PurpleFox 악성코드는 2018년에 처음 발견되었다. 당시에는 자체 개발한 드라이버를 이용해 악성코드를 은폐하였지만, 2019년부터 오픈소스 ‘Hidden’을 커스터마이즈하여 이용하였으며, 2020년 중반부터는 공격자가 다양한 기능을 추가하기 위해 테스트 하는 것이 포착되었다.
PurpleFox는 최종적으로 코인 마이너 악성코드지만 추가 악성코드를 설치하는 다운로더 역할을 수행하며 연결된 다른 PC에 전파하는 기능도 가지고 있다. 현재까지 알려진 유포 방법은 브라우저 취약점을 이용하거나 특정 프로그램으로 사칭, 피싱메일을 이용한 방법 등이며, 2022년 1월 해외에서는 ‘Telegram’ 설치 프로그램으로 사칭해 유포되고 있음이 확인되었다.
루트킷을 이용한 악성코드는 특정 파일나 특정 프로세스 혹은 레지스트리 키 등을 은폐할 수 있기 때문에 PC 사용자가 감염 여부를 확인하기 어렵다. 따라서 ASEC 분석팀은 PurpleFox 루트킷의 기감염 여부를 간편히 확인할 수 있는 방법을 소개하고, 감염된 것으로 보인다면 하단의 전용백신 링크를 통해 치료할 수 있음을 알린다.
- 기감염 체크
1) 관리자 모드로 ‘cmd.exe’를 실행한다.
2) IPSEC 정책 중 ‘qianye’라는 정책 이름이 있는지 검사한다.
명령어> netsh ipsec static show policy all
3) 필터 목록 이름 중 ‘Filter1’이 존재 여부를 확인하고 필터의 포트 번호가 135, 139, 445가 포함되는지 확인한다.
명령어> netsh ipsec static show all
만약 위의 조건에 모두 부합한다면 해당 PC는 이미 감염됐을 확률이 높다. 따라서 아래의 전용 백신을 설치해 실제 감염여부를 확인하고 치료할 것을 당부드린다.
- 전용 백신 치료 과정
1) 해당 전용백신을 실행하고 기다리면 자동으로 기감염 여부를 체크하고 아래와 같은 메시지를 출력한다. 이 때 재부팅으로 작성 중인 문서나 중요한 작업이 종료될 수 있다. 따라서 전용 백신을 실행하기 전 다른 응용프로그램을 종료하고 실행할 것을 권장한다.
2) 재부팅 후 아래와 같이 자동으로 검사를 수행한다. 대상 경로는 ‘%SystemRoot%\system32’ 로 PurpleFox의 핵심 파일인 ‘MS(볼륨시리얼넘버)App.dll’ 을 탐지하고 삭제한다.
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하며 특히 PurpleFox 루트킷 상세 분석 보고서는 TI보고서 ‘PurpleFox의 Hidden 루트킷’ 에서 만나볼 수 있다.
Categories:조치 가이드
[…] Hidden은 깃허브에 공개된 오픈 소스 루트킷 드라이버로서 최신 운영체제에서 제공하는 미니 필터 드라이버와 커널 콜백 함수들을 이용해 파일 및 레지스트리를 은폐하고 프로세스를 보호한다. 이러한 기능들 때문에 공격자는 악성코드를 은폐하고 악성 프로세스를 종료할 수 없도록 Hidden 드라이버를 악의적인 목적으로 사용하기도 한다. 실제 코인 마이너 악성코드인 PurpleFox도 Hidden을 커스터마이징하여 공격에 사용함으로써 악성코드를 은폐하고 치료를 방해하였다. [5] […]