ASEC 분석팀은 최근 공격자가 Nitol DDoS Bot 악성코드를 이용해 Amadey를 설치하고 있는 것을 확인하였다. Amadey는 2018년경부터 유포되고 있는 악성코드로서 사용자의 정보를 탈취하는 기능 외에도 추가 악성코드들을 설치하는 목적으로 사용될 수 있는 다운로더 악성코드이다.
Amadey는 올해부터 다시 활발하게 유포되고 있는데 올해 초부터 시작하여 최근까지도 정상 소프트웨어 크랙 및 시리얼 생성 프로그램을 위장한 유포 사이트에서 유포되면서 여러 다른 악성코드들을 설치하고 있다.[1] 이외에도 올해 하반기에는 국내 기업 사용자들을 대상으로 하는 LockBit 3.0 랜섬웨어 공격에도 사용되고 있는데, 스팸 메일의 첨부 파일을 통해 유포되어 LockBit 랜섬웨어를 설치하는 기능을 담당한다.[2]
ASEC 분석팀은 최근 활발하게 유포되고 있는 Amadey Bot을 모니터링하던 중 Nitol DDoS Bot 악성코드가 Amadey를 설치하는 것을 확인하였다. Nitol은 분산 서비스 거부(DDoS : Denial of Service) 공격 기능을 갖는 DDoS Bot으로서 최근 수량은 많이 줄었지만 오래전부터 꾸준히 공격에 사용되고 있는 악성코드이다. 예를들어 2021년에는 국내 포럼 자료실에 업로드되어 다수의 국내 사용자들을 감염시킨 이력이 있다.[3]
Amadey를 설치한 Nitol 악성코드는 위의 블로그에서 다룬 악성코드와 동일한 파일이다. 즉 1년이 넘는 기간이 지났지만 최근까지도 공격에 사용되고 있는 것으로 추정된다. 해당 파일은 한글 및 MS 오피스 등의 크랙 프로그램으로 위장하여 토렌트에서 공유 중이며 현재까지도 다수의 사용자들을 감염시키고 있다. 다음은 최근 Nitol 악성코드가 진단되었던 경로명이다.
\한글 2020\crack.exe
\[정식 한글판] 오피스 2007\setup.exe
\microsoft office 2016\setup.exe
\스케치업 프로 2018\crack.exe
Nitol 악성코드 분석
공격에 사용된 Nitol은 분석을 방해하기 위해 더미다로 패킹되어 있다. Nitol은 다양한 DDoS 공격을 지원하는 DDoS Bot 악성코드이며, 다음과 같은 설정 데이터를 가지고 있다. 공격에 사용된 Nitol의 경우 설정 데이터가 0x50으로서 C&C 서버와의 통신 시 5초 간 대기하며, 시스템에서 숨김 파일 및 폴더를 보이지 않게 설정한다.
| 설정 Bit | 기능 |
|---|---|
| 0x01 | 설치 과정 제외 |
| 0x02 | 자가 삭제 |
| 0x04 | 가상 환경 검사 |
| 0x08 | 샌드박스 환경 검사 |
| 0x10 | Sleep (5초) |
| 0x20 | 더미 패킷 생성 |
| 0x40 | 시스템 설정 (숨김 파일 표시하지 않음) |
| 0x80 | 악성코드에 숨김 속성 부여 |
가상 환경 검사는 IN 명령을 이용해 현재 VMware 가상 머신에서 실행 중인지를 검사하며, 샌드박스 환경의 경우 “api_log.dll”, “SbieDll.dll” DLL들이 로드되어 있는지를 검사하는데 가상 환경 및 샌드박스 환경인 것이 확인될 경우에는 종료한다.
더미 패킷 생성 옵션의 경우 랜덤한 IP 주소를 생성하고 실제 C&C 주소의 포트 번호를 매칭하여 연결 시도하며 성공할 경우에는 더미 데이터를 전송한다. 이러한 행위는 10회 반복되며, 네트워크 행위 분석을 방해하기 위한 것으로 추정된다.
해당 악성코드는 설치 과정을 제외하는 옵션이 비활성화되어 있기 때문에 실행 시 설치 과정이 진행된다. 설치 과정은 자신을 %APPDATA% 경로에 랜덤한 6글자의 이름으로 복사하는 자가 복사 과정과 reg 명령을 이용해 Run 키에 등록하는 지속성 유지 과정을 포함한다. 설치 과정이 끝나면 복사한 경로의 악성코드를 실행시키며 C&C 서버에 접속한다.
> “C:\Windows\System32\reg.exe” ADD “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /V “My App” /t REG_SZ /F /D “C:\Users\vmuser\AppData\Roaming\gkqske.exe”
현재 C&C 서버에 접속은 불가하지만 성공할 경우 다음과 같이 감염 시스템에 대한 기본적인 정보를 전달한다.
| 오프셋 | 데이터 |
|---|---|
| +0x0000 | 0x00000001 |
| +0x0004 | 언어 및 국가 정보 (Locale) |
| +0x0044 | 컴퓨터 이름 |
| +0x00C4 | 윈도우 버전 |
| +0x0104 | 램 사이즈 (GB 단위) |
| +0x0124 | CPU 성능 (MHz 단위) |
| +0x0144 | “Client” |
Nitol이 감염 시스템의 정보를 C&C 서버에 전송하면 C&C 서버는 명령을 반환한다. 명령은 다음과 같이 DDoS 공격 및 파일 다운로드, 업데이트 등 다양한 기능들이 있다. 참고로 DDoS 공격 명령의 경우 3개로 나누어져 있지만 실제 내부적으로 훨씬 많은 종류의 DDoS 공격이 지원된다.
| 명령 | 기능 |
|---|---|
| 0x0002 | DDoS 공격 #1 |
| 0x0003 | DDoS 공격 #2 |
| 0x0004 | DDoS 공격 #3 |
| 0x0005 | DDoS 공격 중지 |
| 0x0006 | 자가 삭제 |
| 0x0010 | 페이로드 다운로드 및 실행 (SW_HIDE) |
| 0x0011 | 페이로드 다운로드 및 실행 (SW_SHOW) |
| 0x0012 | 업데이트 |
| 0x0013 | Internet Explorer를 이용한 웹 페이지 접속 (Hidden) |
| 0x0014 | Internet Explorer를 이용한 웹 페이지 접속 (IE 팝업) |
| 0x0016 | MBR 파괴 |
명령들 중에는 C&C 서버로부터 URL을 전달받아 인터넷 익스플로러를 이용해 웹 페이지를 접속하는 명령이 존재한다. 명령에 따라 사용자의 인지 없이 웹 페이지에 접속할 수도 있고, 인터넷 익스플로러가 팝업되어 사용자가 인지하도록 만들 수도 있다.
이외에도 MBR을 변경하여 재부팅 이후에 시스템이 동작할 수 없도록 하는 명령도 존재한다. MBR에 다음과 같은 데이터를 쓴 후 시스템을 재부팅하면 아래와 같이 “Game Over” 문자열을 보여주면서 재부팅이 불가능해진다.
Nitol은 추가 페이로드를 다운로드할 수 있는 명령을 지원하는데, 해당 명령을 통해 Amadey Bot을 설치하였다. 다음은 Nitol이 외부 주소에서 Amadey를 다운로드한 행위를 보여주는 자사 ASD(AhnLab Smart Defense) 인프라 로그이다.
Amadey를 이용한 추가 페이로드 설치 (Amadey Bot, njRAT)
Nitol에 의해 설치된 Amadey Bot은 C&C 서버들에 접속을 시도하며, 성공할 경우 정보 탈취 기능을 담당하는 플러그인을 다운로드하여 감염 시스템의 정보를 수집하고 C&C 서버에 전송한다. Amadey는 계정 정보 외에도 주기적으로 스크린샷을 찍어 C&C 서버에 전송한다. Amadey에 대한 상세한 분석은 다음 블로그를 참고하자.
현재 분석 대상 Amadey를 보면 C&C 서버로부터 추가 페이로드를 설치하도록 명령을 전달받으며, 모두 4개의 파일들을 다운로드하고 설치하게 된다. 각각의 파일들은 Amadey 및 Nitol, 다운로더 악성코드이다. 참고로 Nitol의 경우 위에서 다룬 형태는 Type A이며, Type A 외에 Type B 형태의 Nitol도 추가적으로 설치한다.
- TeamViewerSetupx64.exe : Amadey
- TeamViewer_Desktop.exe : Nitol Type A
- explorer.exe : Nitol Type B
- ServiceManager.exe : Downloader (Dotnet Packer)
악성코드들이 다운로드되는 주소의 경우 현재 최상위 목록은 볼 수가 없지만 이외에도 다양한 악성코드들이 존재할 것으로 추정된다.
공격자에 의해 설치되는 악성코드들의 이름은 팀뷰어나 탐색기, AnyDesk와 같이 정상 프로그램들을 위장한다. 공격자는 이름뿐만 아니라 다음과 같이 악성코드의 아이콘도 정상 프로그램들을 위장하여 유포하고 있다.
토렌트는 웹하드와 함께 악성코드 유포에 사용되는 대표적인 플랫폼이다. 토렌트를 이용해 상용 소프트웨어의 크랙, 시리얼 파일 등을 설치할 경우 이를 위장한 악성코드에 감염될 위험이 존재한다. Nitol이 설치되면 사용자 PC는 DDoS Bot으로 동작하면서 DDoS 공격에 사용될 수 있으며, 이외에도 Amadey와 같은 추가 악성코드를 설치하는 목적으로 이용되기도 한다. Amadey 또한 감염 시스템에 상주하면서 사용자 정보를 탈취할 뿐만 아니라 또 다른 악성코드를 설치하는데 사용된다.
사용자들은 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Backdoor/Win.Nitol.C4533062 (2021.06.24.01)
– Trojan/Win.Generic.R539958 (2022.12.09.01)
– Downloader/Win.Amadey.C5329944 (2022.12.12.01)
– Downloader/Win.MSIL.C5329945 (2022.12.12.01)
– Downloader/Win.Amadey.C5329946 (2022.12.12.01)
행위 진단
– Malware/MDP.Behavior.M3108
MD5
– 3038c7bb0f593df3f52f0644c894c7ba : Nitol Type A
– d332cf184ac8335d2c3581a48ee0ad87 : Amadey (AnyDesk.exe)
– 852011cf885e76c0441dd52fdd280db7 : Amadey (TeamViewerSetupx64.exe)
– 0c9df67f152a727b0832aa4e7f079a71 : Nitol Type A (TeamViewer_Desktop.exe)
– e79b48eefa43aa34f360f68618992236 : Nitol Type B (explorer.exe)
– f01b49498b82320973c6006ee117f91e : Dotnet Downloader (ServiceManager.exe)
C&C 주소
– rlarnjsdud0502.kro.kr:2222 : Nitol Type A
– hxxp://AQWe9sfiWSwPyVMJ[.]xyz/jg94cVd30f/index.php : Amadey
– hxxp://PMVqdJfUf3WlX9kI[.]xyz/jg94cVd30f/index.php : Amadey
– hxxp://SmgqNt3EIxXkSAsU[.]xyz/jg94cVd30f/index.php : Amadey
– 45.89.255[.]250:50505 : Nitol Type A
– gy9.gyddos[.]com:8889 : Nitol Type B
– 45.89.255[.]250:40404 : Nitol Type B
– 45.89.255[.]250:30303 : Downloader (Dotnet Packer)
다운로드 주소
– hxxp://45.89.255[.]250:8080/AnyDesk.exe : Amadey
– hxxp://45.89.255[.]250:8080/TeamViewer_Desktop.exe : Nitol Type A
– hxxp://45.89.255[.]250:8080/explorer.exe : Nitol Type B
– hxxp://45.89.255[.]250:8080/TeamViewerSetupx64.exe : Amadey
– hxxp://45.89.255[.]250:8080/ServiceManager.exe : Downloader (Dotnet Packer)
– hxxp://45.89.255[.]250:8080/Kwvwz.png : Dotnet Downloader
참고
[1] [ASEC Blog] SmokeLoader를 통해 유포 중인 Amadey Bot
[2] [ASEC Blog] Amadey Bot을 이용한 LockBit 3.0 랜섬웨어 유포 중
[3] [ASEC Blog] 국내 포럼 자료실에서 Nitol 악성코드 유포 중
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보