비트 및 바이트: 새롭게 확인된 백도어인 BITSLOTH 분석하기

비트슬로우 한눈에 보기

BITSLOTH는 새로 발견된 Windows 백도어로, 명령 및 제어 메커니즘으로 백그라운드 인텔리전트 전송 서비스(BITS)를 활용합니다. 비트슬로스는 올여름 초 중남미 지역 내 침입 사건에서 발견되었습니다. 이 멀웨어는 저희가 아는 한 공개적으로 문서화되지 않았으며, 배후가 누구인지는 확실하지 않지만 VirusTotal에 업로드된 여러 버전을 추적한 결과 수년 동안 개발되어 온 멀웨어입니다.

이 문서가 발행된 시점의 가장 최신 백도어에는 키 로깅 및 화면 캡처 기능을 포함한 35 핸들러 기능이 있습니다. 또한 BITSLOTH에는 검색, 열거 및 명령줄 실행을 위한 다양한 기능이 포함되어 있습니다. 이러한 기능을 바탕으로 이 도구는 피해자로부터 데이터를 수집하기 위해 설계된 것으로 평가합니다.

핵심 사항

• 새로 발견된 Windows 백도어인 BITSLOTH
• BITSLOTH는 명령 및 제어 통신을 위해 기본 제공 Microsoft 기능인 BITS(백그라운드 인텔리전트 전송 서비스)를 사용합니다.
• 검색/열거, 실행 및 수집 목적으로 사용되는 수많은 명령 핸들러가 BITSLOTH에 있습니다.
• 백도어에는 작성자가 중국어 원어민인 것과 일치하는 로깅 함수와 문자열이 포함되어 있습니다.

탐색

저희 팀은 6월 25일 REF8747 기간 동안 서버 환경에 설치된 BITSLOTH를 관찰했으며, 이는 남미 정부의 외무부에 대한 침입이었습니다. 침입은 감염된 엔드포인트 중 하나에서 PSEXEC을 실행한 것으로 추적되었습니다. 공격자들은 비슬로트를 제외한 대부분의 작업에 공개적으로 사용 가능한 수많은 도구를 사용했습니다.

• RINGQ
• IOX
• 스타우어웨이
• GODPOTATO
• NOPAC
• MIMIKATZ
• PPLFAULT
• 인증

실행의 주요 메커니즘 중 하나는 RINGQ라는 셸코드 로딩 프로젝트를 통해 이루어졌습니다. 도넛로더와 비슷한 방식으로 RINGQ는 모든 Windows 실행 파일을 변환하고 사용자 지정 셸코드를 생성하여 파일(.main.txt)에 저장합니다. 이 셸코드는 복호화되어 인메모리에서 실행됩니다. 이 기술은 일부 안티멀웨어 제품에서 해시 차단 목록이나 정적 서명에 의존하는 방어를 우회하는 데 사용됩니다.

RINGQ가 IOX 포트 포워더를 로드하는 데 사용되는 것을 확인했습니다. 참고: 아래 이미지의 키는 'whoami'를 16진수로 변환한 것입니다.

또한 공격자들은 STOWAWAY 유틸리티를 사용하여 HTTP를 통해 암호화된 트래픽을 C2 서버로 프록시했습니다. 프록시 도구, 터널러, 리디렉터는 침입 시 침입을 일으킨 공격자를 숨기기 위해 일반적으로 사용됩니다. 이러한 도구는 공격자에게 내부 네트워크 제어를 우회하는 기능, 터미널 인터페이스, 암호화 기능 및 파일 전송 옵션을 제공하는 등 다양한 기능을 제공합니다.

최초 액세스 후 액터는 옆으로 이동하여 ProgramData 디렉터리 내에 DLL(flengine.dll)의 형태로 BITSLOTH를 드롭했습니다. 그런 다음 배우가 음악 제작 프로그램인 FL Studio(fl.exe)를 실행했습니다. 자체 인젝션 경고와 관련된 관찰된 호출 스택을 기반으로 위협 행위자가 서명된 버전의 FL Studio를 사용하여 기존의 사이드 로딩 기법을 사용했음을 확인했습니다.

  c:\windows\syswow64\ntdll.dll!0x770841AC
  c:\windows\syswow64\ntdll.dll!0x7709D287
  c:\windows\syswow64\kernelbase.dll!0x76ED435F
  c:\windows\syswow64\kernelbase.dll!0x76ED42EF
  Unbacked!0x14EAB23
  Unbacked!0x14EA8B6
  c:\programdata\pl studio\flengine.dll!0x74AD2F2E
  c:\programdata\pl studio\fl.exe!0xDB3985
  c:\programdata\pl studio\fl.exe!0xDB3E5E
  c:\programdata\pl studio\fl.exe!0xDB4D3F
  c:\windows\syswow64\kernel32.dll!0x76B267F9
  c:\windows\syswow64\ntdll.dll!0x77077F4D
  c:\windows\syswow64\ntdll.dll!0x77077F1B

이 호출 스택은 프로세스 인젝션 경고와 함께 생성되었으며, 연구원들은 읽기/쓰기/실행(RWX) 페이지 보호가 설정된 인메모리 DLL을 추출할 수 있었습니다.

BITSLOTH overview

분석 중에 2021년 12월 이후의 개발 기록을 보여주는 몇 가지 오래된 BITSLOTH 샘플을 발견했습니다. 이 프로젝트에서 멀웨어 개발자는 주목할 만한 용어를 선택했는데, 비트슬로스를 Slaver 구성 요소로, 명령 및 제어 서버를 Master 구성 요소로 지칭했습니다. 아래는 이를 설명하는 BITSLOTH에 연결된 PDB 파일 경로 중 하나의 예시입니다:

비츠로스는 제어 흐름에 대한 난독화나 문자열 암호화를 사용하지 않습니다.

이전 샘플과 최근 샘플 모두 로깅 및 디버깅 목적으로 사용되는 문자열이 포함되어 있습니다. 시작 시 예를 들어 읽기 전용 섹션에 참조된 문자열(.rdata)이 있습니다.

이 중국어 간체 와이드 문자 문자열은 다음과 같이 번역됩니다: Note: There is already a program running, do not run it again…

비츠로트에 포함된 이러한 작은 스니펫은 기능의 개발 및 우선순위 지정과 함께 운영자 지침으로 보이는 내용을 밝히는 데 도움이 됩니다. 최신 버전에서는 개발자가 비슬로트가 피해자 환경에서 작동해야 하는 특정 시간을 제어하기 위해 새로운 스케줄링 구성 요소를 추가했습니다. 이는 EAGERBEE와 같은 다른 최신 멀웨어 제품군에서도 관찰된 기능입니다.

비트슬로 코드 분석

BITSLOTH는 다음과 같은 다양한 기능을 갖춘 백도어입니다:

• 명령 실행 및 실행
• 파일 업로드 및 다운로드
• 열거 및 검색 수행
• 키 로깅 및 화면 캡처를 통한 민감한 데이터 수집

Mutex

각 샘플 내에서 하드코딩된 뮤텍스(Global\d5ffff77ff77adad657658)를 사용하여 한 번에 하나의 인스턴스만 실행되도록 합니다.

커뮤니케이션

비트슬로우는 전통적인 클라이언트/서버 아키텍처를 채택하고 있으며, 개발자는 클라이언트를 Slaver 구성 요소로, 명령 및 제어 서버(C2)를 Master 구성 요소로 지칭합니다. 개발자는 각 샘플에 C2 서버의 IP/포트를 프론트로드 문자열(rrrr_url)로 임베드합니다. 이 문자열은 메모리에서 실행되는 동안 자체적으로 C2 구성을 식별하는 키 역할을 하며, C2 서버를 업데이트할 때 사용됩니다.

아래는 저희 팀이 관찰한 몇 가지 샘플의 구성으로, 위협 행위자는 내부 및 외부 IP 범위를 모두 구성합니다.

rrrr_url216.238.121[.]132:8443
rrrr_url192.168.1[.]125:8443 
rrrr_url192.168.1[.]124:8443
rrrr_url45.116.13[.]178:443

비츠로스의 가장 큰 특징 중 하나는 C2용 백그라운드 지능형 전송 서비스 (BITS)를 사용한다는 점입니다. 이 기능은 두 컴퓨터 간의 파일 네트워크 전송을 용이하게 하기 위해 설계되었지만, 여러 국가 지원 단체에서 악용되어 조직에 대한 감시망을 피할 수 없게 되었습니다. 많은 조직이 여전히 BITS 네트워크 트래픽을 모니터링하고 비정상적인 BITS 작업을 탐지하는 데 어려움을 겪고 있기 때문에 이 매체가 공격자들에게 매력적으로 다가갑니다.

Windows에는 HTTP 웹 서버 또는 SMB 공유에 파일을 다운로드하고 업로드할 수 있는 BITS(백그라운드 지능형 전송 서비스)라는 시스템 관리 기능이 있습니다. BITS 서비스는 파일 전송 과정에서 전송 일시 중지/재개 기능, 네트워크 중단 처리 등 다양한 기능을 사용합니다. BITS 트래픽은 일반적으로 소프트웨어 업데이트와 연관되어 있으므로 신뢰할 수 있는 것으로 잘못 암시됩니다. 많은 조직에서 BITS 네트워크 트래픽에 대한 가시성이 부족하여 매력적인 공격 대상이 되고 있습니다.

BITS API는 Window의 컴포넌트 객체 모델 (COM)을 통해 IBackgroundCopyManager 인터페이스를 사용하여 노출됩니다. 이 인터페이스는 새 작업을 만들고, 전송 대기열에 있는 기존 작업을 열거하고, 전송 대기열에서 특정 작업에 액세스할 수 있는 기능을 제공합니다.

초기화 후 BITSLOTH는 다음 표시 이름과 일치하는 피해 컴퓨터의 기존 BITS 작업을 모두 취소합니다:

• WU Client Download
• WU Client Upload
• WU Client Upload R

개발자는 이러한 이름을 사용하여 서로 다른 BITS 전송 작업을 혼합하고 해당 BITS 작업 유형과 연결합니다. 기존 작업을 취소하면 멀웨어가 깨끗한 상태에서 실행될 수 있습니다.

다음은 BITS 작업 유형과 일치하는 Microsoft 의 정의입니다:

• BG_JOB_TYPE_DOWNLOAD - 작업이 클라이언트에 파일을 다운로드하도록 지정합니다.
• BG_JOB_TYPE_UPLOAD - 작업이 파일을 서버에 업로드하도록 지정합니다.
• BG_JOB_TYPE_UPLOAD_REPLY - 작업이 서버에 파일을 업로드하고 서버 애플리케이션으로부터 응답 파일을 받도록 지정합니다.

기존 작업을 취소한 후 MAC 주소와 운영 체제 정보를 검색하여 전역 변수에 배치합니다. 새 스레드가 생성되어 자동 시작 기능을 구성합니다. 이 스레드 내에서 (Microsoft Windows)라는 이름의 새 BITS 다운로드 작업이 생성됩니다.

이 다운로드 작업은 대상 URL을 http://updater.microsoft[.]com/index.aspx 로 설정합니다. 이 도메인은 라우팅할 수 없지만, BITSLOTH는 정상적으로 보이는 도메인을 위장하여 이 BITS 작업을 가장한 다음 전송 상태가 변경되면 SetNotifyCmdLine을 사용하여 멀웨어를 실행합니다.

흥미롭게도 이 독특한 툴마크를 통해 이 제품군이 몇 년 동안 유통되어 왔음을 보여주는 추가 샘플을 확인할 수 있었습니다.

이 시점에서 멀웨어는 이제 Microsoft Windows 이라는 BITS 작업을 통해 지속성으로 구성되었습니다. 아래는 이 작업의 구성 스크린샷으로, 알림 명령줄이 BITSLOTH 위치로 설정되어 있음을 보여줍니다(C:\ProgramData\Media\setup_wm.exe).

비츠로스가 활성화되면 WU Client Download 작업을 사용하여 C2 서버에 명령을 요청하기 시작합니다. 이 요청 URL은 MAC 주소와 하드코딩된 문자열(wu.htm)을 결합하여 생성됩니다. 아래는 URL 예시입니다:

https://192.168.182.130/00-0C-29-0E-29-87/wu.htm

이 요청에 대한 응답으로 멀웨어는 C2 서버로부터 작업의 고유 ID, 핸들러의 명령 ID, 응답 토큰이 포함된 12바이트 구조를 수신합니다. 이러한 파일 전송 교환 과정에서 피해 컴퓨터의 임시 파일은 전송되는 데이터를 앞뒤로 보관하는 자리 표시자로 사용되며, BITSLOTH는 임의의 문자(wm)로 시작하는 파일 이름에 임의의 문자를 추가하여 사용합니다.

명령 기능

비트슬로스는 35 함수가 있는 명령 핸들러를 사용하여 피해 컴퓨터에서 수행해야 하는 특정 작업을 처리합니다. 이 멀웨어는 HTTP 또는 HTTPS로 구성할 수 있으며 하드코딩된 단일 바이트 XOR(0x2)을 사용하여 C2 서버에서 들어오는 명령을 난독화합니다. 수집된 피해자 데이터가 포함된 아웃바운드 요청에는 멀웨어 자체에 의한 추가 보호 기능이 없으며 일반 텍스트로 전송됩니다.

빠르게 움직이기 위해 저희 팀은 SafeBreach Labs에서 공개한 유용한 파이썬 구현의 BITS 서버를 활용했습니다. 가상 머신 내부의 루프백 주소로 C2 IP를 설정함으로써 네트워크 트래픽에 대한 인사이트를 얻을 수 있었습니다.

핸들러는 모두 기본 함수를 수행한 다음 핸들러에서 반환된 데이터를 로컬 임시 파일에 쓰는 유사한 방식으로 작동합니다. 그런 다음 이러한 임시 파일은 WU Client Upload 이라는 BITS 업로드 작업에 매핑됩니다. 각 핸들러는 고유한 문자열 형식을 사용하여 고유한 대상 URL을 만듭니다. URL 끝에 있는 각 파일명은 프로세스의 경우 P.bin, 서비스의 경우 S.bin 등 호스트에서 수집한 데이터의 유형을 나타내는 단일 문자를 사용합니다.

http://192.168.182.130/00-0C-29-0E-29-87/IF/P.bin

아래는 문자열 서식이 있는 프로세스 열거 처리기와 이 데이터가 BITS 업로드 작업에 어떻게 연결되는지 보여주는 스크린샷 예시입니다.

유출된 데이터에 대한 이 링크는 BITS 업로드 작업을 직접 확인하여 확인할 수도 있습니다. 아래 스크린샷에서 업로드를 위한 대상 URL(C2 서버)과 작업에 연결된 임시 파일(wm9F0C.tmp)을 확인할 수 있습니다.

임시 파일을 살펴보면 피해 호스트에서 수집한 프로세스 정보를 확인할 수 있습니다.

업로드 작업이 생성된 직후, 캡처된 데이터가 포함된 BITS_POST 요청을 통해 데이터가 네트워크를 통해 전송됩니다.

명령 처리 테이블

백도어 기능

비트슬로트에는 공격자가 피해자 환경에서 활동할 수 있는 광범위한 사후 손상 기능이 포함되어 있습니다. 다양한 카테고리로 분류하여 더 중요한 기능에 집중할 것입니다.

Discovery/enumeration

비트슬로트 핸들러의 일부는 피해 컴퓨터에서 데이터를 검색하고 열거하는 데 중점을 둡니다. 여기에는 다음이 포함됩니다:

• WTSEnumerateProcessesW를통해 프로세스 정보 검색하기
• EnumServicesStatusW를통한 Windows 서비스 수집
• 콜백 함수를 사용하여 EnumWindows를 통해 모든 최상위 창을 열거하기
• systeminfo 와 같은 Windows 유틸리티를 통해 시스템 정보 검색하기 msinfo32

많은 핸들러에서 로캘 버전이 chs (중국어 - 간체)로 구성되어 있습니다.

BITSLOTH에는 파일 목록 검색 및 디렉터리 트리 검색 수행과 관련된 몇 가지 사용자 정의 열거 함수가 있습니다. 파일 목록 핸들러는 운영자의 사용자 지정 매개변수를 사용하여 관심 있는 특정 폴더 위치를 대상으로 지정합니다:

• GET_DESKDOP → CSIDL_DESKTOPDIRECTORY (데스크톱)
• GET_BITBUCKET -> CSIDL_BITBUCKET (휴지통)
• GET_PERSONAL -> CSIDL_MYDOCUMENTS (내 문서)

BITSLOTH는 또한 Windows 트리 유틸리티를 사용하여 모든 파일에 대해 컴퓨터의 전체 디렉토리/파일 목록을 수집할 수 있습니다. 이 핸들러는 각 드라이브 문자에 대해 알파벳을 반복하여 데이터를 aghzyxklg 이라는 임시 파일에 로컬로 저장합니다.

그런 다음 트리 데이터가 압축되어 .ZIP 확장자를 사용하여 C2 서버로 전송됩니다. 아래는 수집된 데이터의 예시입니다. 이 데이터는 민감한 파일을 정확히 찾아내거나 대상 환경에 대한 자세한 컨텍스트를 제공하는 데 도움이 될 수 있습니다.

수집

수집 측면에서는 적극적으로 정보를 수집하는 데 사용되는 몇 가지 핸들러가 있습니다. 이 기능은 데스크톱에서 스크린샷을 캡처하고 키로깅 기능을 수행하는 데 중점을 두고 있습니다.

캡처 녹화 장치를 식별하는 데 사용되는 경량 함수를 구현하고 있는데, 이는 Windows API(capGetDriverDescriptionW)를 사용하여 카메라를 확인하는 기술인 것으로 보입니다.

비츠로스는 운영자가 제공한 매개변수를 기반으로 스크린샷을 찍을 수 있는 기능이 있습니다. 이 함수에 입력할 때는 구분 기호(||)를 사용하여 캡처 간격(초)과 캡처 횟수를 지정할 수 있습니다. 이미지는 하드 코딩된 이름( ciakfjoab )의 BMP 파일로 저장되며 .ZIP 아카이브를 사용하여 DEFLATE 알고리즘으로 압축됩니다. 이렇게 타임스탬프가 찍힌 압축 아카이브는 C2 서버로 전송됩니다.

이 핸들러는 Gdi32.dll 의 CreateCompatibleBitmap 및 BitBlt 와 같은 일반적인 스크린샷 API를 활용합니다.

키 입력을 기록하기 위해 BITSLOTH는 GetAsyncKeyState/GetKeyState를 사용하여키 누름을모니터링하는 기존 기술을 사용합니다. 핸들러에는 키 로깅을 수행할 시간(초)에 대한 인수가 있습니다. 이 데이터는 .ZIP 파일로 압축되어 C2 서버로 아웃바운드 전송됩니다.

실행 / 유지 관리

비츠로스는 유지 관리 및 파일 실행과 관련된 다양한 기능뿐만 아니라 다음과 같은 표준 백도어 기능도 제공합니다:

• ShellExecuteW를통해 독립적으로 파일을 실행하는 기능
• 파이프를 통해 명령을 실행하고 데이터를 다시 읽어오는 Windows 터미널 기능
• 디렉토리 생성, 재부팅, 시스템 종료, 프로세스 종료하기
• C2 서버 간 파일 업로드 및 다운로드 수행
• 통신 모드, C2 URL 업데이트, 키로깅/스크린샷 기능 끄기 등 BITSLOTH 구성 수정하기

BITSLOTH pivots

BITSLOTH가 활발하게 배포되고 있는 것으로 보입니다. 침입에 사용된 것과 동일한 SSL 인증서로 동일한 포트(8443)를 사용하는 또 다른 BITSLOTH C2 서버(15.235.132[.]67)를 확인했습니다.

While it’s not exactly clear who’s behind BITSLOTH, there was a large amount of activity of VirusTotal uploads occurring on December 12, 2021. With around 67 uploads over 24 hours from one submitter (1fcc35ea), we suspect someone linked to this project was validating detections, making modifications, and uploading different versions of BITSLOTH to VirusTotal. One sample was packed with VMProtect, others stripped of functionality, some uploads were debug builds, etc.

그로부터 많은 시간이 지났지만 최근 침입 사건에 이 가족이 등장하는 것은 흥미롭습니다. 이 멀웨어의 목적이 무엇이든, 이 멀웨어 패밀리가 그토록 오랜 기간 동안 감시망 아래에 있었다는 것은 놀라운 일입니다.

REF 8747 를 통해 MITRE ATT&CK

Elastic은 MITRE ATT& CK 프레임워크를 사용하여 지능형 지속적 위협이 기업 네트워크에 대해 사용하는 일반적인 전술, 기술 및 절차를 문서화합니다.

[h4] 전술 전술은 기술 또는 하위 기술의 이유를 나타냅니다. 이는 적의 전술적 목표, 즉 행동을 수행하는 이유입니다.

• 수집
• 명령 및 제어
• 탐색
• 실행
• 침투
• 지속성 유지

기술

기술은 공격자가 행동을 수행하여 전술적 목표를 달성하는 방법을 나타냅니다.

• BITS 작업
• 시스템 정보 검색
• 하이재킹 실행 흐름: DLL 사이드 로딩
• 화면 캡처
• 입력 캡처: 키 로깅
• 프록시

REF8747 감지

탐지

이 침입 집합을 분석하는 동안 다음과 같은 탐지 규칙과 행동 방지 이벤트가 관찰되었습니다:

• BITS 작업 알림 Cmdline을 통한 지속성
• PPL 우회를 통한 LSASS 접속 시도
• 서명되지 않은 실행 파일에서 LSASS 액세스 시도
• 의심스러운 부모-자녀 관계
• 알려진 유틸리티를 통한 자격 증명 액세스
• 셸코드 주입

YARA 서명

• Windows.Hacktool.Mimikatz
• Windows.Trojan.BITSloth
• Windows.Hacktool.Iox
• Windows.Hacktool.Rubeus
• Windows.Hacktool.Certify
• Windows.Hacktool.RingQ
• Windows.Hacktool.GodPotato
• Multi.Hacktool.Stowaway

YARA

Elastic Security는 이 활동을 식별하기 위해 YARA 규칙을 만들었습니다. 다음은 비트슬로트를 식별하는 YARA 규칙입니다:

rule Windows_Trojan_BITSLOTH_05fc3a0a {
    meta:
        author = "Elastic Security"
        creation_date = "2024-07-16"
        last_modified = "2024-07-18"
        os = "Windows"
        arch = "x86"
        threat_name = "Windows.Trojan.BITSLOTH"
  	 license = "Elastic License v2"

    strings:
        $str_1 = "/%s/index.htm?RspID=%d" wide fullword
        $str_2 = "/%s/%08x.rpl" wide fullword
        $str_3 = "/%s/wu.htm" wide fullword
        $str_4 = "GET_DESKDOP" wide fullword
        $str_5 = "http://updater.microsoft.com/index.aspx" wide fullword
        $str_6 = "[U] update error..." wide fullword
        $str_7 = "RMC_KERNEL ..." wide fullword
        $seq_global_protocol_check = { 81 3D ?? ?? ?? ?? F9 03 00 00 B9 AC 0F 00 00 0F 46 C1 }
        $seq_exit_windows = { 59 85 C0 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A 02 EB ?? 56 EB }
    condition:
        2 of them
}

관찰

모든 관측값은 결합된 압축 파일 번들로 ECS 및 STIX 형식으로도 다운로드할 수 있습니다.

이 연구에서는 다음과 같은 관찰 가능성에 대해 논의했습니다.

참고 자료

위의 조사에서 참조한 내용은 다음과 같습니다:

• https://github.com/SafeBreach-Labs/SimpleBITSServer/tree/master
• https://github.com/T4y1oR/RingQ
• https://github.com/EddieIvan01/iox
• https://github.com/ph4ntonn/Stowaway/

Elastic 보안 연구소 소개

Elastic Security Labs는 위협 환경에 긍정적인 변화를 일으키는 데 전념하는 Elastic Security의 위협 인텔리전스 부서입니다. Elastic Security Labs는 전략적, 운영적, 전술적 적의 목표에 대한 분석과 함께 새로운 위협에 대한 공개적으로 이용 가능한 연구를 제공한 다음, 이러한 연구를 Elastic Security의 기본 제공 탐지 및 대응 기능과 통합합니다.

트위터 @elasticseclabs를 팔로우하고 www.elastic.co/security-labs/ 에서 저희 연구 결과를 확인하세요.