웹하드를 통해 유포 중인 HackHound IRC Bot

웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 일반적으로 공격자들은 성인 게임이나 사용 게임의 크랙 버전과 같은 불법 프로그램과 함께 악성코드를 유포한다. 이렇게 웹하드를 유포 경로로 사용하는 공격자들은 주로 njRAT이나 UdpRAT, DDoS IRC Bot과 같은 RAT 유형의 악성코드를 설치한다.

공격자들은 위에서 다룬 사례들처럼 주기적으로 다양한 유형의 악성코드를 사용하고 있다. ASEC 분석팀에서는 최근 “HH IRC Bot”이라고 하는 DDoS 봇 악성코드가 유포되고 있는 것을 확인하였다. 악성코드에서 사용되는 문자열 및 기능들을 통해 찾아봤을 때 과거 2012년경 다음과 같은 해킹 포럼에서 공유된 악성코드인 것으로 추정된다. HH는 HackHound를 의미하며 Hackhound 포럼의 공식 IRC Bot으로 소개되고 있다.

[그림 1] 해킹 포럼에서 공유된 HH IRC Bot

IRC(Internet Relay Chat)는 1988년 개발된 실시간 인터넷 채팅 프로토콜이다. 사용자들은 특정 IRC 서버의 특정 채널에 접속해 동일한 채널에 접속한 다른 사용자들과 실시간으로 채팅을 할 수 있다. IRC Bot은 이러한 IRC를 악용하여 C&C 서버와의 통신에 사용하는 봇 악성코드이다. 감염 시스템에 설치된 IRC 봇은 IRC 프로토콜에 따라 공격자가 지정한 IRC 서버의 채널에 접속하며 이후 탈취한 정보를 해당 채널에 전달하거나 공격자가 특정 문자열을 입력할 경우 이를 명령으로 전달받아 이에 상응하는 악성 행위를 수행할 수 있다.

추가적인 C&C 서버 및 프로토콜을 개발할 필요 없이 이미 존재하는 IRC 프로토콜을 이용하고 기존 IRC 서버를 활용할 수 있다는 점에서 IRC를 악용하는 IRC Bot 악성코드들은 과거부터 꾸준히 사용되어 왔다. 일례로 위에서 언급한 Go 언어로 개발된 Simple-IRC-Botnet이 있다.

현재 웹하드에서 공격자가 업로드한 파일은 확인되지 않지만 다음과 같은 경로명들을 통해 과거 사례와 유사하게 성인 게임을 위장하여 유포된 것으로 추정된다.

  • \시간정지 참교육 (2)\d4work.dll
  • \얀데레_여동생의_사랑을_듬뿍_받는_아이_만들기_생활_04_10 (2)\d3dcompiler_46.dll
  • \샌드위치는 안돼 (2)\d3dcompiler_46.dll
  • \실비 키우기\save.dll


njRAT

이렇게 웹하드에 업로드된 게임 압축 파일에 포함된 파일들은 모두 njRAT 악성코드이다. 참고로“d4work.dll”이나 “d3dcompiler_46.dll”와 같은 유포 파일명은 과거부터 njRAT 유포에 자주 사용되고 있는 이름들이다.

웹하드를 주요 유포 경로로 사용했다는 점이나 유포에 사용된 파일명이 과거 공격들에서 사용된 것과 동일하다는 점, 과거 Golang DDoS IRC Bot 악성코드를 사용한 사례처럼 IRC 악성코드를 사용하는 점 그리고 공격에 njRAT, HackHound IRC Bot 외에도 UDP Rat이 사용되었다는 점으로 봤을 때 기존과 동일한 공격자의 소행으로 추정된다.

유포되는 njRAT들은 여러 방식으로 패킹 및 난독화되어 있으며, 구분자로 “|’|’|”를 사용하는 버전을 이용한 것이 특징이다.

[그림 2] njRAT 설정 데이터

njRAT은 감염 시스템에 상주하면서 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다. 공격자는 njRAT을 이용해 추가 악성코드를 생성하였으며, 대표적으로 UDP Rat, 설치된 다양한 웹 브라우저에 저장된 계정 정보들을 수집해 보여주는 WebBrowserPassView, 크롬 웹 브라우저 계정 정보 탈취형 악성코드가 있다.


UDP Rat

UDP Rat은 UDP Flooding 공격을 지원하는 DDoS 봇으로서 기존 블로그에서 소개한 바와 동일하다.

[그림 3] Simple-UDP-Rat

공격에 사용된 UDP Rat 악성코드들은 다음과 같이 PDB 정보에 따라 두 종류로 나뉜다.

  • PDB 정보 1 : D:\wkfy\Machos Sharing2\Machos Sharing2[자료] 특수\희귀소스[USER] UDP botnet src\layer4botnet ourse\Client\x64\Debug\Client.pdb
  • PDB 정보 2 : C:\Users\jk\Desktop[USER] UDP botnet src\layer4botnet sourse\Client\x64\Debug\Client.pdb


WebBrowserPassView

WebBrowserPassView는 최신 버전 대신 “/stext” 인자를 지원하는 과거 버전이 사용되었다. 추출한 계정 정보를 보여줄 때 GUI 버전만 지원하는 최신 버전과 달리 “/stext” 인자를 지원하는 과거 버전의 WebBrowserPassView는 사용자가 인지하지 못하게 커맨드 라인으로 실행되어 수집한 계정 정보를 파일 형태로 생성할 수 있다. 이렇게 생성된 계정 정보가 담긴 파일은 공격자가 RAT 악성코드들을 활용해 탈취가 가능해진다. 이에 따라 과거 버전의 WebBrowserPassView는 HawkEye를 포함한 다양한 악성코드들에 의해 사용되고 있다.

[그림 4] stext 인자를 지원하는 과거 버전의 WebBrowserPassView


InfoStealer

비록 WebBrowserPassView를 사용하기는 하지만 공격자는 이외에도 추가적인 계정 탈취형 악성코드도 유포하였다. 해당 악성코드는 크롬 웹 브라우저만을 대상으로 계정 정보를 수집하며 이후 디스코드를 이용해 수집한 정보를 탈취한다.

[그림 5] 크롬 웹 브라우저 계정 정보 탈취형 악성코드

현재 크롬 웹 브라우저가 실행 중일 경우 강제로 종료하고 설정 파일에 저장된 계정 정보를 구해와 복호화한다. 그리고 디스코드 WebHook을 이용해 해당 정보를 탈취한다. WebHook API를 이용하면 특정한 디스코드 서버에 데이터와 함께 알림을 전달할 수 있다. 즉 악성코드는 다음과 같은 WebHook URL을 통해 탈취한 정보가 포함된 압축 파일을 첨부하여 POST 요청하며, 공격자는 디스코드 서버에서 알림과 함께 탈취한 정보를 전달받을 수 있다.

[그림 6] 수집한 정보를 디스코드 WebHook을 이용해 탈취


HackHound IRC Bot

njRAT이 생성하는 악성코드로는 마지막으로 HackHound IRC Bot이 있다. HackHound IRC Bot은 IRC 프로토콜을 C&C 서버로 이용해 공격자로부터 전달받은 명령을 수행할 수 있으며, 지원하는 기능으로는 아래와 같이 추가 악성코드 다운로드나 업데이트와 같은 기본적인 기능 외에 대부분이 DDoS 공격들이다.

  1. 파일 다운로드
  2. 업데이트
  3. DDoS 공격
    …. 3.1. UDP Flood
    …. 3.2. HTTP Get Flood
    …. 3.3. HTTP POST Flood
    …. 3.4. ConDis Flood
    …. 3.5. HTTP Torhammer Flood
    …. 3.6. HTTP Hulk Flood

HH IRC Bot이 처음 실행되면 리소스에 저장되어 있는 설정 데이터를 읽어와 초기화를 진행한다. 첫 번째 항목은 C&C 서버인 IRC 서버의 주소이며 다음 항목은 C&C 서버의 포트 번호, 채널 이름이다. 그리고 설정에 포함된 “test” 문자열은 재부팅 이후에 실행될 수 있도록 설정하는 Run 키의 이름, “test.exe” 문자열은 최초 실행 시 자신을 %APPDATA% 경로에 복사할 때 변경할 이름을 의미한다.

[그림 7] HH IRC Bot 초기화 루틴

현재는 접속이 불가하지만 C&C 서버와의 접속 이후에는 다음과 같이 다운로드, 업데이트, DDoS 공격 등 공격자로부터 전달받은 명령을 수행할 수 있다. 구현된 DDoS 공격 루틴들도 해킹 포럼에서 소개한 내용과 동일하다. 참고로 Tor’s Hammer, Hulk 등을 포함해 사용되는 대부분의 DDoS 공격들 대부분은 이름이 알려진 것들이며, ConDis 공격은 Connection / Disconnection 을 의미하는 것으로 추정된다. 즉 공격 대상에 연결과 연결 끊기를 반복적으로 수행하는 DDoS 공격이다.

[그림 8] IRC 명령이 구현된 루틴
[그림 9] DDoS 공격이 구현된 루틴

이와 같이 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.

[파일 진단]
– Trojan/Win.Korat.C5290614 (2022.11.04.00)
– Backdoor/Win.NjRat.C5290641 (2022.11.04.01)
– Backdoor/Win.NJRat.C5290642 (2022.11.04.01)
– Backdoor/Win.NJRat.C5290643 (2022.11.04.01)
– Trojan/Win.Wacatac.C5290069 (2022.11.02.03)
– Infostealer/Win.Agent.C5290619 (2022.11.04.00)
– HackTool/Win.WebBrowserPassView.R347116 (2021.06.06.01)
– Backdoor/Win.UDPRat.R532714 (2022.11.04.00)
– Backdoor/Win.UDPRat.R532715 (2022.11.04.00)
– Trojan/Win.Bladabindi.C5290462 (2022.11.03.02)
– Backdoor/Win.IRCBot.C5290616 (2022.11.04.00)
– Trojan/Win.Bladabindi.C5290466 (2022.11.03.02)
– Trojan/Win.Agent.C5290070 (2022.11.02.03)
– Trojan/Win.Generic.R452668 (2021.11.24.01)

[행위 진단]
– Malware/MDP.Behavior.M1693

[IOC]
MD5

– 1287b9c05c8f73fcdbe5620e5717fe75 : njRAT (웹하드에 업로드되어 유포)
– a1c8e2bebae1afbe0726060defe38601 : njRAT (웹하드에 업로드되어 유포)
– 10d33eb390e6d81e805f4b38daa4db40 : njRAT (웹하드에 업로드되어 유포)
– ffb201e6d38beabb33adddba8dccfc5a : njRAT
– 2d05a3c8a38fc57494bf765a4715cede : njRAT
– ffb201e6d38beabb33adddba8dccfc5a : njRAT
– 21f40d9efa89374a8cabbe85076d0b17 : Stealer
– 053778713819beab3df309df472787cd : WebBrowserPassView
– 8fb255cf2bbc51c90478b81f2e3ce058 : UDP Rat
– 37694d53979faf4b74328736d559f831 : UDP Rat
– 1098c0adc0749c09edef3ed2d3b287cb : UDP Rat
– 00c4c68847196cd4c48c67fd1f8156cd : UDP Rat
– c6018d13e5f72dde859ffc77f175502a : UDP Rat
– 17f1e7ea6fb9bed97c16cbd2746ca3ff : UDP Rat
– d092702766c11b2d021ec1d448772dd2 : UDP Rat
– 33134892bc0db2246b3ae2e23f3d0102 : HackHound IRC Bot
– ed60830ce5bd7ba29d6f50a927a7d80b : HackHound IRC Bot
– 12ed54ef87ef751cecb27534edf66682 : HackHound IRC Bot
– 674360905cbf8a1817c6a5767e468526 : HackHound IRC Bot
– 035f90ca20ece063578e4df9c6f23ff4 : HackHound IRC Bot

C&C 및 다운로드 주소
– minho128.kro[.]kr:1 – njRAT
– minho128.kro[.]kr:80 – UDP Rat
– minho128.kro[.]kr:443 – njRAT, UDP Rat
– minho128.kro[.]kr:4433 – UDP Rat
– minho128.kro[.]kr:7860 – UDP Rat
– minho128.kro[.]kr:6667 – HackHound IRC Bot
– hxxps://discord[.]com/api/webhooks/984735992755933194/zG_rKOa35RSplPSCDeMstvwHH55yLuVLJpSjVIpNIUEwElCHcEuR_jym9Z6oevDhtuG- – Stealer

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
Subscribe
Notify of
guest

1 댓글
Inline Feedbacks
View all comments
trackback

[…] 웹하드는 토렌트와 함께 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. 등록된 사용자들은 영화나 드라마와 같은 미디어 파일뿐만 아니라 게임, 유틸리티와 같은 프로그램 그리고 성인물을 업로드하며, 다른 사용자들은 일정한 금액을 지불하고 업로드된 파일들을 다운로드할 수 있다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다.[2] [3] [4] […]