ASEC 분석팀은 AMSI 탐지 기능을 무력화하는 코인 마이너가 유포됨을 확인하였다. AMSI 기능은 Windows 10에 추가된 기능으로써 악성코드 탐지를 위해 응용 프로그램과 서비스를 AV 제품과 연동할 수 있도록 MS에서 지원하는 기능이다. 현재 V3 Lite4.0/V3 365 Clinic 4.0 제품에서는 AMSI 기능을 활용하여 블루크랩 랜섬웨어 등 다양한 악성코드를 대응하는데 사용하고 있다.
- https://asec.ahnlab.com/ko/21256/ (V3 제품에 적용된 AMSI (Anti-Malware Scan Interface) 활용 난독화 스크립트 탐지)
이번에 AMSI 무력화를 수행하는 코인 마이너는 파워쉘 스크립트 활용한 파일리스 형태로 유포되고 있으며 코인 마이너 동작을 수행하기 전에 amsi.dll의 AmsiScanBuffer 함수 시작 바이트를 수정하여 무력화를 시도한다.

[파워쉘 스크립트 동작과정 1단계]
- LoadLibrary, VirtualProtect, GetProcAddress API 정보 획득

- amsi.dll의 AmsiScanBuffer 시작 6바이트 수정 (0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3)

[파워쉘 스크립트 동작과정 2단계]

- 정상 msiexec.exe 프로세스에 코인 마이너 인젝션 수행
- 사용자가 작업관리자 프로그램(taskmgr.exe)를 실행할 경우 마이너 프로세스(msiexec.exe) 종료
- 작업관리자 프로세스 종료될 경우 마이너 프로세스(msiexec.exe) 재시작
해당 AMSI 무력화 방식은 파워쉘 형태의 코인 마이너뿐만 아니라 에이전트 테슬라(Agent tesla), 매스로거(MassLogger)와 같은 닷넷 관련 악성코드에서 마찬가지로 확인된 방식이다.
현재 V3 제품군에서는 이러한 AMSI 무력화 기법을 실시간으로 메모리 진단을 통해 탐지 및 차단할 수 있다. 따라서 사용자는 V3 제품 엔진 업데이트를 최신으로 유지하여 악성코드 감염을 사전에 예방해야 한다.

[파일진단]
- CoinMiner/PS.Agent (2021.05.18.00)
[메모리진단]
- Trojan/Win.AmsiBypass.XM108 (2021.05.18.00)
[IOC]
- hxxp://beautyiconltd.cn/rigged.txt
- hxxp://beautyiconltd.cn/cnf.txt
- hxxp://beautyiconltd.cn/hsh.txt
- hxxp://beautyiconltd.cn/ethged.txt
- hxxp://beautyiconltd.cn/ethcnf.txt
- hxxp://beautyiconltd.cn/ethhsh.txt
Categories:악성코드 정보