웹하드를 통해 유포 중인 DDoS IRC Bot 악성코드 (GoLang)
ASEC 분석팀에서는 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Go 언어로 개발된 DDoS IRC 봇 악성코드들이 성인 게임을 위장하여 웹하드를 통해 설치되고 있는 사실을 확인하였다. 웹하드는 국내 환경에서 악성코드 유포에 활용되는 대표적인 플랫폼으로써 과거 njRAT이나 UDP Rat을 유포한 사례가 있다.
최근 확인되고 있는 유포 사례는 기본적으로 위에서 다룬 사례와 유사하며 동일한 공격자가 아직까지 악성코드를 유포하고 있는 것으로 보인다. 성인 게임을 위장하여 악성코드를 유포하는 점 외에도 다운로더 악성코드를 거쳐 DDoS 악성코드를 설치하는 점 그리고 UDP Rat 악성코드가 사용되었다는 점이 그것이다.
차이점이라고 한다면 기존에는 C# 언어를 이용해 다운로더 악성코드를 개발했다면 지금은 Go 언어(GoLang)를 이용해 다운로더 악성코드를 제작한다는 점이 있다. 이외에도 공개된 오픈 소스인 Simple-IRC-Botnet 즉 Go 언어로 개발된 DDoS IRC 봇 악성코드가 UDP Rat 외에도 추가적으로 사용되고 있다.
Go 언어는 개발 난이도가 낮고 크로스 플랫폼을 지원하는 등 여러가지 장점으로 인해 다양한 공격자들에 의해 사용되고 있으며 최근 그 빈도가 늘어나고 있다. 이러한 추세에 맞게 요즘에는 국내 사용자들을 대상으로 하는 Korat 악성코드들에서도 Go 언어를 이용하는 사례가 늘어나고 있다.
먼저 웹하드에서 다음과 같이 성인 게임을 위장한 악성코드가 업로드된 것을 확인할 수 있다.
위 업로드가 직접적인 공격자인 것은 알 수 없지만 해당 게시글 외에도 유사한 게시글에서도 압축 파일들을 이용해 동일한 악성코드를 유포하고 있다. 참고로 게임은 모두 다르지만 압축 파일에 포함되어 있는 악성코드들은 아래에서 다루는 내용과 모두 동일하다.
이러한 공격에 사용된 성인 게임들은 아래와 같은 경로명을 포함하고 있다. 즉 아래의 이름에 해당하는 압축 파일로 유포되었다는 점을 추정할 수 있다.
– [19한글판] h로 시작하는 악동 마법사
– [19한글판] 그lㅕ가 노0ㅖ가 된 이유
– [19한글판] 낙원걸음의 리프레인
– [19한글판] 능yok교환일기
– [19한글판] 다도부 소lㅕ
– [19한글판] 리리아 각의 저주
– [19한글판] 마법 소녀가 있는 학원
– [19한글판] 몬스터 파이트
– [19한글판] 몽환의 리리움
– [19한글판] 분노의 올커트 부장
– [19한글판] 사유리의 화려한 날들
– [19한글판] 슬레이프 코퍼레이션
– [19한글판] 시골 no출 여학x
– [19한글판] 실비아와 약의 대가
– [19한글판] 암살자 어쌔신 아스카
– [19한글판] 여친갱생게임
– [19한글판] 예속 스킬로 이상향 만들기
– [19한글판] 우리엘&벨리알
– [19한글판] 위원장 카나의 경우
– [19한글판] 프린세스 라운드
– [19한글판] 플로라와 세계수 뿌리
– [19한글판] 한밤중의 노출
– [19한글판] 현대에 날아간 엘프
– [19한글판] 호문클루스의 연구 기록
다운로드 된 zip 압축 파일을 열어보면 다음과 같은 파일들을 확인할 수 있다. 일반적으로 사용자들은 게임 실행을 위해 아래의 “Game_Open.exe” 파일을 실행할 것이다.
하지만 “Game_Open.exe”는 게임 프로그램이 아니라 또 다른 악성코드를 실행시키는 런쳐 악성코드이다. 구체적으로 설명하자면 동일한 경로에 위치한 “PN” 파일을 “scall.dll”로 변경 및 실행하고, 원본 게임 실행 파일인 “index”를 “Game.exe”로 복사한 후 실행한다. 이에 따라 사용자는 게임이 정상적으로 실행되었다고 인지할 수 있다.
여기까지의 과정이 끝나면 기존 “Game_Open.exe” 파일을 숨김 속성으로 변경하기 때문에 사용자는 이후 복사된 게임 프로그램인 “Game.exe”를 사용하게 된다. 이와 별개로 “scall.exe” 이름으로 변경 및 실행된 “PN” 파일은 악성코드이다. 해당 악성코드는 먼저 동일 경로에 위치하던 “srt” 파일을 C:\Program Files\EdmGen.exe 경로에 옮긴다.
이후 다음과 같은 명령을 이용해 작업 스케줄러에 “EdmGen.exe” 악성코드를 등록하여 주기적으로 실행될 수 있도록 한다.
“C:\Windows\System32\cmd.exe” /c SCHTASKS /CREATE /SC ONSTART /NP /TN “Windows Google” /TR “C:\Program Files\EdmGen.exe”
이 과정을 통해 실행된 “EdmGen.exe” 즉 “srt” 파일은 정상 프로그램인 vbc.exe를 실행시키고 여기에 악성코드를 인젝션한다. Vbc.exe에 인젝션되어 실행되는 악성코드는 기존 블로그에서 정리했던 것과 동일하게 다운로더 악성코드이다. 차이점이 있다면 C#으로 개발된 것이 아니라 Go 언어로 개발되었다는 점이 있다.
해당 악성코드는 아래와 같이 C&C 서버에 주기적으로 접속하여 다운로드할 악성코드의 주소를 획득한 후 추가 악성코드를 설치할 수 있다.
- 추가 악성코드 다운로드 주소 : hxxp://node.kibot[.]pw:8880/links/01-13
- 다운로드된 악성코드의 생성 경로 : C:\Down\discord_[랜덤]\[악성코드 이름]
기존에는 추가적으로 설치되는 악성코드들이 UDP Rat DDoS 악성코드였다. 하지만 이번에 확인된 유형은 UDP Rat DDoS 악성코드 외에도 Go 언어로 개발된 Simple-IRC-Botnet 악성코드가 확인되었다.
해당 악성코드도 DDoS 봇 악성코드인 것은 동일하지만 C&C 서버와의 통신에 IRC 프로토콜이 사용되며, UDP Flooding 공격만 지원하던 기존의 UDP Rat 악성코드와 달리 TCP Flooding, UDP Flooding 외에도 Slowris, Goldeneye, Hulk DDoS와 같은 공격들을 지원한다는 점이 특징이라고 할 수 있다.
Golang DDoS IRC Bot은 실행 시 특정 IRC 서버에 접속하며 공격자의 채널에 입장한다. 이후 해당 채널에서 공격자가 명령을 전달할 경우 해당 명령에 따라 공격 대상에 DDoS 공격을 수행할 수 있다.
– Golang DDoS IRC Bot 악성코드들이 사용하는 IRC 서버 목록
210.121.222[.]32:6667
157.230.106[.]25:6667
89.108.116[.]192:6667
176.56.239[.]136:6697
이와같이 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.
[파일 진단]
Trojan/Win.Korat.C4914970 (2022.01.16.00)
Trojan/Win.Korat.R465157 (2022.01.16.00)
Trojan/Win.Korat.C4914985 (2022.01.16.00)
Downloader/Win.Korat.C4914968 (2022.01.16.00)
Downloader/Win.Korat.C4914972 (2022.01.16.00)
Downloader/Win.Korat.C4914976 (2022.01.16.00)
Downloader/Win.Korat.C4914977 (2022.01.16.00)
Downloader/Win.Korat.C4914979 (2022.01.16.00)
Downloader/Win.Korat.C4914980 (2022.01.16.00)
Downloader/Win.Korat.C4914997 (2022.01.16.00)
Trojan/Win.IRCGo.C4915003 (2022.01.16.00)
Trojan/Win.IRCGo.C4915004 (2022.01.16.00)
Trojan/Win.IRCGo.C4915005 (2022.01.16.00)
Backdoor/Win.UDPRat.R465188 (2022.01.16.00)
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
