웹하드를 통해 유포 중인 DDoS IRC Bot 악성코드 (GoLang)

ASEC 분석팀에서는 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Go 언어로 개발된 DDoS IRC 봇 악성코드들이 성인 게임을 위장하여 웹하드를 통해 설치되고 있는 사실을 확인하였다. 웹하드는 국내 환경에서 악성코드 유포에 활용되는 대표적인 플랫폼으로써 과거 njRAT이나 UDP Rat을 유포한 사례가 있다.

최근 확인되고 있는 유포 사례는 기본적으로 위에서 다룬 사례와 유사하며 동일한 공격자가 아직까지 악성코드를 유포하고 있는 것으로 보인다. 성인 게임을 위장하여 악성코드를 유포하는 점 외에도 다운로더 악성코드를 거쳐 DDoS 악성코드를 설치하는 점 그리고 UDP Rat 악성코드가 사용되었다는 점이 그것이다.

차이점이라고 한다면 기존에는 C# 언어를 이용해 다운로더 악성코드를 개발했다면 지금은 Go 언어(GoLang)를 이용해 다운로더 악성코드를 제작한다는 점이 있다. 이외에도 공개된 오픈 소스인 Simple-IRC-Botnet 즉 Go 언어로 개발된 DDoS IRC 봇 악성코드가 UDP Rat 외에도 추가적으로 사용되고 있다.

[그림 1] 오픈 소스 Simple-IRC-Botnet

Go 언어는 개발 난이도가 낮고 크로스 플랫폼을 지원하는 등 여러가지 장점으로 인해 다양한 공격자들에 의해 사용되고 있으며 최근 그 빈도가 늘어나고 있다. 이러한 추세에 맞게 요즘에는 국내 사용자들을 대상으로 하는 Korat 악성코드들에서도 Go 언어를 이용하는 사례가 늘어나고 있다.

먼저 웹하드에서 다음과 같이 성인 게임을 위장한 악성코드가 업로드된 것을 확인할 수 있다.

[그림 2] 웹하드에서 유포 중인 악성코드 압축 파일

위 업로드가 직접적인 공격자인 것은 알 수 없지만 해당 게시글 외에도 유사한 게시글에서도 압축 파일들을 이용해 동일한 악성코드를 유포하고 있다. 참고로 게임은 모두 다르지만 압축 파일에 포함되어 있는 악성코드들은 아래에서 다루는 내용과 모두 동일하다.

[그림 3] 공격자가 업로드한 다른 게시글들

이러한 공격에 사용된 성인 게임들은 아래와 같은 경로명을 포함하고 있다. 즉 아래의 이름에 해당하는 압축 파일로 유포되었다는 점을 추정할 수 있다.

– [19한글판] h로 시작하는 악동 마법사
– [19한글판] 그lㅕ가 노0ㅖ가 된 이유
– [19한글판] 낙원걸음의 리프레인
– [19한글판] 능yok교환일기
– [19한글판] 다도부 소lㅕ
– [19한글판] 리리아 각의 저주
– [19한글판] 마법 소녀가 있는 학원
– [19한글판] 몬스터 파이트
– [19한글판] 몽환의 리리움
– [19한글판] 분노의 올커트 부장
– [19한글판] 사유리의 화려한 날들
– [19한글판] 슬레이프 코퍼레이션
– [19한글판] 시골 no출 여학x
– [19한글판] 실비아와 약의 대가
– [19한글판] 암살자 어쌔신 아스카
– [19한글판] 여친갱생게임
– [19한글판] 예속 스킬로 이상향 만들기
– [19한글판] 우리엘&벨리알
– [19한글판] 위원장 카나의 경우
– [19한글판] 프린세스 라운드
– [19한글판] 플로라와 세계수 뿌리
– [19한글판] 한밤중의 노출
– [19한글판] 현대에 날아간 엘프
– [19한글판] 호문클루스의 연구 기록

다운로드 된 zip 압축 파일을 열어보면 다음과 같은 파일들을 확인할 수 있다. 일반적으로 사용자들은 게임 실행을 위해 아래의 “Game_Open.exe” 파일을 실행할 것이다.

[그림 4] Game_Open.exe 파일로 위장한 악성코드

하지만 “Game_Open.exe”는 게임 프로그램이 아니라 또 다른 악성코드를 실행시키는 런쳐 악성코드이다. 구체적으로 설명하자면 동일한 경로에 위치한 “PN” 파일을 “scall.dll”로 변경 및 실행하고, 원본 게임 실행 파일인 “index”를 “Game.exe”로 복사한 후 실행한다. 이에 따라 사용자는 게임이 정상적으로 실행되었다고 인지할 수 있다.

[그림 5] 악성코드가 실행시키는 실제 게임 프로그램

여기까지의 과정이 끝나면 기존 “Game_Open.exe” 파일을 숨김 속성으로 변경하기 때문에 사용자는 이후 복사된 게임 프로그램인 “Game.exe”를 사용하게 된다. 이와 별개로 “scall.exe” 이름으로 변경 및 실행된 “PN” 파일은 악성코드이다. 해당 악성코드는 먼저 동일 경로에 위치하던 “srt” 파일을 C:\Program Files\EdmGen.exe 경로에 옮긴다.

[그림 6] Program Files 경로에 생성된 악성코드

이후 다음과 같은 명령을 이용해 작업 스케줄러에 “EdmGen.exe” 악성코드를 등록하여 주기적으로 실행될 수 있도록 한다.

“C:\Windows\System32\cmd.exe” /c SCHTASKS /CREATE /SC ONSTART /NP /TN “Windows Google” /TR “C:\Program Files\EdmGen.exe”

이 과정을 통해 실행된 “EdmGen.exe” 즉 “srt” 파일은 정상 프로그램인 vbc.exe를 실행시키고 여기에 악성코드를 인젝션한다. Vbc.exe에 인젝션되어 실행되는 악성코드는 기존 블로그에서 정리했던 것과 동일하게 다운로더 악성코드이다. 차이점이 있다면 C#으로 개발된 것이 아니라 Go 언어로 개발되었다는 점이 있다.

해당 악성코드는 아래와 같이 C&C 서버에 주기적으로 접속하여 다운로드할 악성코드의 주소를 획득한 후 추가 악성코드를 설치할 수 있다.

[그림 7] 인젝션된 Golang 다운로더 악성코드의 루틴
  • 추가 악성코드 다운로드 주소 : hxxp://node.kibot[.]pw:8880/links/01-13
  • 다운로드된 악성코드의 생성 경로 : C:\Down\discord_[랜덤]\[악성코드 이름]

기존에는 추가적으로 설치되는 악성코드들이 UDP Rat DDoS 악성코드였다. 하지만 이번에 확인된 유형은 UDP Rat DDoS 악성코드 외에도 Go 언어로 개발된 Simple-IRC-Botnet 악성코드가 확인되었다.

해당 악성코드도 DDoS 봇 악성코드인 것은 동일하지만 C&C 서버와의 통신에 IRC 프로토콜이 사용되며, UDP Flooding 공격만 지원하던 기존의 UDP Rat 악성코드와 달리 TCP Flooding, UDP Flooding 외에도 Slowris, Goldeneye, Hulk DDoS와 같은 공격들을 지원한다는 점이 특징이라고 할 수 있다.

[그림 8] Golang DDoS IRC 봇 악성코드 루틴 함수

Golang DDoS IRC Bot은 실행 시 특정 IRC 서버에 접속하며 공격자의 채널에 입장한다. 이후 해당 채널에서 공격자가 명령을 전달할 경우 해당 명령에 따라 공격 대상에 DDoS 공격을 수행할 수 있다.

– Golang DDoS IRC Bot 악성코드들이 사용하는 IRC 서버 목록
210.121.222[.]32:6667
157.230.106[.]25:6667
89.108.116[.]192:6667
176.56.239[.]136:6697

[그림 9] 공격자의 IRC 채널에 입장하기 위한 명령
[그림 10] 공격자가 IRC 채널을 통해 전달 가능한 DDoS 명령들

이와같이 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.

[파일 진단]
Trojan/Win.Korat.C4914970 (2022.01.16.00)
Trojan/Win.Korat.R465157 (2022.01.16.00)
Trojan/Win.Korat.C4914985 (2022.01.16.00)
Downloader/Win.Korat.C4914968 (2022.01.16.00)
Downloader/Win.Korat.C4914972 (2022.01.16.00)
Downloader/Win.Korat.C4914976 (2022.01.16.00)
Downloader/Win.Korat.C4914977 (2022.01.16.00)
Downloader/Win.Korat.C4914979 (2022.01.16.00)
Downloader/Win.Korat.C4914980 (2022.01.16.00)
Downloader/Win.Korat.C4914997 (2022.01.16.00)
Trojan/Win.IRCGo.C4915003 (2022.01.16.00)
Trojan/Win.IRCGo.C4915004 (2022.01.16.00)
Trojan/Win.IRCGo.C4915005 (2022.01.16.00)
Backdoor/Win.UDPRat.R465188 (2022.01.16.00)

[IOC]
파일
– Game Launcher
affbad0bedccbf1812599fbce847d917
b21ad73be72280ae30d8c5556824409e
889289d9d97f7c31925a451700b4b7ac
2a7de90437c66b3f2304630c3324e2de
f14c51ca5d7afc1128cceca5d5a5694b
41320f572cdf14abc1401a72a24a621d
d38803b3f7c0faac71a3e572e9214891
5d97a32e47dfa54dd1bebde208252b88
12baeacfd0ac2d66c5959d6305a4fe50

– Launcher
b621005a147ef842fbc7198c8431724c
ba43e4c84da7600881ed5ccac070e001
b6ad8550dcd317a49c6e563a1188d9f0
db2db486b828182c827e4fdfc292e143
4c1777b5763bc7655d1ca89ae4774470
2357c1c6027f21094fa62a35300a96ae
28566a08334f37d7a8d244c393e9ad33
4b3eff9f394ebd2231c5c0b980c62e63
74834f29dd5d244742879c2d800e8a53
4b3eff9f394ebd2231c5c0b980c62e63

– Downloader
42a344fbad7a56e76c83013c677330ac
6b029fc7a0f480b7dd6158bba680e49b
5a74ea453f0b424770fdddaf470f5eae
12c97b2481efe448b93b72b80eb96563
1f993f08ed40f6b03db7f78ab8e087a5
005247fa9b312eb449150b52b38e0a4c
1f2147b2a0caeb43a9a3bcaf42808581
63ff6d1bb53cdd2d7b7fca856826c8b6

– UDP Rat
bff341b0c95eda801429a4b5c321f464
0fd264b12ea39e39da7807a117718429
af486a4e9fdc62ac31f8424a787a460c
2160629e9def4c9482b4fb642c0cd2d8
51cfd6c6390ce99979350a9a21471d30
194fb8590e1218f911870c54b5830f16
7b73a4e6e504800e256495861d0c9f78
57568755bac3f20fffb970a3c6386a43
55b6e07ff120b6c2e784c8900333aa76
bc18d787c4d886f24fa673bd2056e1ed
5be1ab1d5385d5aeadc3b498d5476761
1bc93ee0bd931d60d3cd636aa35176e3
a2fc31b9c6a23e0a5acc591e46c61618
977c52d51d44a0a9257017b72cfafab1
98e4f982363c70bd9e52e5a249fce662

– Golang DDoS IRC Bot
7f3bd23af53c52b3e84255d7a3232111
00b9bf730dd99f43289eac1c67578852
90bfa487e9c5e8fe58263e09214e565b
2fe8262d0034349a030200390b23b453
8053b24878c4243d8eda0ccae8905ccb

C&C 서버
– 다운로더 악성코드
hxxp://organic.kibot[.]pw:2095/links/12-20
hxxp://node.kibot[.]pw:2095/links/12-20
hxxp://node.kibot[.]pw:2095/links/12-25
hxxp://node.kibot[.]pw:8880/links/12-28
hxxp://miix.kibot[.]pw:8880/links/12-28
hxxp://node.kibot[.]pw:8880/links/12-28
hxxp://node.kibot[.]pw:8880/links/01-13

– UDP Rat
195.133.18[.]27:1234
195.133.18[.]27:8080
195.133.18[.]27:9997

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 3 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments