스팸 메일로 유포되는 닷넷 다운로더 악성코드
ASEC 주간 악성코드 통계에 따르면 최근 유포되고 있는 악성코드들 다수가 인포스틸러(정보 유출형 악성코드) 및 RAT(Remote Administration Tool) 악성코드들이다. 이러한 인포스틸러 및 RAT의 상당수는 스팸 메일을 통해 유포되며, 대부분 사용자가 첨부 파일을 실행시키도록 유도하는 방식이 사용된다.
전형적인 스팸 메일 첨부 파일을 통한 유포 방식
공격자는 스팸 메일의 첨부 파일을 이용해 악성코드를 유포할 때 백신의 파일 진단을 우회하기 위한 목적으로 악성코드의 외형을 패커로 패킹한다. 즉 실제 악성코드는 이미 백신에 의해 탐지된다고 하더라도 패킹될 경우에는 매번 다른 형태의 외형을 가지게 되며, 이에 따라 파일 진단을 우회할 수 있다.
이렇게 파일 진단을 우회하기 위한 목적의 패커는 C/C++ 외에도 델파이, VB(Visual Basic), 닷넷 등과 같은 프로그래밍 언어를 이용해 악성코드를 패킹한다. 인포스틸러 및 RAT 악성코드들 중 다수는 닷넷으로 개발되어 있기 때문에 최근 유포되고 있는 패커들은 닷넷을 이용해 개발된 것들이 많다. 여기에서는 최근 다수 접수되고 있는 닷넷 다운로더 패커를 분석한다.
현재 해당 패커를 이용해 다운로드되는 악성코드들로는 AgentTesla, Lokibot, Formbook, Redline과 같은 인포스틸러, 그리고 Nanocore, Remcos, AveMaria와 같은 RAT 악성코드들이 있다. 즉 ASEC 주간 악성코드 통계에서 확인되는 대부분의 악성코드들이 이 패커를 이용해 패킹되어 유포되는 사례가 다수 확인되고 있다.
ASEC 주간 악성코드 통계
이것은 내부에 원본 악성코드를 인코딩해서 가지고 있다가 메모리 상에서 실행하는 대신, 외부에서 다운로드하는 다운로더 악성코드이기 때문에 다른 악성코드들보다는 작은 크기를 가질 수 있으며, 보통 50KB 이하의 크기를 가진 것이 대부분이다. 예를들어 현재 분석 대상 악성코드도 36KB 크기를 가지지만 최종적으로 실행되는 RedLine 인포스틸러는 129KB이다.
악성코드는 실행되면 먼저 다음과 같은 특정한 경로의 파일이 존재하는지 검사한다. 존재할 경우에는 일정 사이즈 이상의 크기를 갖는지 검사한다. 처음 실행될 경우에는 이러한 경로에 파일이 존재하지 않을 것이기 때문에 다운로드 행위를 진행한다. 하지만 두번째 이후부터는 다운로드된 악성 데이터 파일을 해당 경로에 저장하기 때문에 추가적인 다운로드 행위는 발생하지 않는다.
– 악성 데이터 파일의 경로 : C:\Users\[사용자명]\ VhcKBsciXUImQAUYRauSqsHlPqRsJEPJtLwZWelVXcm
특정 경로의 파일 검사
이후 다음과 같은 주소에서 html 파일을 다운로드한다.
– 다운로드 주소 : hxxp://mmwrlridbhmibnr[.]ml/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish–goal-1E8CB3334F200C7BE89D2B42348D4145.html
자세히 보면 Liverpool 관련 키워드와 함께 뉴스 제목으로 추정되는 문자열들이 존재한다. 이 사이트에 직접 들어가 보면 아래와 같이 실제 Liverpool.com의 뉴스 기사와 동일한 웹 페이지를 보여주는 것을 확인할 수 있다.
Liverpool.com 위장 웹 페이지
하지만 이 웹 페이지를 살펴보면 아래와 같이 html 파일 내부에 문자열들 즉 인코딩된 데이터가 포함되어 있는 것을 확인할 수 있다.
html에 포함된 인코딩된 데이터
이 데이터는 추가 악성코드가 인코딩된 형태이기 때문에, 이후 악성코드는 다운로드된 html 파일에서 다음과 같은 패턴 내부에 존재하는 문자열들만을 추출하는 과정을 거친다.
– 패턴 : <meta name=”keywords” content=”([\w\d ]*)”>
매칭되는 데이터 추출
이렇게 추출된 문자열들은 앞에서 언급한 경로에 저장된다. 이후 다시 저장한 파일을 읽어와 디코딩 과정을 진행하면 PE 형태의 악성코드가 확인된다. 이렇게 디코딩된 PE를 Assembly.Load() 함수를 이용해 로드한 후 Invoke()함으로써 다음 페이로드를 실행시킨다. 참고로 원본 악성코드는 RedLine 인포스틸러지만 이중으로 패킹되어 있기 때문에 다음 페이로드 또한 닷넷 패커이며, 이 패커가 실제 RedLine 악성코드를 실행시킨다.
디코딩된 PE를 Load하는 루틴
참고로 위 URL에는 RedLine 인포스틸러의 인코딩된 데이터가 포함되어있지만, 또 다른 URL에는AgentTesla, Formbook, AveMaria 등 다양한 악성코드들을 포함하는 웹 페이지들이 존재한다. 이러한 악성코드들은 이미 이전 블로그에서 다루었다.
채용 담당자 대상으로 유포 중인 폼북(Formbook) 악성코드 – ASEC BLOG
ASEC 분석팀은 최근 정보 유출 악성코드 중 하나인 폼북(Formbook)이 채용 담당자를 대상으로 유포 중인 것을 확인하였다. 다음 EML 파일은 국내 기업의 채용 담당자를 대상으로 한 스팸 메일로써, 공격자는 첨부된 파일을 이용해 입금 확인을 요청하는 내용이 적혀져 있다. 첨부된 LZH 포맷의 압축 파일을 압축 해제하면 대체전표(Transfer Slip)를 의미하는 “T_Slip_May09019203.exe” 이름의 실행 파일을 확인할 수 있다. 이 실행 파일은 NSIS로 만들어진 인스톨러 프로그램이다. 인스톨러에 포함된 파일…
스팸 메일로 유포 중인 NanoCore RAT 악성코드 – ASEC BLOG
NanoCore는 RAT(Remote Administration Tool) 악성코드로서 개발자가 과거 2014년부터 제작하기 시작했고 2016년 체포되기 전까지 딥웹을 통해 판매되었다. 하지만 크랙 버전이 공개됨에 따라 개발자가 체포된 후에도 현재까지 꾸준히 공격자들에 의해 사용되고 있다. RAT 악성코드인 NanoCore는 키로깅, 스크린샷 캡쳐, 웹캠 제어와 같은 기능들뿐만 아니라 DDoS, 웹 브라우저 및 이메일 그리고 FTP 클라이언트 계정 정보 수집과 같은 다양한 기능들을 지원한다. NanoCore는 플러그인 기반 악성코드…
스팸 메일로 유포 중인 AveMaria 악성코드 – ASEC BLOG
AveMaria 는 원격제어 기능의 RAT (Remote Administration Tool) 악성코드로서 C&C 서버에서 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다. 아래의 주간 통계에서도 확인 되듯이 Top 5 안에는 포함되지 않지만, 꾸준히 일정 비율을 차지하고 있다. AveMaria 악성코드는 최근 AgentTesla, Lokibot, Formbook 악성코드와 유사하게 대부분 스팸 메일을 통해 유포되고 있다. 또한 진단을 우회하기 위해 위의 악성코드들과 유사한 닷넷(.NET) 외형의 패커로 패킹되어 유포 중이…
이외에도 현재까지 확인된 동일 유형을 갖는 악성 웹 페이지들의 도메인 주소는 다음과 같다.
– hxxp://mmwrlridbhmibnr[.]ml
– hxxp://x11fdf4few8f41f[.]com
– hxxp://jejendjcjfhh[.]com
– hxxp://coroloboxorozor[.]com
– hxxp://gkfaalkhnkqvgjntywc[.]ml
– hxxp://liverpoolofcfanclub[.]com
– hxxp://xwjhdjylqeypyltby[.]ml
도메인 자체가 liverpoolofcfanclub[.]com인 경우도 있고, 다른 도메인을 가진 경우도 아래와 같이 동일한 기사 제목이 사용되는 경우가 많은 것을 확인할 수 있다.
다운로드 주소
– hxxp://x11fdf4few8f41f[.]com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish–goal-46e16d2a7877d0cf324d4a06227f7e86.html
– hxxp://jejendjcjfhh[.]com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish–goal-3DA2A5A254C838683C13E135C5024118.html
– hxxp://coroloboxorozor[.]com/base/900f6fcd75d87b754b81096bc90c3a57.html
지금까지 다룬 닷넷 패커 악성코드는 주로 스팸 메일을 통해 유포되고 있으며, 이에 따라 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.
[파일 진단]
– Infostealer/Win.RedLine (2021.04.23.02)
[행위 진단]
– Malware/MDP.Behavior.M3108
