Posted By ,

GitHub에 솔루션파일(*.sln) 위장하여 유포되는 RAT 툴

ASEC 분석팀에서는 최근 GitHub 에서 솔루션파일(*.sln)을 위장하여 RAT 툴이 유포 중인 것을 확인하였다. [그림1] 은 악성코드 유포자가 GitHub에 “Jpg Png Exploit Downloader Fud Cryter Malware Builder Cve 2022” 제목으로 소스코드를 공유한 내용이다. 프로그램의 구성파일이 정상적으로 보이지만 이 중 솔루션파일(*.sln)은 RAT 툴이다. 이와 같은 방법으로 악성코드 유포자는 RAT 툴을 솔루션파일(*.sln)로 위장하여 실행을 유도한다. 일반적으로 프로그래머는 솔루션파일이 포함된 코드를 받고 프로젝트를 열기위해 솔루션파일을 오픈한다. 이러한 심리를 이용한 사회공학기법에 대한 주의가 필요하다.

[그림1] GitHub에 공개된 위장 파일

위 파일들을 받게되면 아래 [그림2] 처럼 파일들이 존재한다. [그림2]의 환경은 “알려진 파일형식의 파일 확장명 숨기기” 가 해제된 환경이다. 이 중 솔루션파일(*.sln)의 아이콘을 갖는 파일은 표기되는 이름도 솔루션 파일처럼 보이기 때문에 실행에 주의가 필요하다. 이는 사용자의 실행을 유도하기 위한 목적으로 제작된 악성코드로 유형을 잘 살펴보면 화면 보호기 임을 알 수 있다. Windows 환경에서 .scr 파일은 실행이 가능한 확장자이기 때문에 실행 시 악성코드에 감염된다.

[그림2] 다운로드 받은 파일 목록
[그림3] AsyncRAT C2 복호화

솔루션 파일로 위장된 악성코드는 파일 진단을 우회하기 위해 파일 외형을 변경시키는 크립터 툴을 사용했으며, 실행 시 윈도우 정상 프로그램인 AppLaunch.exe, RegAsm.exe, InstallUtil.exe 에 인젝션되어 실행되며 최종 실행되는 악성코드는 RAT 툴 이다.

[그림4] 악성코드를 ZIP 파일로 압축한 데이터

GitHub와 Windows탐색기의 확장자가 솔루션파일(*.sln) 처럼 보이는 원리는 파일을 압축하여 확인 가능하다. 과거 ASEC블로그에 작성된 내용처럼 [그림4]의 “RIGHT-TO-LEFT OVERRIDE”를 뜻하는 유니코드 문자를 사용하기 때문이다.

유니코드 문자열을 이용하여 문서파일로 위장한 악성코드

이렇듯 최근 많은 사용자가 접속하는 GitHub 에서 악성코드 유포자가 악의적인 목적으로 소스코드에 관련된 파일이 아닌 악성코드를 솔루션파일(*.sln)로 위장하여 배포되는 사례가 늘어나고 있다. 사용자들은 신뢰되지 않은 작성자가 공개한 내용의 열람에 주의를 기울여야한다. 또한, 사용하고 있는 백신을 항상 최신 버전으로 업데이트하여 관리하는 주의가 필요하다.

AhnLab V3에서는 해당 악성코드들에 대해 아래와 같이 진단하고 있다.

[파일 진단]

  • Trojan/Win.Leonem.C5218555 (2022.08.04.00)
  • Trojan/Win.Agent.C4526491 (2021.06.30.03)
  • HackTool/Win32.Vbinder.R12127 (2015.02.14.01)
  • Trojan/Win.SmokeLoader.R510280 (2022.08.12.04)
  • Trojan/Win.MSILZilla.C5129545 (2022.05.15.02)
  • Trojan/Win.Generic.C5198415 (2022.07.08.03)

[행위 진단]

  • Malware/MDP.Inject.M3037
  • Execution/MDP.Powershell.M3991
  • Malware/MDP.AutoRun.M1037
  • Execution/MDP.SystemManipulation.M1788
  • Malware/MDP.Inject.M1252

[IOC 정보]

  • hxxps://github.com/emanuelandrei/Jpg-Png-Exploit-Downloader-Fud-Cryter-Malware-Builder-Cve-2022
  • 0cfa5f7c008e3dc2df275a99aef9cbbb // Jpg Photo Exploit Proj‮nls..scr
  • b1f02c7efc154019e9f1974939e204b9
  • hxxps://github.com/VortexRadiation/VenomControl-Rat-Crack-Source
  • 98d7999986d63fbd914bddc3d7b7ecf9 // Venom Control Client‮nls.
  • 8b662719e44ab11419fe3e1d7e96cc03
  • hxxps://github.com/VortexRadiation/Jpg-Png-Exploit-Downloader-Fud-Cryter-Malware-Builder-Cve-2022
  • 9a01d2f0aad78bcc4a4ca07552154ee1 // Jpg Photo Exploit Proj‮nls.
  • hxxps://github.com/Lessermask/Discord-Image-Token-Password-Grabber-Exploit-Cve-2022
  • 9fd996ce42d667ba01c902124bf95f6d // Discord Image Token Grabber‮nls.

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

.

Categories:악성코드 정보

Tagged as:,,

0 0 votes
별점 주기
Subscribe
Notify of
guest

1 댓글
Inline Feedbacks
View all comments
trackback
위장 파일명으로 유포되는 악성코드(RIGHT-TO-LEFT OVERRIDE) - ASEC BLOG
9 months ago

[…] GitHub에 솔루션파일(*.sln) 위장하여 유포되는 RAT 툴 […]

0
Reply