ASEC 분석팀은 ISO 파일을 통해 다양한 악성코드가 유포되고 있는 사례를 소개해왔다. 최근에는 ISO 파일을 통해 모듈형 뱅킹 악성코드인 IcedID 가 유포 중인 것을 확인하였다. 확인된 유형은 2가지로, 하나는 이전에 소개했던 Bumblebee 악성코드와 동일한 방식을 이용하였다. 나머지 유형 또한 비슷한 방식을 사용했지만, 스크립트 파일과 cmd 명령어가 추가된 형태이다.
먼저, 첫번째 유형은 IcedID 가 실행되는 과정 및 유포되는 과정이 이전에 소개한 Bumblebee 악성코드와 모두 동일하다. 정상 메일을 가로채는 이메일 하이재킹을 이용하였으며, 아래와 같이 악성 파일을 첨부 후 사용자에게 회신하였다. 악성 파일은 압축 파일로 첨부되어 있으며, 압축 파일은 본문에 포함된 패스워드로 암호화되어 있다.
압축 파일 내부에는 ISO 파일이 존재한다. ISO 파일 실행 시, DVD 드라이브에 lnk 파일과 dll 파일을 생성하며 lnk 파일을 통해 악성 dll 을 로드하게 된다. 이때 dll 은 숨김 속성이 설정되어 있으며, 해당 과정은 모두 Bumblebee 와 동일하다.
- lnk 명령어
%windir%\system32\cmd.exe /c start rundll32.exe hertbe.dll,#1
lnk 파일을 통해 로드되는 dll 은 IcedID 악성코드이다. IcedID 는 Emotet, Dridex 와 같이 뱅킹형 악성코드로 메인 모듈을 다운로드 받아 악성 행위를 수행한다. 해당 dll 의 C2 는 아래와 같다.
- C2
hxxp://carismorth[.]com/
두번째 유형은 ISO 파일 내부에 lnk 파일과 dll 파일 외에도 여러 개의 파일이 존재한다. ISO 파일 내부는 아래와 같이 lnk 파일 및 2개의 폴더가 존재한다.
lnk 파일은 2개의 폴더 중 them 폴더의 worker.cmd 파일을 실행하도록 한다.
- lnk 명령어
C:\them\worker.cmd
lnk 파일에 의해 실행되는 worker.cmd 파일은 동일한 폴더에 존재하는 worker.js 파일을 인자 “l32” 로 실행하는 기능을 수행한다.
worker.js 파일은 인자로 전달 받은 “l32” 와 “rundl” 문자열을 조합하여, 최종적으로 rundll32.exe 를 통해 동일한 폴더에 존재하는 then.dat 파일을 로드하게 된다.
로드되는 then.dat 파일은 dll 파일로 IcedID 악성코드이며, C2 와 패킷은 아래와 같다. 또한, 두번째 유형은 첫번째 유형과 동일하게 lnk 파일을 통해 최종적으로 dll 이 로드되지만, 중간 과정이 추가된 것을 알 수 있다.
- C2
hxxp://cootembrast[.]com/
최근 ISO 파일을 이용한 악성코드 유포가 증가하고 있다. 또한, 정상 메일을 가로채 회신하는 형태의 유포 방식도 함께 쓰이고 있어 사용자의 주의가 필요하며, 메일 내 존재하는 첨부파일 열람을 자제해야한다. 현재 V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
[파일 진단]
Trojan/Win.Generic.R503676 (2022.07.10.01)
Trojan/Win.IceID.R505751 (2022.07.20.02)
Dropper/ISO.IcedID (2022.07.20.01)
Dropper/ISO.Agent (2022.07.20.02)
[IOC]
354c059e6f6a7d52046855496e9bbcff
88a254de852e3ba553da1af698215973
6474da79ff6331712c6a2c5cbadc9051
ad0436f20e1ecd7fdf9b4d147d8db2da
hxxp://carismorth[.]com/
hxxp://cootembrast[.]com/
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보