공격자들이 악성코드를 유포하는 방식들 중에는 대표적으로 크랙과 같은 불법 소프트웨어를 위장한 사이트를 이용하는 방식이 있다. 공격자가 악성코드를 유료 소프트웨어의 크랙이나 시리얼 생성기와 같은 프로그램으로 위장하여 업로드하면 사용자는 이러한 불법 소프트웨어를 설치하고 이 과정에서 악성코드가 함께 감염되는 방식이다.
ASEC 분석팀에서는 소프트웨어 크랙이나 시리얼 생성기와 같은 불법 소프트웨어를 통해 유포되고 있는 악성코드들을 모니터링하고 있다. 이러한 방식으로 유포되는 악성코드들로는 Vidar, CryptBot, RedLine과 같은 인포스틸러 유형들이 많다. ASEC 분석팀은 최근 PYbot DDoS 악성코드가 불법 소프트웨어와 함께 유포되고 있는 것을 확인하였다.
공격자가 미끼로 사용한 프로그램은 Nitro Generator라고 하는 토큰 생성기이다. Nitro는 디스코드의 다음과 같은 다양한 기능들을 제공하는 유료 서비스로서, Nitro Generator는 해당 서비스를 무료로 사용할 수 있도록 Nitro 서비스의 코드를 생성하는 도구이다.

1. 개요
PYbot은 파이썬으로 개발된 오픈 소스 DDoS Bot 악성코드이다. 일반적인 DDoS Bot 악성코드들과 비교해서 PYbot의 특징이라고 한다면 DDoS 공격 기능만을 보유한 악성코드라는 점이다. 물론 Mirai나 Gafgyt, Tsunami 같은 악성코드들처럼 DDoS 공격이 주요 기능인 악성코드들도 존재하지만 최소한 악성코드의 업데이트나 공격자의 명령을 실행하는 기본적인 기능들은 포함하고 있다.
또한 해당 유형들은 윈도우 시스템이 아닌 취약점이 패치되지 않거나 부적절하게 관리되고 있는 취약한 IoT 장비들을 대상으로 한다. 윈도우 시스템을 대상으로 하는 악성코드들 중에서 DDoS 공격 기능을 보유하고 있는 유형은 주로 RAT 유형들이 많다. 물론 RAT 악성코드들은 감염 시스템을 원격으로 제어하는 것이 주요한 기능이다.
현재 확인된 PYbot은 윈도우 시스템을 대상으로 유포되고 있지만, 개발 언어인 파이썬의 특성상 리눅스 환경에서 동작 가능하기 때문에 리눅스 시스템을 대상으로 하는 공격에도 사용될 수 있다.

2. 디스코드 Nitro 생성기 위장 악성코드
최초로 유포되는 악성코드는 DRPU Setup Creator를 이용해 제작된 인스톨러 유형의 악성코드로서 공격자가 “nitrogen.exe” 또는 “ntrg.exe”라는 이름으로 유포한 것으로 추정된다.

해당 인스톨러는 Program Files 경로에 다음과 같은 파일들을 생성한다. “NitroGenerator.exe”는 다운로더 악성코드로서 외부에서 추가 악성코드를 설치하는 기능을 담당한다.

다운로더 악성코드는 닷넷으로 개발되어 있으며 다음과 같이 단순한 형태이다. %TEMP% 경로에 “p.exe”, “n.exe”를 다운로드하고 실행하며, 시작 폴더에는 바로 가기 파일을 생성하여 “p.exe” 즉 PYbot이 재부팅 이후에도 동작할 수 있도록 한다.

“n.exe”는 FireDragon’s Nitro Generator라고 하는 프로그램의 인스톨러이다. 설치가 끝나면 다음 경로에서 디스코드의 유료 서비스인 Nitro의 코드를 생성하는 불법 프로그램이 생성된다.

3. PYbot DDoS Bot
PYbot은 파이썬 악성코드지만 공격자는 PyInstaller를 통해 윈도우 실행 파일로 빌드하여 유포하였다. PyInstaller는 파이썬이 설치되지 않은 환경에서도 파이썬 스크립트가 동작할 수 있도록 실행에 필요한 모듈들과 함께 exe 즉 윈도우 실행 파일 포맷으로 변환해 주는 도구이다. PyInstaller는 기본적으로 스크립트를 실행 파일로 변환해 주는 Bat2exe와 유사한 도구라고 할 수 있지만, 윈도우 기본 환경에서 동작 가능한 Batch 파일과 달리 파이썬 스크립트는 파이썬이 설치되어 있어야 하기 때문에 파이썬 스크립트를 실행시켜 주는 다수의 모듈들이 함께 포함된 것이 특징이다.
PyInstaller로 제작된 바이너리를 분석하기 위해 실행 파일 내부에 저장되어 있는 각 모듈들을 추출하면 다음과 같이 컴파일된 파이썬 스크립트 “bot (1)”과 다수의 파이썬 모듈들을 확인할 수 있다.

다음은 컴파일된 파이썬 스크립트 “bot (1)”을 디컴파일한 결과이다. 오픈 소스인 PYbot의 소스 코드와 거의 유사하지만 차이점도 존재한다. PYbot에는 curl을 이용한 다운로드 루틴이 존재하지 않지만, 현재 공격에 사용된 PYbot에는 외부에서 추가 페이로드를 다운로드하는 루틴이 포함되어 있다. 다운로드 주소의 도메인이 C&C 서버와 동일함에 따라 악성코드로 추정되지만 현재 다운로드가 불가하여 어떠한 악성코드를 설치하는지는 확인되지 않는다.

DDoS Bot 악성코드인 PYbot은 다양한 DDoS 공격 기능을 지원하는데, TCP Flood, TCP SYN Flood, UPD Flood와 같은 기본적인 Layer 4 공격 외에도 VSE Flood와 HTTP GET Request Flood 공격을 지원한다. 참고로 VSE는 Valve Source Engine의 줄임말로써 VSE Flood는 특정 게임 서버에 다수의 쿼리를 전달하는 방식의 DDoS 공격이다.

4. 결론
최근 디스코드의 유료 서비스인 Nitro와 관련된 불법 프로그램과 함께 PYbot 악성코드가 유포되고 있다. PYbot에 감염될 경우 사용자의 시스템은 공격자의 명령을 받아 특정 대상에 대한 DDoS 공격을 수행하는 DDoS Bot으로 사용될 수 있다.
유료 소프트웨어의 크랙이나 시리얼 번호 생성기와 같은 불법 프로그램을 이용해 악성코드를 유포하는 방식은 공격자들이 이용하는 대표적인 방식 중 하나이다. 사용자들은 알려지지 않은 경로에서 다운로드한 실행 파일을 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Trojan/LNK.Runner (2023.02.08.02)
– Dropper/Win.Agent.C5377911 (2023.02.08.02)
– Dropper/Win.Agent.C5377914 (2023.02.08.02)
– Downloader/Win.Agent.R557327 (2023.02.08.02)
– Trojan/Win.PYbot.C5377916 (2023.02.08.02)
– Trojan/Win.PYbot.C5377984 (2023.02.08.02)
IOC
MD5
– 7e7694cfecf3e0809bcf28009cab4adb : Dropper (nitrogen.exe)
– 1cf392ce0c7fd5b56da8888c43a03be3 : Dropper (ntrg.exe)
– 8fa445bbc93c43d5769038e56aeca84f : Downloader (NitroGenerator.exe)
– 827c83f08d1c139e4b6698bdcf386da8 : PYbot (p.exe)
– 493b3bd39f89ed0d2f5ec3f175490b43 : PYbot (p.exe)
– 4db2035a98b270d485b95ea7cf417898 : 바로가기 (Windows_Defender.lnk)
다운로드 주소
– hxxp://75.119.139[.]66/p.exe : PYbot
– hxxps://cdn.discordapp[.]com/attachments/1063947830827421708/1069081977828937728/Windows_Defender.lnk : 바로가기
– hxxp://cnc.dotxyz[.]cf/Windows%20Defender.exe : 추가 악성코드
C&C 주소
– cnc.dotxyz[.]cf:666 : PYbot
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보