최근 USB 이동식 디스크를 통해 전파되는 자바스크립트 파일(JS) 악성코드에서 모네로 채굴관련 파일을 다운로드하는 기능이 확인되었다. 전파기능에 의해 웜(Worm) 유형의 악성코드로 분류되는 이러한 유형은 과거에도 많이 알려진 형태이며, 아래의 [그림 1]에서 처럼 난독화된 형태를 갖는다. 감염 시, USB 내부의 폴더들이 모두 숨김속성으로 변경되며, 동일이름의 바로가기’(*.LNK) 링크파일을 생성하고 사용자로 하여금 클릭을 유도한다. 폴더로 착각하여 클릭한 바로가기 링크파일에 의해 자바스크립트 파일이 실행되는 구조이다.

[그림 1] 난독화 된 악성 자바스크립트

악성 자바스크립트가 실행되면 [그림 2]와 같이 C:\Users\vmuser\AppData\Roaming\[랜덤명] 폴더에 원본 JS 파일을 사하고, 시작 프로그램에 바로가기링크파일(*.LNK)을 생성한다. "mbxbw64.exe" 파일은 JS파일을 실행하기 위한 윈도우 정상 "wscript.exe" 파일이다.

[그림 2] C:\Users\vmuser\AppData\Roaming\[랜덤명] 생성된 파일들


재부팅 후에도 자동으로 실행되기 위해 시작프로그램에 Start 이름의 바로가기 링크파일을 생성한다. 실행대상이 JS 파일임을 알 수 있다.

[그림 3] 시작프로그램에 생성된 바로가기 파일


악성코드는 감염된 사용자 PC 정보를 전송하는 악성행위를 한다전파 방법은 USB가 존재할 경우, 폴더들을 바로가기 링크파일로 모두 변경하고, 최상위 경로에 ".Trashes" 폴더를 만들어 변경한 폴더의 원본 폴더 전체(하위파일 포함)을 백업하여 둔다여기까지는 기존에 알려진 행위와 동일하다. 주목해야 할 악성 행위는 Powershell.exe을 이용하여 miner를 다운로드 받는 것이다.


분석팀 악성코드 자동분석 시스템(RAPIT)을 통해 보면, 아래 Process Tree 에서 "powershell.exe"가 동작한 것을 확인할 수 있다.

[그림 4] RAPIT 프로세스 그래프


[그림 5] RAPIT (프로세스 트리)


다운로드한 파일 "xmr.zip" 내부에는 아래와 같이 모네로 채굴기능의 파일들이 존재함을 알 수 있다.

[그림 6] xmr.zip 파일


현재 V3에서 해당 파일들을 다음 진단명으로 진단하고 있다.

(1) JS/Bondat (2018.03.08.05) - MD5: A81B4D4971F2FCB739B384E33E6053E6

(2) Trojan/Win64.BitCoinMiner (2017.08.30.04) - MD5: d55a997592340e6a10dbfc1a33c18466


Posted by 분석팀