전 세계가 WannaCry 랜섬웨어와 싸우고 있을 때, WikiLeaks가 새로운 CIA 7 시리즈로 2가지의 CIA 악성코드 프레임워크를 공개했습니다. 

이번에 공개된 악성코드 프레임워크는 ‘AfterMidnight’, ‘Assasin’으로 명명되었습니다. 두 가지 모두 윈도우OS를 사용하는 감염된 원격 호스트 컴퓨터에서 활동을 모니터링하여 보고하고, CIA의 악성 작업을 실행하도록 설계 되었습니다.

이는 지난 3월 이후부터 WikiLeaks가 공개한 ‘Vault 7’ 시리즈의 8번째 릴리즈입니다.

WikiLeaks에 따르면, ‘AfterMidnight’은 운영자가 타겟 시스템에서 동적으로 악성 페이로드를 로드하고 실행할 수 있도록 허용합니다. 

‘AfterMidnight’ 악성 페이로드의 메인 컨트롤러는 Windows Dynamic-Link Library (DLL) 파일로 위장하여 타겟 소프트웨어의 기능을 무력화하고, 타겟을 점검하거나 다른 Gremlin들을 위한 서비스를 제공하는 방식으로 타겟 디바이스에 숨은 채 남아있는 작은 페이로드인 “Gremlins”를 실행합니다. 

일단 타겟 머신에 설치되면, AfterMidnight은 HTTPS 기반의 Listening Post(LP)시스템인 “Octopus”를 사용해 예약된 이벤트가 있는지 확인합니다. 이벤트가 발견될 경우, 악성코드 프레임워크는 메모리 내의 모든 새로운 gremlin들이 로드되기 전 필요한 모든 컴포넌트를 다운로드 및 저장합니다.

최근 유출사건을 통해 공개된 사용자 설명서에 따르면, AfterMidnight과 관련된 로컬 스토리지는 타겟 머신에 저장되지 않는 키를 이용해 암호화합니다. “AlphaGremlin”이라 불리는 특수 페이로드는 운영자들이 타겟 시스템에서 실행될 커스텀 작업들을 예약할 수 있도록 허용하는 커스텀 스크립트 언어도 포함하고 있습니다. 

Assassin은 AfterMidnight과 유사하며, “윈도우 OS를 사용하는 원격 컴퓨터에서 간단한 정보들을 수집 플랫폼을 제공하는 자동화 된 임플란트”라고 설명되어 있습니다.

Assassin이 타겟 컴퓨터에 설치되면, 이 툴은 윈도우 서비스 프로세스에서 해당 임플란트를 실행해 운영자들이 감염된 머신에서 악성 활동을 하도록 허용합니다. Assassin은 임프란트, 빌더, C&C, Listening Post(LP) 총 4개의 서브 시스템으로 구성되어 있습니다. ‘임플란트’는 윈도우 머신을 타겟으로하는 이 툴의 핵심 로직 및 기능성을 제공합니다. 이는 ‘빌더’를 통해 구성되고, 정의되지 않은 벡터를 통해 타겟 컴퓨터로 배포됩니다.

사용자 설명서에 따르면, ‘빌더’는 배포 전 임플란트와 ‘배포 실행 파일들’을 구성하며, “임플란트를 생성하기 전 세팅을 위한 커스텀 명령어 라인 인터페이스를 제공한다.”고 언급되어 있습니다. 

‘C&C’ 서브 시스템은 운영자와 Listening Post(LP) 사이의 인터페이스 역할을 하며, LP는 Assassin 임플란트가 웹서버를 통해 C&C 서브시스템과 통신하도록 허용합니다. 

출처 

http://thehackernews.com/2017/05/windows-malware-framework.html