안랩 V3 제품에는 악성코드 위협으로부터 사용자를 보호하기 위한 다양한 탐지 기능이 있다. 이 중 ‘앱 격리 검사 (App Isolate Scan)’ 기능은 의심 프로세스에 대한 탐지 및 격리를 제공하는 기능으로서, 랜섬웨어 외 인포스틸러나 다운로더 등의 악성코드를 가상 환경에 격리하여 탐지할 수 있다. 안랩 ASD 인프라에 아직 수집되지 않았거나 악성코드의 정적, 동적 행위 패턴이 확인되지 않은 악성코드를 선제적으로 격리하여 사용자를 보호할 수 있는 장점이 있다.
아래 소개하는 FormBook(폼북) 악성코드는 사용자가 웹 브라우저 이용 도중 시스템에 다운로드 되어 실행된 악성코드이다. 이후 V3 제품의 앱 격리 검사 기능으로 탐지 및 차단되었다. 본 글에서는 탐지된 FormBook 악성코드에 대해 소개한다.
FormBook은 인포스틸러 악성코드이다. 사용자 웹 브라우저 로그인 정보, 키보드 입력, 클립보드 및 스크린샷 등 정보 유출을 목적으로 한다. 불특정 다수를 공격 대상으로 하며, 주로 스팸 메일이나 침해당한 웹사이트에 업로드되어 유포되는 특징이 있다. FormBook은 실행중인 프로세스 메모리에 인젝션하여 동작한다는 특징이 있고, 인젝션 대상은 explorer.exe와 %WinDir%\System32 폴더 내 임의의 정상 파일이다. 실제 정보 유출 행위를 하는 FormBook까지 가기 위해 패킹, 난독화, 다운로더에 의한 실행 등의 단계가 선행될 수 있다.
최초 파일은 .NET 외형으로 유포되었다. 바이너리 Raw Data를 저장할 수 있는 외부 pastebin 웹 서비스 주소에 접속하여 데이터를 읽고, PE 바이너리로 재생성한 뒤 메모리에 로드한다. 로드된 PE는 여러 조건 분기로 난독화 된 .NET DLL 이다. DLL에 의해 파일은 자가 복제 후 재귀 실행되며, 이후 자식 프로세스로 AddinProcess32.exe를 실행하고 이에 PE를 인젝션한다. 인젝션 된 PE가 FormBook이다.
FormBook은 ntdll.dll을 메모리에 수동으로 로드하고 이를 호출함으로써 API 모니터링을 우회한다. 이후 안티 디버깅을 비롯한 분석 우회 기법 이후에 실행 중인 explorer.exe 프로세스에 C&C 통신을 위한 코드를 인젝션하고 스레드로 실행한다. %WinDir%\System32 폴더 내 임의의 정상 파일을 explorer.exe 프로세스의 하위 프로세스로 실행하고, 유출할 정보를 수집한다. 기법에 관련된 보다 상세한 내용은 ASEC리포트와 ATIP 보고서를 참고한다.[1][2]
[파일 진단]
– Downloader/Win.Agent.R528975 (2022.10.14.00)
[행위 진단]
– Injection/MDP.Hollowing.M4180
– Malware/MDP.Injection.M3509
[IOC]
– 45ab0352a69644eb2305982585fa53f8
– hxxp://paste.ee/8ioDo/0
– hxxp://www.gastries.info/keb5
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보