S/W 크랙 다운로드로 위장한 CryptBot 악성코드의 외형 변화

CryptBot 악성코드 등 상용 S/W 다운로드로 위장하여 유포되는 악성코드가 크고 작은 변형을 만들어 가며 활발히 유포 중이다. ASEC 분석팀에서는 지난 게시글에서 악성코드 내부 BAT 스크립트의 변형 과정에 대하여 언급한 바 있다. 본 글에서는 외형적인 변화에 대하여 공유하고자 한다. CryptBot 악성코드는 기존 7z SFX 외형에서 MS IExpress 외형으로 변경되었으며 일반적인 방법으로 압축 해제가 불가능하도록 트릭을 적용하였다.

CryptBot 악성코드는 상용 소프트웨어의 크랙, 시리얼 다운로드 페이지로 위장한 악성 사이트에서 유포되며 자세한 내용은 아래 블로그를 참고하길 바란다.

기존 CryptBot 악성코드는 7z SFX 방식으로 유포되었다. 실행 시 내부 파일들이 Temp 경로에 생성된 디렉토리에 드롭된 후 BAT 스크립트 파일을 실행하는 구조이다. 최근 유포되는 샘플들은 패킹 방식이 변형되어 유포 중이다.

새로 변경된 패킹 방식은 MS IExpress 방식이다. 이는 윈도우 운영체제에 기본으로 설치되어 있는 실행압축 패키지 제작 도구를 통해 빌드한 파일이다.

그림 1. 윈도우 내장 IExpress 빌더

IExpress로 빌드된 파일은 기본적으로 파일 내부 RCData 리소스의 CABINET 파일을 압축 해제하여 드롭 후 제작 시의 설정에 따라 특정 파일 혹은 명령어를 실행 가능하다.

그림 2. IExpress 파일 내부 리소스

CryptBot 악성코드는 해당 패킹 방식에 간단한 트릭을 적용하여 일반적인 방식으로 내부 파일을 풀지 못하도록 하였다. 이전 7z SFX 방식에서도 툴로 내부 파일을 풀 수 없었는데 동일한 기능을 구현한 것이다.

현재 유포 중인 CryptBot 샘플의 내부 CAB 파일을 확인하면 다음과 같이 파일 시그니처 이후 쓰레기 값이 삽입되어 있는 것을 확인할 수 있다.

그림 3. 정상 파일 내부 CAB 파일과 CryptBot 내부 CAB 파일 비교

해당 위치에 NULL이 아닌 다른 값이 존재하면 압축 툴은 해당 파일을 CAB 파일로 인식하지 못하기 때문에 압축 해제가 불가능하다.

그림 4. 정상 파일 내부 CAB 파일과 CryptBot 내부 CAB 파일 비교 (압축 해제 시)

하지만 윈도우 내장 툴의 경우 해당 부분을 검사하지 않기 때문에 정상적으로 압축 해제가 가능하여 실행에는 문제가 되지 않는다. 이러한 트릭은 분석 방해 목적 및 AV 제품의 압축파일 검사 기능을 우회하기 위한 것으로 판단된다.

이후 동작은 기존의 CryptBot과 동일하다. 드롭 파일 중 BAT 파일이 실행되면 Autoit 바이너리를 생성 후 난독화된 Autoit 스크립트를 실행한다. 해당 스크립트는 암호화된 CryptBot 악성코드 바이너리 파일을 복호화 후 메모리에 인젝션하여 실행한다.


CryptBot과 동일한 방식으로 유포되는 NSIS 드로퍼 악성코드 또한 최근 주목할 만한 변형이 발생하였다.

해당 악성코드는 NSIS Installer 내부 7z SFX 파일이 다수의 악성코드와 이를 실행하는 기능의 Loader(Aspack 패킹)를 드롭 후 실행하는 구조였다. 자세한 내용은 아래 블로그를 참고하길 바란다.

그림 5. 기존 NSIS 드로퍼 악성코드 구조

최근 변형된 샘플은 Loader의 외형이 MingW로 빌드된 패킹으로 변경되었으며, 더 이상 7z SFX가 악성코드 파일들을 드롭하지 않고 Loader 내부 Data 섹션에 악성코드 파일들이 삽입되었다.

Loader는 실행 시 자신의 Data 섹션 영역의 PE들을 랜덤 파일명으로 드롭 후 실행한다. Loader가 Dropper 역할까지 수행하게 된 것이다. 때문에 일반적인 툴로는 내부 악성코드 파일을 확인할 수 없게 되었으며, 이 또한 AV 제품의 압축파일 진단 기능을 우회하기 위함으로 추정하고 있다. 로더는 드롭된 악성코드를 모두 실행한 후 다음 C2로 관련 정보를 전송한다.

  • hxxp://marisana[.]xyz
그림 5. 변형된 NSIS 드로퍼 악성코드의 Loader 구조

지난 15일 오전에도 해당 악성코드의 실행 방식의 변화가 발생하였는데 이전과 유사하게 상위 7z SFX로 인해 악성코드가 드롭되지만 파일명의 확장자는 변조되지 않은 exe 형태이다. 드롭 시의 파일명 형식은 다음과 같이 샘플 생성 날짜에 따라 파일명에 해당 요일이 명시된다.

그림 6. 8.15 변형 드롭 파일 구조

이처럼 공격자는 활발하게 변형을 만들어 내며 악성코드를 유포 중이기 때문에 사용자의 주의가 필요하다. 이전 포스팅을 참고하여 파일 다운로드 목적의 웹 서핑 시 악성코드 유포 페이지를 주의하여야 하며 S/W의 경우 공식 배포처에서 다운로드 받을 것을 권장한다.

한편 안랩 V3 제품군에서는 이러한 유형의 샘플을 다음 진단을 통해 차단 중이다.

  • Trojan/Win.CryptLoader.XM122
  • Trojan/Win.CryptLoader.XM126
  • Execution/MDP.Scripting.M3728
  • Trojan/Win.MulDrop

[IOC 정보]

MD5
818a06f5241bf595f3365af77deb5f2f
51c9d8f09a73802a05455e7aa8fd9953

C2
hxxp://lyswug41[.]top/index.php
hxxp://morbyn04[.]top/index.php
hxxp://damhlu05[.]top/download.php?file=lv.exe
hxxp://marisana[.]xyz


연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments