한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT

ASEC 분석팀은 최근 Orcus RAT이 웹하드에서 한글 워드 프로세서의 크랙 버전으로 유포 중인 것을 확인하였다. 이를 유포한 공격자는 과거 웹하드에서 윈도우 정품 인증 툴을 위장해 BitRAT과 XMRig 코인 마이너를 유포하였던 공격자와 동일하다.[1] 공격자가 유포 중인 악성코드들은 과거와 유사한 형태이지만, BitRAT 대신 Orcus RAT을 사용한 것이 특징이다. 이외에도 안티바이러스의 행위 탐지를 우회하기 위해 복잡한 과정을 거친다거나, 작업 스케줄러에 파워쉘 명령을 등록하여 주기적으로 최신 악성코드들을 설치하는 등 과거와 비교해 훨씬 정교한 형태로 변화되었다.

웹하드는 토렌트와 함께 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. 등록된 사용자들은 영화나 드라마와 같은 미디어 파일뿐만 아니라 게임, 유틸리티와 같은 프로그램 그리고 성인물을 업로드하며, 다른 사용자들은 일정한 금액을 지불하고 업로드된 파일들을 다운로드할 수 있다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다.[2] [3] [4]

웹에서 구하기 쉬운 악성코드들을 이용해 다양한 공격자들에 의해 무작위 하게 유포되고 있는 악성코드들과 달리, BitRAT과 XMRig 코인 마이너를 유포하던 공격자는 직접 악성코드를 개발하고 자사의 V3 제품을 우회하려고 시도하는 등 지속적으로 국내 사용자들을 대상으로 공격을 진행하고 있다. 참고로 BitRAT의 경우 아직 크랙 버전이 확인되지 않고 있는데, 이는 공격자가 악성코드를 직접 개발하기도 하지만 최신 악성코드의 경우에는 구매하기도 하는 것으로 보인다.

Orcus RAT은 2016년 경부터 판매되고 있는 RAT(Remote Access Trojan) 악성코드이다.[5] 이를 개발한 Orcus Technologies 사는 원격 제어 도구(Remote Administration Tool)로 소개하며 판매하였지만, 뒤에서 다루다시피 원격 제어 기능 외에도 키로깅, 웹캠, 계정 정보 수집 및 명령 실행과 같은 다양한 악성 기능들이 포함되어 있다. 이에 따라 2019년에는 캐나다 당국이 개발사를 급습한 기사도 확인된다.[6]

여타 다른 RAT 악성코드들과 같이 Orcus RAT 또한 크랙 버전이 존재하기 때문에 다양한 공격자들이 이를 악용해 공격에 사용하고 있다. 여기에서는 공격자가 악성코드 설치를 유도하는 최초 유포 방식부터 최종적으로 Orcus RAT 그리고 XMRig 코인 마이너를 설치하는 과정을 정리한다.

1. 유포 방식

Orcus RAT과 XMRig 코인 마이너를 설치하는 악성코드는 한글 워드 프로세서 2022 버전의 크랙으로 위장하여 현재 다수의 웹하드에 업로드되어 있다. 한글 워드 프로세서는 마이크로소프트 오피스의 워드와 같은 국내 대표적인 문서 작성 프로그램이다.

다운로드한 압축 파일의 압축을 해제하면 “install”이라는 폴더와 “install.exe”라는 프로그램을 확인할 수 있다. 악성코드는 “install.exe” 파일이며, 이를 실행하면 난독화된 파워쉘 명령을 실행하고 “install” 폴더에 존재하는 실제 인스톨러 프로그램을 실행한다.

2. 인스톨러

일반적인 압축 프로그램들처럼 7z도 SFX 포맷을 제공하는 데 이를 사용해 압축하면 .zip이나 .z와 같은 압축 파일 대신 .exe라는 실행 파일이 생성된다. 실행하는 것만으로도 제작자가 원하는 경로에 프로그램들을 설치 가능한 점 등 편하게 사용할 수 있기 때문에 주로 설치 프로그램에서 사용된다. 참고로 7z SFX는 단순하게 내부에 포함하고 있는 파일들을 설치하는 기능뿐만 아니라 추가적인 기능을 제공하는데, 이를 이용하면 설치 과정에서 특정 명령을 실행할 수 있다.

다음은 “install.exe” 즉 7z SFX의 설치 스크립트이며, 실제 인스톨러 프로그램을 실행하는 기능 외에도 인코딩된 파워쉘 명령이 포함되어 있다. 악성코드는 원본 파워쉘 프로그램을 “VC_redist.x86.exe”라는 정상 프로그램 이름으로 현재 설치 경로에 복사한 후 이를 이용해 인코딩된 파워쉘 명령을 실행한다. 직접 파워쉘을 실행하는 대신 이러한 행위를 하는 것은 안티바이러스의 행위 탐지를 우회하기 위한 것으로 추정된다.

인코딩된 파워쉘 명령을 복호화하면 다음와 같다. 먼저 윈도우 디펜더 안티 바이러스에 의해 탐지되는 것을 우회하기 위해 “Add-MpPreference” 명령으로 특정 프로세스 이름 및 경로에 대해 예외 경로에 등록한다. 이는 일반적으로 자주 사용되는 방식이지만, 공격자는 이외에도 윈도우 디펜더에서 탐지된 위협들에 대해서도 허용시키는 과정이 존재한다.

그리고 구글 독스에 업로드된 파일들을 다운로드하는데, 공격자는 직접 악성코드를 다운로드해 설치하는 대신, 7z 즉 “7z.exe”, “7z.dll”를 먼저 설치하고 이후 압축 파일을 다운로드한 후 비밀번호 “x”를 주고 압축 해제하여 실행하는 방식으로 악성코드를 설치한다. 이 또한 안티 바이러스의 행위 탐지를 우회하기 위한 목적으로 보인다.

3. 다운로더

최초 설치된 악성코드는 다운로더인데, 조건에 따라 다른 유형의 악성코드를 설치한다. 다음은 전체적인 흐름도이다.

최초로 설치되는 다운로더 악성코드는 “asdmon” 프로세스의 실행 여부 및 가상 머신 환경을 검사하여 분석 환경으로 판단될 경우에는 종료한다. 이후 안티바이러스가 현재 설치되어 있는지를 검사하는데, 검사 대상으로는 AhnLab V3(“v3l4sp”, “V3UI”, “v3csp”)와 네이버 백신(“Nsavsvc.npc”)가 있다.

이후 설치 과정을 진행하기 이전에 감염 시스템의 사용자 이름, IP 주소 등의 기본적인 정보를 수집한 후 Telegram API를 이용해 전송한다.

여기까지의 과정이 끝나면 이번에는 파워쉘 실행 파일을 “C:\ProgramData\KB5019959.exe” 경로에 복사하고 사용한다. V3 설치 여부에 따라 실행되는 파워쉘 명령은 대부분 유사하지만, V3가 설치되어 있을 경우에는 최종적으로 XMRig 코인 마이너가, 그렇지 않을 경우에는 두 번째 다운로더 악성코드가 설치된다는 점이 다르다.

설치되는 파일들 중 7z는 위와 동일하며 “GoogleUpdate.exe” 파일은 NirSoft 사의 NirCmd라는 툴이다. NirCmd는 다양한 기능들을 제공해 주는 커맨드 라인 도구로서 간단한 명령 만으로 스크린샷 캡쳐, 휴지통 비우기, 장치 제어와 같은 행위를 수행할 수 있다.

공격자는 감염 시스템에서 안티 바이러스의 행위 진단을 우회하기 위해 NirCmd를 설치하는 것으로 추정되며, 실제 작업 스케줄러에 등록하는 파워쉘 명령 또한 NirCmd와 복사된 파워쉘 실행 파일로 실행한다. 구글 독스에서 다운로드해 등록하는 작업 스케줄러 파일을 보면 아래와 같이 “GoogleUpdate.exe” 즉 NirCmd를 이용해 “KB5019959.exe” 즉 파워쉘 명령을 실행한다. 등록되는 작업은 위에서 다룬 명령들과 유사하게 인코딩된 파워쉘 명령들로서 XMRig 또는 추가적인 다운로더를 설치하는 기능을 담당한다.

4. XMRig 코인 마이너

“software_reporter_tool.exe”라는 이름으로 설치된 악성코드 XMRig 코인 마이너이다. 정상 프로그램인 explorer.exe를 실행하고 XMRig 코인 마이너를 인젝션하기 때문에 실제 마이닝 행위는 탐색기 프로세스에서 동작한다. 참고로 인젝션 대상인 탐색기를 다음과 같은 암호화된 문자열을 인자로 주고 실행하는 것이 특징이다.

공격자가 제작한 것으로 추정되는 XMRig는 초기 루틴에서 인자로 전달받은 문자열들을 복호화 하는데, XMRig 실행 시 전달하는 전체 옵션들은 다음과 같다.

각 옵션들을 살펴보자면 마이닝 풀 주소와 사용자 ID 및 비밀번호를 포함하여 다양한 설정들이 존재한다. 먼저 “–cinit-stealth-targets” 옵션으로 작업 관리자, 프로세스 해커, 프로세스 익스플로러와 같은 관리 도구들을 지정하여 사용자가 이를 실행할 경우 마이닝을 중단하여 CPU 점유율이 상승한 것을 확인하기 어렵게 한다. 이외에도 다수의 게임 프로그램들이 포함되어 있는데, 게임을 플레이할 때는 마이닝이 동작하지 않도록 설정하여 사용자들이 눈치채기 어렵게 설정한 것이 특징이다.

“–cinit-kill-targets” 옵션에는 자사 V3 제품의 인스톨러를 지정하여 사용자가 V3를 설치할 경우 강제 종료시킴에 따라 악성코드 치료를 방해한다. 이외에도 그리드 유형의 PUP 프로그램들도 강제 종료 대상이 되는 것이 특징이다.

5. Orcus RAT

과거 공격자는 V3가 설치된 환경에서는 XMRig를, 그렇지 않은 환경에서는 BitRAT을 설치하였다. 하지만 최근에는 BitRAT 대신 Orcus RAT을 설치하고 있는 것이 확인된다. 참고로 추가적으로 다음 조건도 만족시켜야 하는데, Telegram 또는 Visual Studio가 설치된 환경에서만 Orcus RAT을 설치한다.

Orcus RAT은 다른 RAT 악성코드들처럼 감염 시스템을 제어할 수 있는 다양한 기능들을 제공한다. 다음은 크랙되어 공개된 Orcus RAT의 관리 도구이다.

Orcus RAT은 다른 간단한 형태의 RAT 악성코드들과 차이점이 있다. 일반적인 RAT 악성코드들은 위와 같은 빌더와 관리 프로그램이 C&C 서버로 동작하지만, Orcus RAT은 위와 같은 관리 도구에 직접 접속하는 대신 Orcus 서버에 접속한다. 즉 공격자가 감염 시스템들을 제어하는데 사용하는 관리 도구와 C&C 서버로 동작하는 Orcus 서버가 나누어져 있다.

이는 코발트 스트라이크의 팀서버(TeamServer) 구조와 유사한데, Orcus RAT이 다음과 같은 Orcus 서버와 통신하며, 공격자가 사용하는 Orcus 관리 도구 또한 Orcus 서버에 연결하여 이를 거쳐 Orcus 서버와 연결된 Orcus RAT들을 제어하는 방식이다.

다음으로 Orcus RAT에 제공하는 기능들을 정리한다. 감염된 시스템을 특정하여 “Log in”할 경우 시스템 정보 수집, 파일 / 레지스트리 / 프로세스 작업, 명령 실행과 같은 기본적인 제어 기능들을 사용할 수 있다.

Orcus RAT은 이외에도 원격 데스크탑이나 키로깅, 웹캠 제어 그리고 RDP 제어 기능을 지원한다. RDP 제어 기능은 RDP Wrapper를 설치하고 “OrcusRDP”라는 이름의 계정을 생성하는 방식이며, 이후 공격자는 해당 계정을 이용해 원격으로 접속할 수 있다.

Orcus RAT은 기본적으로 C&C 서버와의 통신에 TLS 프로토콜을 이용하기 때문에 패킷은 암호화되어 있다. 다음은 공격에 사용된 Orcus RAT이 C&C 서버와 통신하는 패킷이며, 인증서에 사용되는 “Orcus Server” 문자열은 그대로 존재하는 것을 알 수 있다.

결론

국내 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운로드한 실행 파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 사용자들은 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– Dropper/Win.Androm.C5347183 (2023.01.01.01)
– Downloader/JOB.Generic (2023.01.02.02)
– Downloader/Win.Agent.R547968 (2023.01.02.02)
– CoinMiner/Win.XMRig.R547974 (2023.01.02.02)
– Trojan/Win.Injection.C5347028 (2023.01.01.00)
– Backdoor/Win.Orcusrat.C5347952 (2023.01.02.02)
– CoinMiner/Win.XMRig.C5347951 (2023.01.02.02)
– Downloader/JOB.Generic.S2050 (2023.01.04.02)

행위 진단
– Injection/MDP.Hollowing.M4180
– Behavior/MDP.Create.M4545
– Behavior/MDP.Create.M4591

IOC
MD5
– 516a2bde694b31735c52e013d65de48d : 다운로더 #1 (software_reporter_tool.exe)
– 6a1fc56b4ce8a62f1ebe25bf7bbe2dbd : 다운로더 #2 (software_reporter_tool.exe)
– 74bdc2a8d48a6a4833aac4832e38c3b9 : 작업 스케줄러 (.xml)
– ccf2d6c69a4e016cd19fa4ee7bc341ec : 작업 스케줄러 (.xml)
– 7303e2f671f86909527d8514e1f1f171 : XMRig (software_reporter_tool.exe)
– 9c11f58ed5e7b2806042bc9029a5cca8 : Orcus RAT (software_reporter_tool.exe)
– d3c271624e23c125b77dd774ffa4af5d : Trojan (dwm.exe)
– bd1301fb0bd0f7d2e75f090894423be0 : XMRig (InstallUtil.exe)

C&C
– hxxps://api.telegram[.]org/bot5538205016:AAH7S9IGtFpb6RbC8W2TfNkjD7Cj_3qxCnI/sendMessage : Downloader #1
– minecraftrpgserver[.]com:27036 : Orcus RAT
– xmr.2miners[.]com:12222 : XMRig Mining Pool
– minecraftrpgserver[.]com:80 : Trojan

다운로드 주소
– hxxps://docs.google[.]com/uc?export=download&id=1GWm1TFpqTxungXVH0vlktkat5HilyBOJ
– hxxps://docs.google[.]com/uc?export=download&id=1FgV6vUZZX3XkERFlXDpKQHoo8qYL9r4z
– hxxps://docs.google[.]com/uc?export=download&id=1T3Kp_aH5-D8F5OS1qv40IPIUXoz3orh4
– hxxps://docs.google[.]com/uc?export=download&id=1N75CXe7da3gN7DW2eM4X0w1Rb9XJr7Mx
– hxxps://docs.google[.]com/uc?export=download&id=1qz1trnHId7cJZsjDnN0r7nSjaLbhw4sN
– hxxps://docs.google[.]com/uc?export=download&id=1TgGYGUuCp2MC31UKtaOrlEDOIqbvYArO
– hxxps://docs.google[.]com/uc?export=download&id=1kNCUUyEMYVhfp2rypg-3COmlrnAjBeyd
– hxxps://docs.google[.]com/uc?export=download&id=1VgEmuFjDFKXL-zVaaO903BHdoJN3Jr8M
– hxxps://docs.google[.]com/uc?export=download&id=1l4cygNMQxj-oyPPPFq65x1ALk9duhd7D
– hxxps://docs.google[.]com/uc?export=download&id=1bPnNN92VXIoGEWl-AAiYq_KAjqZA9Boe
– hxxps://docs.google[.]com/uc?export=download&id=1DkEj9fNfDssSj0qNhpQUn1U-bHogDRrv
– hxxps://docs.google[.]com/uc?export=download&id=1-B3960J-kcD_v9PaVP0gYyGpZVWDTHOw
– hxxps://docs.google[.]com/uc?export=download&id=11oXcLJflmBUXZAycZ3mbTiqNctbmox0b

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.