안랩에서는 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하여 이를 알아보고자 한다.
발견된 위장 프로그램은 정상 페이지로 위장한 피싱 페이지나 공급망 공격을 통해 유포된다.
피싱 페이지에 연결한 사용자가 각 페이지에서 다운로드 버튼을 클릭하면 메신저 설치 파일이 다운로드된다. 메신저 설치 파일의 디지털 서명 정보는 정상 파일과 달리 ‘Uclick’으로 적용되어 있다.
메신저 설치 파일은 다음과 같이 NSIS를 사용하여 제작된 윈도우 운영체제 설치 프로그램이다.
| NSIS(Nullsoft Scriptable Install System) |
|---|
| 널소프트(Nullsoft)사가 제작한 프로그램으로 스크립트 기반의 윈도우 운영체제용 설치 프로그램을 제작할 수 있는 도구 |
NSIS를 사용하여 제작된 설치 프로그램은 파일 내부에 스크립트 파일 ‘[NSIS].nsi’이 존재한다. 스크립트 파일에 기록된 명령에 따라 시스템에 파일을 생성하면서 프로그램이 설치되는 구조이다.
공격자는 메신저 설치 파일의 스크립트 파일 ‘[NSIS].nsi’을 변조했다.
변조된 스크립트 파일은 정상 스크립트 파일 맨 마지막 부분에 다음과 같이 함수 ‘.onInit’가 추가된다. 이 함수는 메신저 설치 파일이 실행되었을 때 동작한다.
함수가 호출되면 윈도우 운영체제의 정상 유틸리티 wmic.exe를 실행한다.
| WMIC(Windows Management Instrumentation Command-line) |
|---|
| 윈도우 운영체제를 관리할 수 있는 명령어(WMI)의 실행을 도와주는 도구 |
명령어 ‘wmic os get’는 운영체제(OS)의 정보를 확인하는 정상 코드이다. 그러나 공격자는 위 명령어를 악용하여 원격에서 악성 스크립트를 실행한다.
이 공격 기법은 ‘XSL Script Processing’이라 불리며 이전 ASEC블로그 [ 2020.12.15 ‘코로나바이러스 피해 소상공인 경영안정자금’ 이름의 한글문서 유포, https://asec.ahnlab.com/ko/19131 ] 에서 언급하였다.
| XSL Script Processing |
|---|
| 공격자가 로컬 또는 원격에 있는 XSL 파일을 실행하는 공격 기법 XSL(Extensible Stylesheet Language) 파일내에는 JScript 또는 VBScript 로 작성된 악의적인 스크립트가 포함되어 있음 |
명령어 ‘os get /format:…생략…’가 실행되면 명령 제어 서버(C&C Server)에 파일 전송 프로토콜(FTP)을 이용하여 연결한다. 연결에 성공하면 VBScript로 작성된 악성 스크립트가 포함된 XSL 파일을 다운로드한다.
다운로드한 XSL 파일은 다음과 같이 동작한다. 경로 %ProgramData%에 디렉터리를 생성하며 추가 악성코드 다운로드를 위한 폴더를 생성한다.
추가 악성코드는 이전 단계에서 생성한 디렉터리에 다운로드 및 생성되며 보안 제품의 탐지를 우회하기 위해 XML 파일을 변환하는 기능 ‘XSLT’을 악용한다.
| XSLT (Extensible Stylesheet Language Transformations) |
|---|
| XML 문서 파일을 다른 XML 문서 파일로 변환할 때 사용되는 XML 기반 언어 변환에는 XML data, XSLT 스타일시트 파일이 필요하며 두 개의 파일을 입력으로 받아 새로운 파일을 출력 |
XSLT 기능이 실행되면 윈도우 정상 파일 ‘MSBuild.exe’의 메모리 영역에 삽입하여 Quasar RAT를 실행시킨다.
퀘이사(Quasar) RAT는 프로그래밍 언어 C#으로 작성된 원격 관리 도구이다. 정상적인 목적으로 사용하기 위해 제작되었으나 해킹그룹에 의해 악의적으로 사용된다.
| 원격 관리 도구(Remote Administration Tool, RAT) |
|---|
| 원격에서 시스템을 제어하는 소프트웨어 원격 제어 기능은 사용자가 직접 설정한 경우 정상적인 목적으로 사용될 수도 있으나 사용자 모르게 설정하여 악용할 수도 있다 |
Quasar RAT의 설정은 다음과 같다. HOSTS는 탈취한 정보를 전송하는 공격자의 C&C서버주소이며 뮤텍스(Mutex)명으로는 DINOSAUR를 사용한다.
| Variable | Value |
|---|---|
| HOSTS | 103.125.216[.]106:8080 |
| MUTEX | LOGCVAT_DINOSAUR_STAR |
| LOGDIRECTORYNAME | %AppData%\Logs |
Quasaar RAT에 감염되면 키보드와 마우스의 입력값과 클립보드 변경 내용을 탈취하여 공격자의 C&C서버로 전송한다. 이후 공격자의 원격 명령에 따라 다양한의 명령어를 추가적으로 수행할 수 있다.
국내에서 활동하는 해킹그룹은 보안 제품의 탐지를 우회하기 위해 다양한 감염 경로와 악성코드를 활용하고 있다. 출처가 불분명한 메일을 수신하였을 경우 첨부파일을 V3 제품을 이용하여 정밀 검사를 수행하며 소프트웨어를 설치할 때에는 소프트웨어 제작사의 공식 홈페이지를 이용하여 다운로드하길 권장한다.
파일 진단
Downloader/Win32.Akdoor (2020.12.31.00)
Dropper/Win32.Akdoor (2020.12.31.00)
Downloader/XML.Agent (2020.12.31.08)
관련 IoC
0127495b7b6ec2eeb59684745fbcdf16
44e454ccf73c6a9aef571bc7124acd08
c75440c49e238589d68c11f4a4a67ca1
103.125.216[.]106:8080
Categories:악성코드 정보