (Malware Family)
New Actor for win.teardrop Stealth Mango and Tangelo ALLANITE (Palmetto Fusion, Allanite)ANTHROPOID SPIDER (Empire Monkey, CobaltGoblin)APT 16 (APT16, SVCMONDR)APT 22 (APT22, BRONZE OLIVE)APT 26 (APT26, Hippo Team, JerseyMikes, Turbine Panda, BRONZE EXPRES
malpedia.caad.fkie.fraunhofer.de
malpedia는 해당 악성코드와 관련된 글들을 리스트화(?) 해둔 사이트야
어지간한 악성코드에 대한 내용은 다 나오고 레퍼런스도 보기 편하게 정렬되어있어서 자주 애용하는 사이트.
레퍼런스 뿐만아니라 보안회사마다 다르게 부르는 악성코드명이나 APT그룹명을 싹다 정리해줘서
도움이 될때가 아주 많은 개꿀사이트라궁 ㅎㅎ!! 그래서 가져와봤어
두둠탁
다못하는데.. 그나마 조금.. 할 줄 아는게 분석이라...
해당 사건을 악성코드 위주로 정리해봤네
이번 이슈를 보면서 (지극히)개인적으로 느꼈던 점은
이거이거 항상 업데이트 꼬박꼬박 하라고 그러는데
업데이트만 열심히했는데 공격 대상이 되었네? 이런 상황은 어쩔..?
이라는 생각이 들 수 있겠더라고. 갸아악
이거이거..
그렇다고 업데이트를 안할수도 없고 ㄲㄲ
참 어려운 문제야.
이게 뭔가 샘플 분석을 직접 한 내용이 없어서 그른가
악성코드 개발자의 진짜 광기는 못보여주고 나의 주식에 대한 진짜 광기만 보여주고있는거 같네
..
아 뭔가 아쉬운데.. 더 손대기 귀찮은 기분 알아..?
하 이거참..진짜.. 이거원..
뭐그냥 이슈 이해하는데 약간의 도움이 되었으면 좋겠어.
모자란 부분은 앞으로 차차 채워나가보도록 할게.
그럼이만!
Q. 근데 왜 반말이냐 ?
A. 컴터 1도 모르는 내 친동생에게 설명해주는 느낌으로 쓰는거라 그래, 컨셉정도로 생각해줘.
(대충 고스트 훈수왕 짤)
내 본캐는 상당히 소심하고 정중한 편이라서 실제로는 이렇게 말도 못함ㅎㅎ
그냥 가볍게 봐줘
..무겁게 보지말고..
물론 난 존나 무거웡..
'Malware > 똥싸면서 보기좋은' 카테고리의 다른 글
| [2021.02.09] 솔라윈즈(Solarwinds) 해킹사건 이슈정리(1) (6) | 2021.02.09 |
|---|