최근 ISO 파일을 통한 악성코드 유포 방식이 증가하고 있다. 그 중 뱅킹형 악성코드인 Qakbot 의 유포 방식이 Excel 4.0 Macro 를 이용하던 것에서 ISO 파일을 이용하는 것으로 변경되어 유포 중인 것을 확인하였다. ASEC 블로그를 통해 Qakbot 외에도 AsyncRAT, IcedID, BumbleBee 악성코드가 ISO 파일을 이용한 사례를 소개해왔는데, 이처럼 최근 악성코드를 유포하는 과정에 ISO 파일을 이용하는 사례가 증가하고 있는 것을 알 수 있다.
먼저, Qakbot 을 유포하는 피싱 메일은 [그림 1] 과 같으며 악성 HTML 파일이 첨부되어 있는 형태이다.

첨부된 HTML 파일을 실행하게 되면, [그림 2] 와 같은 페이지를 확인할 수 있으며 스크립트 내에 존재하는 압축 파일이 생성된다. 압축 파일은 패스워드가 설정되어 있으며, 패스워드는 HTML 페이지에서 확인할 수 있다.


압축 파일 내부에는 ISO 파일이 존재하며, ISO 파일 내부에는 LNK 파일과 1개의 폴더가 존재한다. 폴더 내부에는 [그림 6] 과 같이 악성과 정상 파일을 포함한 다수의 파일이 존재한다.



LNK 파일은 폴더 아이콘으로 위장하였으며, 실행 시 conspicuously 폴더 내 존재하는 악성 JS 파일을 실행하게 된다.

악성 JS 파일은 동일한 폴더 내에 존재하는 cmd 파일을 인자 “regsvr” 로 실행하는 기능을 수행한다. cmd 파일은 인자로 전달받은 “ regsvr” 과 “32” 문자열을 조합하여, 최종적으로 regsvr32.exe 를 통해 recruiter.db 파일을 로드하게 된다. 이때 로드된 파일은 뱅킹형 악성코드인 Qakbot 이다.


Qakbot 악성코드는 먼저 “C:\INTERNAL\__empty” 경로 파일이 존재하는지 확인하여 존재할 경우 악성 행위를 수행하지 않는다. 해당 과정은 Windows Defender 의 에뮬레이션 문자열을 감지하는 것으로 추정된다.

또한 환경 변수를 통해 해당 PC 의 감염 여부를 검사하여 특정 환경 변수가 존재하지 않을 경우 악성 행위를 수행한다. 이후 사용자명, 실행 중인 프로세스 정보, OS 정보 등을 탈취하며 정상 프로세스에 인젝션을 수행한다. 인젝션 대상 프로세스는 아래와 같다.
- 인젝션 대상 정상 프로세스
C:\Windows\explorer.exe
C:\Windows\System32\msra.exe
C:\Windows\System32\OneDriveSetup.exe
인젝션된 프로세스는 다수의 C2 를 디코딩하여 연결을 시도하며, 그 중 일부는 아래와 같다. C2 에 연결될 경우 악성 모듈 다운로드, 금융 정보 탈취 등의 추가 악성 행위를 수행 할 수 있다.
- C2
154.181.203[.]230:995
66.181.164[.]43:443
197.204.143[.]46:443
37.76.197[.]124:443
89.211.223[.]138:2222
151.234.63[.]48:990
31.54.39[.]153:2078
61.105.45[.]244:443
186.105.182[.]127:443
181.231.229[.]133:443
62.114.193[.]186:995
70.81.121[.]237:2222
1.10.253[.]207:443
138.0.114[.]166:443
102.101.231[.]141:443
177.255.14[.]99:995
203.77.187[.]131:80
최근 ISO 파일을 이용한 악성코드 유포가 증가하고 있으며, 메일 내 존재하는 첨부파일 열람을 자제해야한다. 현재 V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
[파일 진단]
Malware/Win.Generic.C5240833 (2022.09.21.00)
Dropper/HTML.Qakbot (2022.09.30.03)
Trojan/CMD.Runner (2022.09.30.03)
Trojan/JS.Runner (2022.09.30.03)
[IOC]
5c97198ce6ada4da0e2f4fc0062bfd3b
34e4f836930e6215d1ccf50b4af7f41a
16c560ec4b9bd06e04b774863b820952
be8a72cb66f90fd4adffb8c2784b74c9
6849be4028889845f55516c304fed307
154.181.203[.]230:995
66.181.164[.]43:443
197.204.143[.]46:443
37.76.197[.]124:443
89.211.223[.]138:2222
151.234.63[.]48:990
31.54.39[.]153:2078
61.105.45[.]244:443
186.105.182[.]127:443
181.231.229[.]133:443
62.114.193[.]186:995
70.81.121[.]237:2222
1.10.253[.]207:443
138.0.114[.]166:443
102.101.231[.]141:443
177.255.14[.]99:995
203.77.187[.]131:80
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보