V3 메모리 진단에 의한 AMSI 우회시도 탐지(코인마이너)

ASEC 분석팀은 AMSI 탐지 기능을 무력화하는 코인 마이너가 유포됨을 확인하였다. AMSI 기능은 Windows 10에 추가된 기능으로써 악성코드 탐지를 위해 응용 프로그램과 서비스를 AV 제품과 연동할 수 있도록 MS에서 지원하는 기능이다. 현재 V3 Lite4.0/V3 365 Clinic 4.0 제품에서는 AMSI 기능을 활용하여 블루크랩 랜섬웨어 등 다양한 악성코드를 대응하는데 사용하고 있다.

이번에 AMSI 무력화를 수행하는 코인 마이너는 파워쉘 스크립트 활용한 파일리스 형태로 유포되고 있으며 코인 마이너 동작을 수행하기 전에 amsi.dll의 AmsiScanBuffer 함수 시작 바이트를 수정하여 무력화를 시도한다.

[그림 1] 파워쉘 코인마이너 스크립트 동작 단계

[파워쉘 스크립트 동작과정 1단계]

  • LoadLibrary, VirtualProtect, GetProcAddress API 정보 획득
[그림 2] AMSI 탐지 무력화를 위한 관련 API 획득
  • amsi.dll의 AmsiScanBuffer 시작 6바이트 수정 (0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3)
[그림 3] 파워쉘 스크립트에 의한 AmsiScanBuffer 함수 무력화

[파워쉘 스크립트 동작과정 2단계]

[그림 4] 마이너와 관련된 파워쉘 스크립트 코드 일부
  • 정상 msiexec.exe 프로세스에 코인 마이너 인젝션 수행
  • 사용자가 작업관리자 프로그램(taskmgr.exe)를 실행할 경우 마이너 프로세스(msiexec.exe) 종료
  • 작업관리자 프로세스 종료될 경우 마이너 프로세스(msiexec.exe) 재시작

해당 AMSI 무력화 방식은 파워쉘 형태의 코인 마이너뿐만 아니라 에이전트 테슬라(Agent tesla), 매스로거(MassLogger)와 같은 닷넷 관련 악성코드에서 마찬가지로 확인된 방식이다.

현재 V3 제품군에서는 이러한 AMSI 무력화 기법을 실시간으로 메모리 진단을 통해 탐지 및 차단할 수 있다. 따라서 사용자는 V3 제품 엔진 업데이트를 최신으로 유지하여 악성코드 감염을 사전에 예방해야 한다.

[그림 5] AMSI 무력화 행위 메모리 탐지 화면

[파일진단]

  • CoinMiner/PS.Agent (2021.05.18.00)

[메모리진단]

  • Trojan/Win.AmsiBypass.XM108 (2021.05.18.00)

[IOC]

  • hxxp://beautyiconltd.cn/rigged.txt
  • hxxp://beautyiconltd.cn/cnf.txt
  • hxxp://beautyiconltd.cn/hsh.txt
  • hxxp://beautyiconltd.cn/ethged.txt
  • hxxp://beautyiconltd.cn/ethcnf.txt
  • hxxp://beautyiconltd.cn/ethhsh.txt
2 1 vote
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments