ASEC 분석팀에서는 최근 BitRAT 악성코드가 웹하드를 통해 유포 중인 것을 확인하였다. 공격자는 윈도우 10 인증 툴을 위장하여 악성코드를 제작하였기 때문에 사용자가 윈도우 정품 인증을 위해 웹하드에서 불법 인증 크랙 툴을 다운로드받아 설치할 경우 BitRAT 악성코드가 설치될 수 있다.
다음은 웹하드에서 업로드된 악성코드가 포함된 게시글이며 “[최신][초간단]윈도우 정품 인증[원클릭]” 이라는 제목이다.
다운로드된 파일은 “Program.zip”이라는 압축 파일이며, 게시글의 설명대로 비밀번호 “1234”로 암호 압축되어 있다. 압축 파일 내부에는 다음과 같이 ”W10DigitalActivation.exe”라고 하는 윈도우 10 정품 인증 툴이 포함되어 있다.
”W10DigitalActivation.exe”는 7z SFX 파일로써 내부에 실제 인증 툴인 ”W10DigitalActivation.msi”와 악성코드 ”W10DigitalActivation_Temp.msi”를 포함하고 있으며, 사용자가 더블 클릭할 경우 2개의 파일을 동시에 설치한다. 즉 악성코드와 인증 툴이 모두 실행되기 때문에 사용자는 아래와 같이 정품 인증 툴이 정상적으로 실행된 것으로 생각할 수 있다.
”W10DigitalActivation_Temp.msi”는 이름의 확장자와 달리 exe 포맷이며, 추가적인 악성코드를 다운로드하는 다운로더 악성코드이다. 실행 시 다음과 같이 내부적으로 포함하고 있는 C&C 서버들에 접속하는데, 이때에는 암호화된 문자열을 전달받는다. 이후 해당 문자열을 복호화하며, 최종적으로 추가 페이로드에 대한 다운로드 URL을 얻게 된다.
다운로더 악성코드는 윈도우 시작 프로그램 폴더에 악성코드를 설치하고 자가 삭제한다. 일반적으로 처음 설치되는 것은 동일한 유형의 다운로더 악성코드이며, 이렇게 실행된 다운로더는 최종적으로 BitRAT 악성코드를 %TEMP% 경로에 “Software_Reporter_Tool.exe”라는 이름으로 설치한다.
참고로 이 다운로더 악성코드는 단순한 형태는 아니며 몇몇 추가적인 기능들이 존재한다. 예를들어 다음과 같이 파워쉘 명령을 이용해 다운로더 악성코드를 설치할 윈도우 시작 프로그램 폴더 경로를 윈도우 디펜더 예외 경로로 등록하고, BitRAT 프로세스 이름 “Software_Reporter_Tool.exe”에 대해 윈도우 디펜더 예외 프로세스에 등록한다.
국내 사용자를 대상으로 하는 대표적인 플랫폼 웹하드를 이용한다는 점이나, 다음과 같이 코드에 한글 문자열이 포함된 것을 보면 공격자는 한글 사용자로 추정된다.
최종적으로 설치되는 악성코드는 BitRAT이라고 하는 RAT (Remote Access Trojan) 악성코드이다. BitRAT은 2020년 경부터 해킹 포럼을 통해 판매되기 시작하였으며, 꾸준히 공격자들에 의해 사용되고 있다.
RAT 악성코드임에 따라 공격자는 BitRAT에 감염된 시스템에 대한 제어를 획득할 수 있다. BitRAT은 프로세스 작업 / 서비스 작업 / 파일 작업 / 원격 명령 실행 등 감염 시스템에 대한 기본적인 제어 기능 외에도 다양한 정보 탈취 기능들과 HVNC, 원격 데스크탑, 코인 마이닝, 프록시들을 제공한다.
다음은 BitRAT이 제공하는 기능들을 정리하였다.
1. 네트워크 통신 방식
– TLS 1.2를 이용한 암호화된 통신
– Tor를 이용한 통신
2. 기본 제어
– 프로세스 관리자
– 서비스 관리자
– 파일 관리자
– 윈도우 관리자
– 소프트웨어 관리자
3. 정보 탈취
– 키로깅
– 클립보드 로깅
– 웹캠 로깅
– 오디오 로깅
– 웹 브라우저과 같은 애플리케이션 계정 정보 탈취
4. 원격 제어
– 원격 데스크탑
– hVNC (Hidden Desktop)
5. 프록시
– SOCKS5 Proxy : UPnP를 이용한 포트 포워딩 기능 제공
– Reverse Proxy : SOCKS4 Proxy
6. 코인 마이닝
– XMRig 코인 마이너
7. 기타
– DDoS 공격
– UAC Bypass
– 윈도우 디펜더 비활성화
참고로 BitRAT은 AveMaria 악성코드처럼 공개된 TinyNuke의 코드를 차용한 것이 특징이다. 다음은 TinyNuke의 hVNC 즉 Hidden Desktop 관련 루틴과 BitRAT의 코드를 비교한 사진이다.
TinyNuke는 Reverse SOCKS4 Proxy 기능 및 Hidden Desktop 기능에서 모두 “AVE_MARIA”라고 하는 시그니처 문자열을 인증에 사용하는 특징이 있다. AveMaria의 경우 TinyNuke로부터 Reverse SOCKS4 Proxy 기능을 차용하였으며, 해당 문자열을 따라 이름 붙여졌다. BitRAT은 Hidden Desktop 기능을 차용하였으며 시그니처 문자열은 동일하다.
참고로 TinyNuke는 과거 Kimsuky 그룹에서도 사용한 이력이 있으며, 다양한 기능들 중에서 Hidden Desktop 기능만 가져와 사용하였다.
이와같이 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.
안랩 제품에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
[파일 진단]
– Trojan/Win.MalPacked.C5007707 (2022.03.12.04)
– Dropper/Win.BitRAT.C5012624 (2022.03.16.02)
– Downloader/Win.Generic.C5012582 (2022.03.16.01)
– Downloader/Win.Generic.C5012594 (2022.03.16.01)
– Backdoor/Win.BitRAT.C5012593 (2022.03.16.01)
– Backdoor/Win.BitRAT.C5012748 (2022.03.16.02)
[행위 진단]
– Malware/MDP.AutoRun.M1288
[IOC]
드로퍼 악성코드 MD5
6befd2bd3005a0390153f643ba248e25
다운로더 악성코드 MD5
60ee7740c4b7542701180928ef6f0d53
c4740d6a8fb6e17e8d2b21822c45863b
BitRAT MD5
b8c39c252aeb7c264607a053f368f6eb
e03a79366acb221fd5206ab4987406f2
ea1b987a7fdfc2996d5f314a20fd4d99
54ef1804c22f6b24a930552cd51a4ae2
다운로더 악성코드의 C&C 서버
– hxxp://cothdesigns[.]com:443/1480313
– hxxp://cothdesigns[.]com:443/4411259
– hxxp://jmuquwk.duckdns[.]org:443/1480313
– hxxp://nnmmdlc.duckdns[.]org:443/1480313
추가 페이로드 다운로드 주소 – 다운로더
– hxxp://kx3nz98.duckdns[.]org:443/v/V_1267705.exe
– hxxp://108.61.207[.]100:443/v/V_5248849.exe
추가 페이로드 다운로드 주소 – BitRAT
– hxxp://kx3nz98.duckdns[.]org:443/v/A_1992262.exe
– hxxp://108.61.207[.]100:443/result/A_1146246.exe
BitRAT C&C
– z59okz.duckdns[.]org:5223
– cothdesigns[.]com:80
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 윈도우 정품인증 툴로 위장하여 유포 중인 BitRAT 악성코드 […]