웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 최근에는 UdpRat이나 GoLang으로 개발된 DDoS IRC Bot 등 다양한 형태가 사용되고 있지만, 과거에는 아래와 같이 njRAT이 다수의 공격에서 사용되어 왔다.
ASEC 분석팀에서는 최근 웹하드를 통해 유포 중인 njRAT 악성코드를 확인하여 블로그에서 소개하려고 한다. 특정 웹하드에서 다음과 같이 성인 게임을 위장한 악성코드가 업로드되었다.
사용자는 위의 성인 게임을 다운로드 받고 압축 파일 “Goblin walker.zip”의 압축을 해제한 후 내부에 존재하는 게임 아이콘을 갖는 실행 파일을 실행할 것이다. 실행 파일은 내부에 원본 게임 실행 파일과 njRAT 악성코드를 포함하고 있는 드로퍼 악성코드로서 실행 시 다음과 같이 %APPDATA% 경로에 게임 실행 파일 및 njRAT을 드랍하고 실행한다.
드로퍼 악성코드는 njRAT 악성코드 외에 게임 프로그램도 동시에 실행하기 때문에, 사용자는 다음과 같이 게임이 정상적으로 실행되는 것을 확인할 수 있다.
드로퍼 악성코드를 살펴보면 닷넷으로 개발되었으며 다음과 같이 리소스에 로더(fluxfog.dat), 원본 게임 실행 파일(barsgiant.dat), njRAT(gemsintoxicant.dat)을 인코딩된 형태로 가지고 있다.
드로퍼는 먼저 fluxfog.dat 즉 로더를 복호화한 후 메모리 상에서 로드한다. 로더는 다음과 같이 원본 게임 실행 파일 “barsgiant.dat”와 njRAT “gemsintoxicant.dat”를 %APPDATA% 경로에 쓰고 각각 실행하는 기능을 담당한다.
njRAT은 %APPDATA% 경로에 RuntimeBroker.exe 라는 이름으로 생성 및 실행되며, 코드는 난독화되어 있지만 구조 상으로는 다음과 같이 njRAT을 쉽게 구분할 수 있다.
njRAT 악성코드는 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있는 RAT 악성코드이다. 대표적으로 파일 다운로드 및 명령 실행, 키로깅 그리고 사용자 계정 정보 탈취와 같은 다양한 기능들을 제공한다. 다음은 내부 설정 데이터 복호화 과정에서 확인 가능한 C&C 주소 및 포트 번호이다.
공격에 사용된 njRAT은 “|’|’|”를 구분자로 사용하는데, 공격자는 공개된 njRAT 빌더를 다운로드 받아 별다른 수정 없이 그대로 사용한 것으로 추정된다.
이와같이 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.
[파일 진단]
– Malware/Win.Generic.C4918227 (2022.01.18.00)
– Dropper/Win.NJRat.R475688 (2022.03.02.00)
[IOC]
파일
– 드로퍼 : 74cb8c2a5badf88b7407cc187b1b0adf
– njRAT : 228a44d74c4be3555a55e432967adcf6
C&C
– lllopq.ddns[.]net:3270
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다.[2] [3] […]