위장 파일명으로 유포되는 악성코드(RIGHT-TO-LEFT OVERRIDE)

ASEC 분석팀에서는 지난 8월 RIGHT-TO-LEFT OVERRIDE(이하 RTLO) 를 이용한 파일명을 사용하여 유포되고 있는 악성코드에 대한 블로그를 게시했다. RTLO는 설명된 내용처럼 오른쪽에서 왼쪽으로 오버라이드 하는 유니코드이다. 이를 이용하여 파일명과 확장자를 섞어 사용자의 실행을 유도하는 방식의 악성코드 유포는 현재도 계속되고 있다.

GitHub에 솔루션파일(*.sln) 위장하여 유포되는 RAT 툴

이전 블로그 포스팅 내용을 토대로 GitHub에서 검색 시 Commits 된 게시글은 금일(2022.11.30)기준 304건이 조회된다. 몇 개의 계정으로 다수의 악성코드를 정상 코드처럼 등록했으며 기존 게시된 솔루션 위장 악성코드 파일만 새로운 악성코드로 업로드하여 유지된 게시글도 존재했다.

[그림 1] GitHub 의 sln 위장 파일명 검색결과

RTLO 를 이용한 방식은 탐지된 악성코드를 자사 ASD 인프라를 통해 확인한 결과 솔루션(.sln) 파일 위장 뿐만 아니라 압축파일, 테스트 파일, 동영상 파일등이 존재했다. 가장 많이 탐지된 유포방식은 성인 동영상과 영화를 위장한 파일로 SCR.pm4, scr.vkm, scr.iva 등이 존재했으며 유틸리티 프로그램을 가장한 exe.rar 등이 토렌트를 이용하여 유포됨을 확인 했다.

[그림 2] 토렌트로 유포되는 rar 위장 파일명 악성코드

소프트웨어 크랙파일을 위장한 파일명으로 유포중인 악성코드는 위 그림처럼 확장자가 rar 처럼 보이지만 실제 확장자는 exe이다. rar 확장자처럼 위장하기 위해 아이콘도 압축파일과 유사하게 제작된 것을 볼 수 있다. “유형” 에 RAR파일이 아닌 “응용 프로그램” 으로 되어있어 자세히 확인하지 않으면 실행파일로 인지하기 어렵다. 악성코드는 실제로 실행압축 형태의 PE파일로 악성코드와 압축파일이 함께 포함되어 있다.

악성코드는 정상 프로세스에 인젝션하여 추가 악성코드를 받아와 실행하는 로더로 확인된 악성코드는 Laplas Clipper, Redline Stelaer 가 있었다. Redline Stelaer 는 기존 ASEC블로그를 통해 다수 소개된 정보탈취형 악성코드이며 Laplas Clipper는 암호화폐 사용자를 대상으로 하는 악성코드로 클립보드 데이터에 지갑주소가 있을때 이를 공격자의 주소로 바꾸는 악성코드 이다.

[그림 3] 암호화폐 지갑 주소 정규식

Bitcoin (BTC) (1[1-9A-HJ-NP-Za-km-z]{33})
Bitcoin (BTC) (3[1-9A-HJ-NP-Za-km-z]{33})
Bitcoin (BTC) (bc1q[023456789acdefghjklmnpqrstuvwxyz]{38,58})
Bitcoin Cash (BCH) (q[a-z0-9]{41})
Bitcoin Cash (BCH) (p[a-z0-9]{41})
Litecoin (LTC) (L[a-km-zA-HJ-NP-Z1-9]{33})
Litecoin (LTC) (M[a-km-zA-HJ-NP-Z1-9]{33})
Litecoin (LTC) (ltc1q[a-km-zA-HJ-NP-Z1-9]{38})
Ethereum (ETH) (0x[a-fA-F0-9]{40})
Dogecoin (DOGE) (D[5-9A-HJ-NP-U]{1}[1-9A-HJ-NP-Za-km-z]{32})
Monero (XMR) (4[0-9AB][1-9A-HJ-NP-Za-km-z]{93})
Monero (XMR) (8[0-9AB][1-9A-HJ-NP-Za-km-z]{93})
Ripple (XRP) (r[0-9a-zA-Z]{33})
Zcash (ZEC) (t1[a-km-zA-HJ-NP-Z1-9]{33})
Dash (DASH) (X[1-9A-HJ-NP-Za-km-z]{33})
Ronin (RON) (ronin:[a-fA-F0-9]{40})
Tron (TRX) (T[A-Za-z1-9]{33})
Steam Trade URL (http[s]*:\/\/steamcommunity.com\/tradeoffer\/new\/\?partner=([0-9]+)&token=([a-zA-Z0-9]+))
Tezos (XTZ) (tz[1-3][1-9A-HJ-NP-Za-km-z]{33})
Cardano (ADA) (addr1[a-z0-9]+)
Cosmos (ATOM) (cosmos1[a-z0-9]{38})
Ripple (XRP) (R[a-zA-Z0-9]{33})
Uncategorized ([A-Z2-7]{58})
Uncategorized ([1-9A-HJ-NP-Za-km-z]{44})

[표 1] 정규식 구문별 암호화폐 지갑주소

위와 같은 정규식을 받아오며 클립보드를 검사하여 정규식에 매핑되는 데이터가 있을 때 해당 값을 공격자 주소로 변경하는 방식을 사용한다. 정규식은 아래 그림의 홈페이지를 통해 받아온다. 현재도 악성코드 제작자는 홈페이지를 운영하고 있음을 확인할 수 있다.

[그림 4] Laplas Clipper 운영 홈페이지

사용자들은 신뢰되지 않은 프로그램에 대한 사용에 주의가 필요하다. 또한, 사용하고 있는 백신을 항상 최신 버전으로 업데이트하여 관리하는 주의가 필요하다.  AhnLab V3에서는 해당 악성코드들에 대해 아래와 같이 진단하고 있다.

[파일 진단]

  • Trojan/Win.RTLO.X2172 (2022.11.29.00)
  • Dropper/Win.Agent.C5317732 (2022.11.30.03)
  • Trojan/Win.Injection.C5313120 (2022.11.24.03)
  • Trojan/Win.Generic.C535472 (2022.11.22.03)
  • Trojan/Win.Generic.C5310136 (2022.11.21.01)
  • Infostealer/Win.Raccoon.C534410 (2022.11.21.02)
  •  Infostealer/Win.RedLine.C5155429 (2022.06.03.01)

    [IOC 정보]

    • 64c3f928790051534889f65f33a6edaf
    • 7e7f8d664dc17d08ae3084ec958070fa
    • d2cbf6c0a2a55a08aa5fbacad772d63d
    • 21f79006cf7560986de8ec8a60998894
    • 07abdccbf7b7884f98f962b169ae86c4
    • e125eb095b89b5cccc190ff727ae354d
    • 79.137.206.137
    • 77.73.133.53/AmnesiaBone/LearnMedal.php

    연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

    0 0 votes
    별점 주기
    guest

    0 댓글
    Inline Feedbacks
    View all comments