웹하드를 통해 유포 중인 UDP Rat 악성코드

ASEC 분석팀에서는 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 UDP Rat 악성코드가 성인 게임을 위장하여 웹하드를 통해 유포되고 있는 사실을 확인하였다. 웹하드와 토렌트는 국내 환경에서 악성코드 유포에 주로 사용되는 대표적인 플랫폼이다.

일반적으로 공격자들은 njRAT이나 UDP Rat 같이 쉽게 구할 수 있는 악성코드들을 사용하며, 게임과 같은 정상 프로그램이나 성인물을 위장하여 악성코드들을 유포한다. 이러한 사례들은 이미 아래의 ASEC 블로그와 같이 다수 소개된 바 있다.

웹하드와 토렌트를 통해 유포 중인 njRAT
국내 유명 웹하드를 통해 유포되는 njRAT 악성코드
파일 공유 사이트(성인물) 통해 유포 중인 Korat 백도어

여기에서 다루는 유형은 최근까지 확인되고 있으며 njRAT 대신 Simple UDP Rat과 같은 DDoS 악성코드들을 주로 사용하는 것이 특징이다. 악성코드 압축 파일을 유포하는 웹하드의 다운로드 페이지를 보면 아래와 같이 성인 게임으로 위장하고 있다.

[그림 1] 웹하드에서 유포 중인 악성코드 압축 파일

공격자는 해당 게시글 외에도 몇 개의 압축 파일들을 이용해 악성코드를 유포하고 있다. 참고로 게임은 모두 다르지만 압축 파일에 포함되어 있는 악성코드들은 아래에서 다루는 내용과 모두 동일하다.

[그림 2] 공격자가 업로드한 다른 게시글들

다운로드 된 zip 압축 파일을 열어보면 다음과 같은 파일들을 확인할 수 있으며 이를 다운로드 받은 사용자는 게임 실행을 위해 “Game..exe” 파일을 실행할 것이다.

[그림 3] Game..exe 파일로 위장한 악성코드

하지만 “Game..exe”는 게임 프로그램이 아니라 또 다른 악성코드를 실행시키는 런쳐 악성코드이며, 아래의 루틴과 같이 Dat 폴더에 존재하는 악성코드 stick.dat 파일을 실행하고, Ob.dat 파일을 Game.exe 이름으로 복사한 후 실행시킨다.

[그림 4] Dat 폴더에 포함되어 있는 악성코드 및 이를 실행시키는 루틴

Game.exe로 복사되어 실행되는 파일을 실제 게임 프로그램이며, 이에 따라 사용자는 게임이 정상적으로 실행되었다고 인지할 수 있다.

[그림 5] 악성코드 및 실제 게임 프로그램을 실행

여기까지의 과정이 끝나면 “Game..exe” 파일을 숨김 속성으로 변경하기 때문에 사용자는 이후 복사된 게임 프로그램인 Game.exe를 사용하게 된다. 이와 별개로 런쳐 악성코드에 의해 실행되었던 stick.dat 파일은 ALZIP SFX 프로그램이며, 내부에 존재하는 2개의 악성코드 “Uninstall.exe”와 “op.gg.setup.apk”를 C:\Program iles\4.0389 폴더에 생성한다.

[그림 6] 드랍된 악성코드들

Stick.dat은 파일 생성 이후 Uninstall.exe를 실행하며, 또 다른 런쳐 악성코드인 Uninstall.exe는 op.gg.setup.apk를 실행한다. Op.gg.setup.apk는 다운로더 악성코드이며, 다음 주소에서 동일 경로에 Op.gg.exe 파일을 다운로드 받고 실행한다.

다운로드 주소 : hxxps://cdn.discordapp[.]com/attachments/872548745902948365/889723452569845830/Op.gg.exe

Op.gg.exe는 자신을 Run 키에 등록하며 정상 프로그램인 “C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe”를 실행하고 원본 악성코드를 인젝션한다. SMSvcHost.exe에 인젝션된 원본 악성코드는 다운로더 악성코드로서 주기적으로 C&C 서버에 접속하여 추가적으로 다운로드할 악성코드의 주소를 구한다.

C&C 주소 : hxxp://ondisk.kibot[.]pw:8080/links/UserTwo

[그림 7] 추가 악성코드 다운로드 주소를 구하기 위한 C&C 접속

만약 C&C 서버로부터 추가 악성코드 주소를 획득한 경우에는 아래와 같이 C:\Steam_Kr\ 폴더의 sys_[랜덤] 폴더에 추가 악성코드들을 다운로드하고 실행시킨다.

[그림 8] 다운로드한 파일을 Steam_Kr 경로에 쓰고 실행하는 루틴

현재 C&C 서버로부터 다운로드 주소를 받아오지 않아 이후 행위는 확인되지 않지만, 안랩의 ASD 인프라 상에서는 이러한 악성코드들이 다운로드하는 다수의 악성코드들을 확인할 수 있다. 다운로드 되는 악성코드들로는 UDP Flood DDoS 공격을 수행할 수 있는 오픈 소스 악성코드 UDP Rat이 다수를 차지한다.

[그림 9] Simple UDP Rat

설치되는 UDP Rat 악성코드들은 대부분 진단을 회피하기 위해 더미다와 같은 패커로 패킹되어 있지만 패킹되지 않은 샘플들도 일정 부분 존재한다.

[그림 10] 패킹되어 있지 않은 UDP Rat

Simple UDP Rat의 C&C 주소 : 37.0.11[.]171:49367

이와같이 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.

[파일 진단]
– Game..exe : Trojan/Win.Launcher.C4665771 (2021.10.01.01)
– stick.dat : Dropper/Win.Korat.C4662749 (2021.10.01.00)
– op.gg.setup.apk : Dropper/Win.Korat.R443431 (2021.10.01.00)
– Uninstall.exe : Trojan/Win.Launcher.C4665770 (2021.10.01.01)
– op.gg.exe : Downloader/Win.Korat.R443432 (2021.10.01.00)
– UDP RAT : Backdoor/Win.UDPRat.R443002 (2021.09.28.01)

[IOC]
파일

– Game..exe : 00357575f2789c91e7afc7d8e1c25d40
– stick.dat : 73052c60e447d60497c4567a5bc1885e
– op.gg.setup.apk : 1b1c9751f5aaf2a1c5afc15d6b82e90b
– Uninstall.exe : 17930cd5cbcf7d12856c81333d4b4713
– op.gg.exe : ee228a1b9d71fc6381e15e9364bf8fb9
– UDP RAT : d858cdf1d85128cc337305b644fe565f

다운로드 주소
– hxxps://cdn.discordapp[.]com/attachments/872548745902948365/889723452569845830/Op.gg.exe

C&C 서버
– 다운로더 악성코드 C&C : hxxp://ondisk.kibot[.]pw:8080/links/UserTwo
– UDP Rat C&C : 37.0.11[.]171:49367

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:, ,

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments