HFS(HTTP File Server)는 단순한 형태의 웹 서비스를 제공해 주는 프로그램이다. 직접 웹 서버를 구축할 필요 없이 실행 파일만으로 웹 서비스를 제공할 수 있기 때문에 파일 공유 목적으로 자주 사용되며 사용자들 또한 웹 브라우저를 통해 주소에 접속해 파일을 쉽게 다운로드할 수 있다.

Figure 1. 파일 공유에 사용되는 HFS 프로그램

HFS를 사용할 경우 사용자들이 HFS 웹 서버에 접속해 파일을 다운로드할 수 있도록 불특정 다수에게 공개되어 있기 때문에 만약 HFS에 취약점이 존재할 경우 외부로부터 공격 대상이 될 수 있다. 2024년 5월 HFS의 원격 코드 실행 취약점인 CVE-2024-23692가 공개되었으며 이를 활용할 경우 공격자는 HFS에 명령이 포함된 패킷을 전송하여 HFS가 악성 명령을 실행하도록 할 수 있다. 취약점은 비록 최신 버전은 아니지만 많은 사용자들이 사용하고 있는 “HFS 2.3m” 버전도 포함된다.

1. CVE-2024-23692 취약점

취약점이 알려진 이후 얼마 지나지 않아 PoC도 공개되었으며 이를 이용할 경우 다음과 같이 원격에서 HFS 서버에 명령이 포함된 패킷을 전송할 수 있다. 즉 공격자는 외부에 공개되어 있는 HFS 서비스를 스캐닝한 이후 CVE-2024-23692 취약점을 악용해 외부에서 악성코드를 설치하거나 제어를 탈취할 수 있다.

Figure 2. PoC를 이용한 취약점 공격

AhnLab Security intelligence Center (ASEC)에서는 취약점을 활용한 공격을 모니터링하고 있으며 AhnLab Smart Defense (ASD) 인프라를 통해 HFS 프로세스가 악성코드를 설치하고 있는 사례를 확인하였다. 해당 공격은 취약점이 공개된 이후부터 확인되고 있으며 많은 사용자를 보유하고 있으면서 취약한 버전인 “HFS 2.3m”인 것을 통해 CVE-2024-23692 취약점을 악용한 공격으로 추정된다.

Figure 3. 악성 명령을 실행하는 HFS

공격자들은 최초 침투 이후 “whoami”나 “arp”와 같은 명령을 이용해 시스템에 대한 정보를 수집하였으며 이후 악성코드를 설치하거나 원격 데스크톱을 통해 접속할 목적으로 백도어 계정을 추가하고 계정을 은폐하기도 하였다. 이러한 과정이 끝나면 더 이상 HFS가 다른 공격자들에게 악용되지 않도록 종료시키는 사례도 다수 확인된다. 사용되는 악성코드들이나 명령들을 보면 공격의 대부분은 중국어를 사용하는 공격자들의 소행으로 추정된다.

2. CoinMiner

가장 많이 사용된 악성코드는 모네로 가상 화폐를 채굴하는 XMRig이며 적어도 4개의 공격자들이 HFS를 공격하여 코인 마이너를 설치하고 있다. 4개의 공격자들 중 알려진 공격자로는 LemonDuck이 있다.

LemonDuck은 2019년 최초로 확인되었으며 최근까지도 다양한 취약점들을 악용해 부적절하게 관리되고 있는 시스템들을 공격하고 있다. [1] 최종적으로 설치되는 것은 XMRig 코인 마이너이지만 XenoRAT과 취약점 스캐너 스크립트가 함께 설치되는 것이 특징이다.

Figure 4. LemonDuck의 XenoRAT과 스캐너 악성코드

3. Backdoor

코인 마이너 외에도 RAT나 백도어 유형의 악성코드들도 다수 확인되는데 위에서 다룬 XenoRAT 외에도 Gh0stRAT이나 PlugX와 같이 중국 기반의 공격자들이 자주 사용하는 RAT 악성코드들과 CobaltStrike, Netcat 등이 사용되고 있다.

공격에 사용된 악성코드들 중 PlugX은 Dr. Web 보고서의 BackDoor.PlugX.38 변종으로서 [2] 과거 “취약점 공격으로 유포 중인 PlugX 악성코드” [3] 포스팅에서 다루었던 것과 동일한 유형이다. 약간의 차이점이 존재한다면 지원하는 명령이 “0xA”까지이며 지원하는 플러그인도 “Disk”, “Nethood”, “Netstat”, “Option”, “PortMap”, “Process”, “RegEdit”, “Service”, “Shell”, “SQL”, “Telnet”으로서 “KeyLog”, “Screen”, “ClipLog”, “RDP”가 제외되었다.

Figure 5. PlugX의 설정 데이터

4. GoThief

이외에도 다양한 악성코드들의 공격 사례가 존재하는데 대표적으로 아마존의 AWS를 이용해 감염 시스템의 정보를 탈취하는 GoThief가 있다. Go 언어로 제작되었으며 악성코드 제작에 사용된 소스 코드 경로인 “E:/Thief/GoThief-main/main.go”를 기반으로 여기에서는 GoThief로 분류한다.

Figure 6. GoThief의 메인 루틴

GoThief는 스크린을 캡쳐한 이후 Amazon S3 서비스를 활용하여 (Bucket 이름 : imgdev) 캡쳐한 이미지를 전송하며 바탕화면에 존재하는 파일 정보와 업로드한 스크린샷, IP 주소 등의 정보를 수집하여 또 다른 C&C 서버에 전송한다.

Figure 7. 수집한 정보를 전송 [4]

5. 결론

최근 웹 서비스를 제공해주는 HFS 프로그램에 대한 원격 코드 실행 취약점인 CVE-2024-23692가 공개되었으며 얼마 지나지 않아 취약한 버전의 HFS에 대한 공격 사례들이 지속적으로 확인되고 있다. HFS를 사용할 경우 사용자들이 HFS 웹 서버에 접속해 파일을 다운로드할 수 있도록 불특정 다수에게 공개되어 있기 때문에 만약 HFS에 취약점이 존재할 경우 외부로부터 공격 대상이 될 수 있다.

HFS를 사용 중인 경우 취약한 버전인지 점검하고 최신 버전으로 패치해 기존에 알려진 취약점으로부터 공격을 방지해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– Data/BIN.EncPe (2024.06.24.03)
– Backdoor/Win32.RL_Plugx.R285635 (2019.08.09.02)
– Trojan/Win32.RL_Cometer.R325811 (2020.02.14.00)
– Trojan/VBS.Launcher (2024.06.24.03 )
– Trojan/BAT.Agent.SC200145 (2024.06.24.03)
– Trojan/BAT.Launcher (2024.06.24.03)
– Trojan/PowerShell.Loader (2024.06.27.02)
– Trojan/Win.XenoRAT.C5586957 (2024.02.11.01)
– Infostealer/Win.GoThief.C5643764 (2024.06.24.00)
– Downloader/PowerShell.Miner
– CoinMiner/Win.XMRig.C5643760 (2024.06.24.00)
– Dropper/Win.CoinMiner.C5643759 (2024.06.24.00)
– CoinMiner/MSI.XMRig (2024.06.24.02)
– Trojan/Win.Agent.C5640510 (2024.06.13.00)
– Trojan/Win32.Npkon.R55984 (2013.03.12.03)
– Dropper/Win.Generic.C5624814 (2024.05.24.00)
– CoinMiner/Win.Generic.R649206 (2024.05.24.00)
– Trojan/Win32.Dialer.C239376 (2014.01.10.00)
– Trojan/Win.UACBypassExp.R608495 (2023.09.30.00)
– Trojan/Win.Miner3.R512976 (2022.08.31.01)
– Unwanted/Win32.NSSM.R353938 (2020.10.27.00)
– Trojan/Win32.Banker.R52371 (2013.02.10.00)
– Trojan/Win.Generic.C5042047 (2022.03.31.01)
– Trojan/BAT.Agent (2024.06.24.03)
– Trojan/Win.Miner.R416364 (2021.04.18.01)
– Unwanted/Win32.CoinMiner.C2247048 (2017.11.07.05)
– Unwanted/Win64.NSSM.C2186917 (2018.03.22.08)
– HackTool/Win32.ServiceTool.R232096 (2018.07.19.07)

행위 진단
– Exploit/MDP.Event.M4869
– Malware/MDP.Download.M1900
– Execution/MDP.Powershell.M2514
– Execution/MDP.Powershell.M1185
– InitialAccess/MDP.Powershell.M1197

IoC
MD5
– ce7dc5df5568a79affa540aa86b24773 : Gh0st RAT (2345.exe)
– 8f0071027d513867feb3eb8943ccaf05 : Gh0st RAT (systeminfo.exe)
– 77970a04551636cc409e90d39bbea931 : PlugX Loader (Roboform.dll)
– 6adaeb6543955559c05a9de8f92d1e1d : PlugX (Encoded) (WindowsWatcher.key)
– 4383b1ea54a59d27e5e6b3122b3dadb2 : GoThief (conost.exe)

C&C 서버
– 154.201.87[.]185:999 : Gh0st RAT
– 164.155.205[.]99:999 : Gh0st RAT
– support.firewallsupportservers[.]com:80 / 443 / 53 / 8080 : PlugX
– hxxp://188.116.22[.]65:5000/submit : GoTheif

다운로드 주소
– hxxp://121.204.249[.]123/2345.exe : Gh0st RAT
– hxxp://121.204.249[.]123:8077/systeminfo.exe : Gh0st RAT
– hxxp://185.173.93[.]167:13306/Roboform.dll : PlugX Loader
– hxxp://185.173.93[.]167:13306/WindowsWatcher.key : PlugX (Encoded)
– hxxps://imgdev.s3.eu-west-3.amazonaws[.]com/dev/20210623/conost.exe : GoThief