NetSupport Manager는 원격 제어 도구로서 일반 사용자나 기업 사용자들이 원격으로 시스템을 제어하기 위한 목적으로 설치하고 사용할 수 있다. 하지만 외부에서 특정 시스템을 제어할 수 있다는 기능으로 인해 다수의 공격자들에 의해 악용되고 있다.
원격 제어 도구(Remote Administration Tool)들은 대부분 커맨드 라인 기반인 백도어 및 RAT(Remote Access Trojan) 악성코드들과 달리 사용자 편의가 중요하기 때문에 원격 데스크탑 즉 GUI 환경을 제공하는 것이 특징이다. 비록 악의적으로 개발된 것은 아니라고 하더라도 감염 시스템에 설치될 경우에는 공격자에 의해 추가 악성코드 설치나 정보 탈취와 같은 악의적인 목적으로 사용될 수 있다.
백도어 악성코드들과 달리 대부분의 원격 제어 도구들은 수많은 사용자들에 의해 사용되고 있기 때문에 정상 프로그램으로 인식되기 쉽다. 즉 공격자들은 정상 프로그램인 원격 제어 도구들을 이용해 보안 제품의 탐지를 우회하고, 동시에 GUI 환경에서 감염 시스템을 제어할 수 있다는 장점을 갖는다.
다음 ASEC 블로그에서는 AnyDesk, TeamViewer, Ammyy Admin, Tmate와 같이 다양한 원격 제어 도구들을 공격에 사용한 사례들을 다루었다.
ASEC 분석팀은 최근 NetSupport RAT 악성코드가 포켓몬 카드 게임을 위장한 피싱 페이지에서 유포되고 있는 것을 확인하였다. 참고로 정상적인 목적으로 사용되는 형태가 아니라 공격자가 감염 시스템을 제어하기 위해 설정한 형태로 유포되었기 때문에 현재 블로그에서는 “NetSupport RAT”으로 표현하기로 한다. NetSupport RAT은 공격자들에 의해 과거부터 꾸준히 사용되고 있는 악성코드로서 최근까지도 스팸 메일이나 정상 프로그램을 위장한 피싱 페이지를 통해 유포되고 있다.
다음은 포켓몬 카드 게임을 위장한 피싱 페이지이며, 하단을 보면 “Play on PC” 버튼을 확인할 수 있다. 사용자가 게임을 설치하기 위해 해당 클릭할 경우 포켓몬 카드 게임 대신 NetSupport RAT 악성코드가 다운로드된다.
다운로드된 파일은 아이콘뿐만 아니라 버전 정보도 위장하고 있기 때문에 사용자들은 게임 프로그램으로 인지하고 실행시킬 수 있다.
포켓몬 게임으로 위장한 악성코드는 InnoSetup으로 개발된 인스톨러 악성코드로서 실행되면 %APPDATA% 경로에 폴더를 생성하고 NetSupport RAT 관련 파일들을 숨김 속성으로 생성 및 실행한다. 또한 시작 프로그램 폴더에 바로 가기 파일을 생성함으로써 재부팅 후에도 동작할 수 있도록 한다. 아래의 프로세스 트리에서 최종적으로 실행되는 client32.exe가 NetSupport Manager의 클라이언트이다.
설치된 NetSupport 관련 프로그램들 자체는 정상이라고 할 수 있지만, 다음과 같이 “client32.ini” 설정 파일에 공격자의 C&C 서버 주소가 설정되어 있는 것을 볼 수 있다. NetSupport가 실행되면 해당 설정 파일을 읽고 공격자의 NetSupport 서버에 접속하여 연결하며, 이후 공격자는 감염된 시스템을 제어할 수 있게 된다.
자사 ASD (AhnLab Smart Defense) 인프라와 VirusTotal을 이용해 연관 파일들을 조사하던 중 위의 피싱 페이지 외에도 동일한 형태로 포켓몬 카드 게임을 위장한 피싱 페이지를 확인하였다. 각각의 피싱 페이지에서는 2022년 12월 경부터 다수의 NetSupport RAT 드로퍼 악성코드들을 유포하고 있다. 참고로 파일들은 모두 다르지만 “client32.ini” 파일에 설정된 C&C 서버는 모두 동일하다.
VirusTotal에 업로드된 샘플들 중에는 비주얼 스튜디오 위장 아이콘을 갖는 악성코드도 확인되는데, 비주얼 스튜디오를 위장한 것 답게 NetSupport RAT 설치 경로도 %APPDATA%\Developer\에 설치된다. 이를 보면 공격자가 포켓몬 게임 외에도 다른 정상 프로그램으로 위장하여 악성코드들을 유포하고 있는 중으로 보인다.
이외에도 설치 경로에 NetSupport 클라이언트인 “client32.exe” 대신 윈도우 정상 프로그램인 svchost.exe를 위장한 “csvs.exe”라는 파일을 생성하는 유형도 존재한다. 비록 아이콘과 사이즈가 다르지만 내부적인 루틴이나 PDB 정보로 확인했을 때 공격자가 탐지를 우회하기 위해 “client32.exe” 파일을 직접 수정한 형태로 보인다.
NetSupport RAT은 다양한 공격자들에 의해 사용되고 있다. 대표적인 유포 사례를 보자면 최근까지도 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되고 있다.[1] 이외에도 올해 하반기에는 SocGholish라고 하는 소프트웨어 업데이트를 위장한 피싱 페이지를 통해 사용자로 하여금 설치하도록 유도한 사례도 존재한다.[2]
NetSupport RAT이 설치될 경우 공격자는 감염 시스템에 대한 제어를 획득할 수 있다. NetSupport 자체적으로 지원하는 기능들을 보자면 원격 화면 제어 기능 외에도 스크린 캡쳐, 클립보드 공유, 웹 히스토리 정보 수집, 파일 관리, 명령 실행과 같은 시스템 제어를 위한 기능들이 제공된다. 이는 공격자가 사용자 정보 탈취, 추가 악성코드 설치 등과 같은 다양한 악성 행위를 수행할 수 있다는 것을 의미한다.
최근 공격자들은 NetSupport와 같이 다양한 사용자들이 사용하고 있는 원격 제어 도구들을 악용하여 공격에 사용하고 있다. 이러한 원격 제어 악성코드에 감염될 경우 공격자에 의해 시스템이 장악되어 정보 탈취 및 추가 악성코드 설치와 같은 피해를 입을 수 있다.
사용자들은 외부에서 프로그램 설치 시 공식 홈페이지에서 구매하거나 다운로드하는 것이 권장되며, 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Dropper/Win.NetSupport.C5345365 (2022.12.30.01)
– Malware/Win.Generic.C5339867 (2022.12.23.03)
– Malware/Win.Generic.C5335414 (2022.12.17.01)
– Malware/Win.Generic.C5333592 (2022.12.15.01)
– Malware/Win.Malware-gen.C5331507 (2022.12.13.02)
– Trojan/Win.NetSupport.C5345361 (2022.12.30.01)
– Backdoor/Text.NetSupport (2022.12.30.02)
IOC
MD5
– 097051905db43d636c3f71f3b2037e02 : NetSupport RAT 드로퍼 (PokemonBetaGame.exe)
– 1dc87bfb3613d605c9914d11a67e2c94 : 포켓몬 카드 게임 위장 NetSupport RAT 드로퍼
– 5e6b966167c7fd13433929e774f038ee : 포켓몬 카드 게임 위장 NetSupport RAT 드로퍼
– a9dba73b0cf1c26008fc9203684c6c22 : 포켓몬 카드 게임 위장 NetSupport RAT 드로퍼
– adbe1069f82a076c48f79386812c1409 : 포켓몬 카드 게임 위장 NetSupport RAT 드로퍼
– fcdc884dd581701367b284ad302efe4d : 포켓몬 카드 게임 위장 NetSupport RAT 드로퍼
– ed68e69534ebdf6c8aa1398da032c147 : 비주얼 스튜디오 위장 NetSupport RAT 드로퍼 (source.sdf)
– e7792e09b0283b87b9de37b3420f69d5 : 포켓몬 카드 게임 위장 NetSupport RAT 드로퍼 (csvs.exe 생성)
– 7ca97fe166c4d8a23d7d9505d9fcc1c0 : 패치된 client32.exe (csvs.exe)
– 59048c3248025a7d4c7c643d9cf317a5 : NetSupport 설정 파일 (client32.ini)
– f26b26f6d29a4e584bd85f216b8254b9 : NetSupport 설정 파일 (client32.ini)
C&C
– tradinghuy.duckdns[.]org:1488
피싱 페이지
– hxxps://pokemon-go[.]io/
– hxxps://beta-pokemoncards[.]io/
다운로드
– hxxps://pokemon-go[.]io/PokemonBetaGame.exe
– hxxps://beta-pokemoncards[.]io/PokemonCardGame.exe
– hxxps://beta-pokemoncards[.]io/PokemonBetaCard.exe
– hxxps://beta-pokemoncards[.]io/PokenoGameCard.exe
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 사용하였지만, 비슷하게 AnyDesk나 TeamViewer, Ammyy, Tmate [2] 그리고 NetSupport[3]와 같은 다양한 도구들이 사용될 수 […]
[…] NetSupport RAT은 다양한 공격자들에 의해 사용되고 있다. 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일 및 피싱 페이지에서 유포 통해 유포되고 있다. 피싱 페이지에서의 유포 사례는 이전 블로그를 통해 소개된 바 있다. [1] […]