S/W 다운로드 위장, 다양한 종류의 악성코드 유포

ASEC 분석팀에서는 기존 다수의 블로그 포스팅을 통해 상용 소프트웨어의 Crack, Serial 등의 키워드로 검색되는 악성 사이트로부터 유포되는 CryptBot 악성코드에 대하여 언급하며 사용자의 주의를 당부하였다.

이러한 악성 사이트로부터 유포되는 악성코드는 CryptBot 악성코드가 대다수이지만, 간혹 타 악성코드가 유포되곤 한다. 본 블로그에서는 동일 유형의 악성코드 유포 중 CryptBot을 제외한 타 악성코드에 대하여 언급하고자 한다.

기존의 블로그에서도 언급했듯이 해당 악성코드는 검색엔진에 특정 상용 소프트웨어의 Crack, Serial, Keygen, License 등의 불법적인 키워드를 검색할 경우 상위에 노출되는 악성 페이지로부터 유포된다.

해당 악성 페이지는 대표적으로 다음과 같으며 정상 툴을 다운로드 받을 수 있을 것처럼 꾸며놓았지만, 실제로 다운로드되는 파일은 악성코드가 담긴 압축 파일이다. 자세한 내용은 다음 블로그에 상세히 기술되어 있다.

그림1. 악성코드 유포 사이트 예시

이러한 악성 사이트에서 유포 중인 악성코드는 크게 두가지 유형으로 나뉜다.

NSIS 드로퍼 유형과 Autoit Loader 유형이다.

전자는 실행 시 다수의 악성코드를 동시에 드롭하여 실행한다. 드롭 과정에서 AV 제품의 진단이 발생할 경우 실행이 불가능하여 본 블로그에서는 다루지 않았지만, 어떠한 경우에서 실행되었다면 복구 불가능할 정도로 다수의 악성코드에 감염된다. 보통 10개 정도의 악성코드를 드롭 후 실행하며, 이 중 다운로더형 악성코드도 다수 포함되어 있기 때문에 실제 감염되는 악성코드는 더 많게 된다. 해당 드로퍼로 인해 감염되는 악성코드는 대표적으로 다음과 같다.

BeamWinHTTP, RedLine, YAHOOYLO, Socelars Stealer, ClipBanker, Backstage Stealer, Androm 외 다수

해당 유형의 특징은 최종 압축 해제한 실행파일의 아이콘이 NSIS 기본 아이콘이며, 그 내부 파일은 “setup_installer.exe”이름을 가진 7zSFX 실행파일인 점이다. 실행 시 특정 디렉토리에 내부 파일들을 압축 해제 후 “setup_install.exe” 파일을 실행하는데, 동일 디렉토리에 생성된 txt 파일을 실행하는 역할을 한다.

내부에 존재하는 다수의 txt 파일은 텍스트 파일로 위장한 악성코드 파일이다. 별도의 인코딩이나 암호화를 거치지 않았기 때문에 압축 해제 즉시 V3 제품에 의해 탐지되어 차단된다.

그림2. NSIS Dropper 악성코드 실행 구조
  • Dropper/Win.MulDrop.*
  • Dropper/Win.MuDrop.*

후자의 경우는 실행 시 Autoit 관련 파일을 생성 후 실행하는 유형이다. 기존 블로그에서 언급했던 CryptBot의 경우가 해당 유형에 속한다. CryptBot을 주로 유포하는 점에서 자사에서는 해당 패킹 유형을 “CryptLoader” 진단명으로 대응 중이다. 대부분의 경우에는 CryptBot 악성코드를 유포하고, CryptBot은 Clipbanker를 다운로드하여 실행하지만, 간혹 타 악성코드가 유포되곤 한다.

최근 약 한 달간 해당 유형으로 유포된 악성코드 중 CryptBot을 제외한 악성코드는 다음과 같다. 다음 샘플들은 악성 페이지로부터 직접 다운로드 되거나 CryptBot, NSIS Dropper 등 해당 공격 유형의 샘플에 의하여 추가 생성된 악성코드이다.


1. RedLine

RedLine 악성코드는 .NET 언어로 빌드된 악성코드로 각종 사용자 정보를 탈취하여 C2로 전송한 후 추가 악성코드를 다운로드 실행 및 자가삭제 행위가 가능하다. 행위적으로는 CryptBot 악성코드와 유사하지만 기능은 훨씬 다양하며 약 100KB의 비교적 적은 용량을 가진다.

실행 시 오토잇 스크립트 내부 쉘 코드에 의해 RegAsm.exe 프로세스를 실행 후 해당 프로세스에 할로잉되어 동작한다.

그림3. RedLine 악성코드 프로세스 트리

실제로는 RegAsm.exe에 할로잉되어 동작하지만 내부 바이너리를 추출해보면 다음과 같이 유효 인증서가 존재하며, 타 .NET 악성코드와는 다르게 난독화가 거의 되어있지 않은 형태이다.

그림4. 서명 정보
그림5. 내부 메소드 목록

각종 브라우저에 저장된 계정 및 패스워드, 암호화폐 지갑 파일, Discord 등의 메신저 토큰, FTP 클라이언트 정보, VPN 정보 등 다양한 주요 정보가 탈취 대상이 되며 과거에는 아래 블로그와 같이 Youtube를 통해 유포된 이력이 있다.

C2: gimpimageeditor.com


2. Vidar

Vidar 악성코드 또한 정보 탈취 목적의 악성코드이다. 본 샘플의 경우 nslookup.exe를 실행 후 프로세스 할로잉하여 동작한다.

그림6. Vidar 악성코드 프로세스 트리

내부에서 추출 가능한 원본 바이너리의 WinMain 함수에서는 다음과 같이 안티 디스어셈블 기능을 하는 가비지 코드가 포함되어 있으며, 이를 제거해야 정상적으로 디스어셈블이 가능하다. 안티 디스어셈블의 경우 대표적인 분석 방해 기법 중 하나이다.

그림7. 안티 디스어셈블 코드

Vidar 악성코드는 정보 수집 행위 전에 C2에 접속하여 행위에 필요한 다양한 라이브러리를 다운로드 받는 것이 특징이며 해당 C2 주소를 구하기 위해 공격자가 개설해 놓은 텀블러 주소로 접속을 시도한다. 해당 텀블러에 접속할 경우 다음 그림과 같이 내부 소스코드에 Vidar의 실제 C2 주소가 명시되어 있다.

그림8. 공격자 텀블러 페이지

과거 Faceit 등의 게임 플렛폼을 이용하여 C2 정보를 업데이트하는 Vidar 악성코드에 대한 정보를 ASEC블로그를 통해 포스팅한 바 있다. 이처럼 공격자는 C2를 업데이트하기 위해 정상 도메인을 활용하는 사례가 잦아지고 있다.

탈취한 정보를 압축하여 C2로 전송하며 C2의 명령에 따라 다양한 추가적인 악성 행위가 가능하다.

C2: shpak125.tumblr.com / 116.202.183.50


3. Remcos

Remcos 악성코드는 RAT 유형의 악성코드로 키로깅을 포함한 다양한 사용자 정보를 수집 및 유출하며, 다양한 공격자의 명령을 수행할 수 있다. 원격 관리를 위한 도구로 제작자의 웹 페이지에서 판매되고 있지만 대부분 악성코드로 악용되는 경우가 많다.

본 샘플에서는 vidar의 경우와 마찬가지로 nslookup.exe를 실행 후 할로잉하여 동작한다.

그림9. Remcos 악성코드 프로세스 트리

실행 시 “Remcos_Mutex_Inj” 뮤텍스를 생성한다.

그림10. 뮤텍스 생성 코드

권한 상승, 키로깅, 각종 정보 탈취, 웹캠 및 마이크 녹음, 클립보드 탈취, 실시간 스크린 전송 및 원격 제어 등의 다양한 악성 행위가 가능하다.

그림11. 권한 상승 코드

본 샘플에서 사용된 Remcos의 버전은 “3.2.0 Pro” 이다. 버전과 관련된 문자열은 rdata 영역에 하드코딩 되어있으며, 해당 버전은 2021.07.30 일자로 릴리즈된 최신 버전이다.

그림12. Remcos 버전 정보

최근 유포된 Remcos 샘플 중에서는 내부 파일이 추가적인 패킹이 되어있는 경우도 확인되었다. UPX와 Mpress등의 패커로 포장된 악성코드가 정상 프로세스에 할로잉된다. 공격자는 탐지 우회를 위해 여러 테스트를 거친 것으로 판단된다.

그림13. 원본 샘플, UPX 패킹 샘플, Mpress 패킹 샘플

C2: 146.0.72.170:9094


4. Raccoon Stealer

최근 유포된 Raccoon Stealer의 경우 MalPE 유형의 패커를 사용하여 유포되었다. 과거 Autoit Loader 유형이 아닌 MalPE 유형의 유포에 관련된 내용을 포스팅하였다. 이후로도 종종 MalPE 유형의 악성코드가 유포되었으며 해당 유형은 이메일, 익스플로잇킷 등을 통한 유포에서도 활발하게 사용되는 패킹 유형이다.

해당 패킹 유형은 다음과 같이 한 파일 안에 여러 아이콘이 존재하며 리소스 영역에에 랜덤 문자열을 담고 있는 특징이 있다.

그림14. 샘플 내부 리소스의 아이콘

Raccoon Stealer 악성코드 또한 정보 탈취 유형의 악성코드 이며 실제 C2 주소를 얻기 위해 공격자의 텔레그램 주소로 접속 시도한다. 해당 페이지에는 다음과 같이 암호화된 문자열이 명시되어 있으며 해당 문자열을 복호화하여 C2 주소를 구한다.

그림15. 공격자 텀블러 페이지

공격자 텀블러 페이지에 명시된 문자열의 앞뒤를 규격에 맞게 잘라 Base64 디코딩 후 RC4 알고리즘을 사용하여 복호화한다. RC4에 대한 키값은 샘플 파일의 rdata 영역에 하드코딩 되어있다. 이러한 방식으로 공격자는 이미 유포된 샘플의 C2를 지속적으로 변경 가능하다.

그림16. RC4 복호화 키
그림17. 복호화 결과

C2: telete.in/inosradioworld / 5.181.156.60

위에서 열거한 악성코드 이외에도 랜섬웨어 등 정보탈취 유형이 아닌 악성코드가 유포된 이력 또한 확인된다. 이처럼 공격자는 다양한 악성코드를 유포하며 그 효과를 테스트 중인 것으로 추정된다. 앞으로도 언제든지 타 악성코드 유포가 가능한 만큼 사용자의 주의가 필요하며 신뢰할 수 없는 페이지로부터 다운로드된 파일은 실행해서는 안된다.


[IOC 정보]

a5bc136c227ab70ed77e3bebe6e4bc6d
21be2e389bc3d34f6a20dad828aa80b2
2349e8337b649af297fe9ef6b99deae5
8680a71a54f5eb063aedc7d8922e031c

gimpimageeditor.com
shpak125.tumblr.com
116.202.183.50
146.0.72.170:9094
telete.in/inosradioworld
5.181.156.60


연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments