최근 디스크 이미지 파일을 이용한 악성코드 유포가 증가하고 있다. 그 중 Qakbot 악성코드는 ISO 및 IMG 파일을 통해 유포되어 왔으며, 현재는 VHD 파일로 변경되어 유포 중인 것을 확인하였다. 이와 같이 Qakbot 악성코드가 디스크 이미지 파일(IMG, ISO, VHD) 을 이용하는 것은 MOTW(Mark of the Web) 을 우회하기 위한 것으로 보인다. 디스크 이미지 파일은 내부 파일 추출 또는 마운트 시, 내부 파일에 MOTW 가 상속되지 않아 MOTW 기능을 우회할 수 있다.
Qakbot 을 유포 중인 피싱 메일은 아래와 같다. 기존과 동일하게 압축 파일을 생성하는 HTML 을 첨부한 형태이다.
첨부된 HTML 파일을 실행하게 되면, Google Drive 를 사칭한 페이지를 확인할 수 있다. 이때 HTML 스크립트에 의해 스크립트 내부에 존재하는 압축 파일이 자동으로 생성된다. 압축 파일은 패스워드가 설정되어 있으며 패스워드는 해당 페이지에 나타나있다.
압축 파일 내부에는 가상 디스크 파일인 VHD 파일이 존재한다.
VHD 파일은 Windows 8 이상의 환경부터 자동으로 마운트가 가능하며, 아래와 같이 내부 파일이 생성된다.
생성된 LNK 파일의 속성은 아래와 같으며, 함께 생성된 reserved.cmd 파일을 실행한다.
reserved.cmd 명령어는 아래와 같다. resting.cmd 파일을 실행하며, 특정 문자열을 파싱하여 인자로 전달한다.
resting.cmd 명령어는 아래와 같다. 인자로 전달받은 문자열을 조합하여, rundll32 를 통해 hogs.tmp 파일을 로드하게 된다. hogs.tmp 는 DLL 파일로 Qakbot 악성코드이다.
Qakbot 은 뱅킹형 악성코드이며, 정상 프로세스인 wermgr.exe 를 실행 후 악성 데이터를 인젝션한다. 인젝션된 프로세스는 C2 에 연결을 시도하며, 연결될 경우 악성 모듈 다운로드 및 금융정보 탈취 등의 추가 악성 행위를 수행하게 된다. LNK 실행부터 Qakbot 이 실행되는 과정의 프로세스 트리는 아래와 같다.
- C2 : 2.14.82[.]210:2222
최근 디스크 이미지 파일을 이용한 악성코드가 증가하고 있으며, 보안 기능을 우회하기 위해 다양한 유포 방식이 사용되고 있다. 사용자는 출처가 불분명한 메일 열람을 자제해야 하며, 첨부된 파일을 실행하지 않도록 해야 한다. 현재 V3 에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
[파일 진단]
Trojan/Win.BankerX-gen.R538785 (2022.12.08.01)
Dropper/BIN.Generic (2022.12.14.00)
Dropper/HTML.Qakbot (2022.12.14.00)
Trojan/CMD.Runner (2022.12.14.00)
[IOC]
ab4c2e5302c44ddc16f5fe4162640bd0
5bd4a0f37a6420a00e1ceb378446f8b8
1c1deaa10c6beea64661e8afba6ce276
63524b4118710e4d6d522b0165d71b71
5cbd45a04efdec84a576398e8ed702e6
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보