2013년 처음 소개된 Bisonal 이라는 이름의 악성코드는 일본 기관을 공격대상으로 제작되었다. 악성코드 감염 방식은 이메일의 첨부파일 형태로 이루어지며, 첨부파일의 확장자는 실행파일(*.exe)형태이나 사용자에게 보여지는 아이콘 모양이 문서파일(doc, xls, pdf, ppt) 형태로 제작되어 클릭을 유도하는 특징을 갖는다. 2014년에도 국내에 감염사례가 확인되었으나 2015년부터 변종형태의 국내접수가 증가하고 있어 사용자 주의가 요구된다. 해당 악성코드는 내부에 암호화되어 저장된 C&C 주소를 통해 공격자와 통신하며, 명령에 따라 다양한 백도어 기능을 수행한다.

 

1. 접수현황

아래의 [그림-1]은 2015년 1월부터 현재까지 확인된 Bisonal 악성코드 리스트를 나타낸다. 실행파일 내부에는 실제 문서파일도 포함하고 있으며, 실행 시 사용자에게 문서의 내용이 보여진다. 이때, 사용자 모르게 내부에 포함된 2차 악성파일도 함께 설치되며, 공격자와의 통신을 통해 다양한 정보유출이 이루어진다. 

[그림-1] Bisonal 악성코드 리스트

 

2. 문서 아이콘으로 위장

대부분의 일반 사용자의 경우, 윈도우 폴더옵션(윈도우 탐색기 -> 도구 -> 폴더 옵션 -> 보기) 중 "알려진 파일 형식의 파일 확장명 숨기기" 항목이 체크되어 있어 Bisonal 악성파일이 실행파일(exe)이 아닌 문서파일(pdf, doc, xlsx) 형태로 보여진다.

아래의 [그림-2]는 윈도우 탐색기를 통해 일반 사용자에게 보여지는 Bisonal 악성코드의 형태를 나타내며, '응용 프로그램'으로 되어 있으나 파일이름은 문서파일 형태(xlsx, ppt, pdf)임을 알 수 있다.

[그림-2] "알려진 파일 형식의 파일 확장명 숨기기" 체크 On 상태

아래의 [그림-3]은 폴더옵션의 "알려진 파일 형식의 파일 확장명 숨기기" 항목을 체크하지 않은 상태(Off)에서 사용자에게 보여지는 파일이름을 나타낸다.

[그림-3] "알려진 파일 형식의 파일 확장명 숨기기" 체크 Off 상태

이처럼 Bisonal 악성코드 외에도 문서파일로 위장한 악성코드의 배포가 빈번하게 이루어짐으로 폴더옵션을 변경하여, 문서파일 확장자 형태로 배포된 실행파일을 실수로 클릭하는 것을 예방할 수 있다. 

 

3. 외형적 특징

내부에 포함된 악성파일은 주로 윈도우 %Temp% 폴더 혹은 %windows%Tasks 폴더에 생성되며, 아래의 이름들이 사용되고 있다.

- chrome.exe
- conhost.exe
- conime.exe
- dfea.exe
- spoolsv.exe
- wininit.exe
- tmproly.exe

생성된 악성파일은 자동실행을 위해 아래의 레지스트리 'Run' 키에 자신을 등록한다.

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

해당 악성코드 이름이 Bisonal 로 명명된 것은 내부의 "bisonal" 이라는 고유한 문자열 정보에 의해 이루어진 것으로 추정된다. 하지만, 최근 3월 발견된 샘플에서는 이 문자열 부분이 명시되지 않은 형태도 확인되었다. (그림의 아래 부분이 최근 접수된 파일)

[그림-4] 악성코드 내부의 "bisonal" 문자열 정보

단순히 "bisonal" 문자열이 제거된 것 외에 접속 시도하는 C&C 주소의 암호화 방식도 변경되었다. 기존 유형에서는 고정된 0x1F (1 바이트) 키 값으로 XOR 된 형태였으나, 3월 접수 파일에서는 별도의 복호화 알고리즘이 사용되어 기존방식보다 복합한 형태로 진화하였다. 위 [그림-4]의 "CCHXERJPIGGYFUAEEJFFHKIC" 부분이 새로운 방식으로 암호화된 C&C 주소이며, "CADEHLAA"는 복호화 시 "0320" 을 나타낸다. (문자열 암호화 방식 외에도 통신 시 사용하는 패턴도 변경 됨) 3월 25일자 접수된 파일에서는 이 부분이 "test"로 복호화 되는 형태도 확인되어 앞으로도 공격이 계속 시도될 것으로 판단된다.

아래의 [그림-5], [그림-6]는 1월과 3월 발견된 Bisonal 악성코드에서 C&C 주소 복호화하는 코드를 나타낸다. 

[그림-5] C&C 주소 복호화 함수 (1월)

 

 

[그림-6] C&C 주소 복호화 함수 (3월)

 

공격자와 HTTP 통신 시, 사용되는 메시지 내용은 아래와 같은 형태가 확인되었다.

Cookie: MC1=V=3&GUID=57ee8df6bd36496e8f36f103d8261984
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET4.0C; .NET4.0E)
Connection: Keep-Alive
Host: www.google.com
Accept: application/x-shockwave-flash, image/gif, image/jpeg, image/pjpeg, application/xaml+xml, */*
Host: gmail.google.com

 

4. 주요 악성행위

Bisonal 악성코드는 공격자의 명령에 따라 다양한 백도어 기능과 시스템 파일 변조기능을 갖고있다.

 

(1) 백도어 기능

C&C 통신을 통해 수행하는 주요 악성행위들은 다음과 같다.

- 컴퓨터 이름, 사용자 계정, IP, OS 정보유출
- 실행중인 프로세스 및 모듈들에 대한 리스트 전송
- 각 드라이브 정보
- 파일목록 정보
- 특정 프로세스 강제종료
- CMD.EXE 실행을 통한 다양한 명령수행
- 특정 파일에 대한 쓰기
- 특정 파일에 대한 읽기
- 특정 파일에 대한 삭제
- 2차 악성사이트로 접속 및 통신(send/recv)

 

(2) 시스템 파일 변조기능

Bisonal 악성코드에서는 공통적으로 특정 윈도우 시스템 파일에 대한 변조를 시도하는 코드가 존재한다. 악성코드 내부에 "bisonal"이라는 문자열이 존재하는 유형에서는 "%system%browseui.dll" 파일이 변조대상이었으며, 2015년 3월 발견된 최신 파일에서는 "%system%browser.dll" 로 변경되었다. 해당 시스템 파일에 Write 하는 코드는 Bisonal 악성코드에 의해 생성(Drop)된 실행파일(exe)로 확인되었다.

[그림-7] browseui.dll 파일 변조하는 코드 (1월)

 

[그림-8] browser.dll 파일 변조하는 코드 (3월)

 

5. 배포에 이용된 문서 파일들

악성코드 배포에 사용된 문서파일들은 엑셀, 파워포인트, PDF 3가지 형태이며, 1차로 공격자에 의해 해당 문서파일들에 대한 유출이 이루어진 후, 문서파일 내부에 존재하는 개인 이메일 정보를 통해 2차로 특정인에게 타켓(Target)되어 백도어 기능의 Bisonal 악성코드가 제작/배포되는 것으로 판단된다.

 

6. C&C 주소

현재까지 확인한 Bisonal 악성코드 내부의 C&C 주소는 다음과 같다.

- domain2.ddns.net
- 192.200.122.43
- hosting.myvnc.com
- wwl1478.sytes.net
- 23.234.29.23
- just001.strangled.net
- fund.cmc.or.kr/UploadFile/fame/x/o0.asp


7. 결론

일본 기관을 공격대상으로 제작된 Bisonal 악성코드가 2014년에 처음 국내에 발견된 이후, 2015년 들어 접수가 증가하고 있다. 최근 접수되는 파일들의 경우, 기존에 알려진 통신 및 암호화 방식이 변경되어 대부분의 안티바이러스 백신에서 Bisonal 유형으로 인식하지 못하고 있다. 또한, 최근에는 기관이 아닌 특정인들을 대상으로 공격이 이루어지는 것으로 판단되며, 제작에 사용된 문서파일의 내용을 볼 때, 임의로 제작된 파일이 아닌 실제 사용 중인 문서가 유출되어 공격에 사용된 것으로 추정된다. 또한, 감염 시 백도어 기능에 의해 시스템의 중요 파일들이 2차로 유출 및 파괴될 수 있는 위험성이 있음으로 사용자의 주의가 필요하다. 

- Trojan/Win32.Backdoor (V3 진단명)

 

[참고 사이트]

[1] TROJAN.DROPPER.BISONAL
- https://camal.coseinc.com/publish/2013Bisonal.pdf

[2] APTs By The Dozen: Dissecting Advanced Attacks
- https://www.rsaconference.com/writable/presentations/file_upload/cle-t04_final_v1.pdf

 

 

Creative Commons License
Creative Commons License
Posted by yhayoung