AhnLab Security Emergency response Center(ASEC)에서는 Kimsuky 그룹이 악성코드를 은폐하는데 ADS(Alternate Data Stream)를 활용하는 것을 확인했다.
해당 악성코드는 HTML 파일 내부에 포함된 VBScript를 시작으로 정보를 수집하는 Infostealer 유형이며 수많은 더미 코드 사이에 실제 코드가 포함된 것이 특징이다.
그림 1. 최초 시작 스크립트 일부
터미널에서 아래와 같은 명령어를 실행하여 정보를 수집하고 전송한다.
- hostname
- systeminfo
- net user
- query user
- route print
- ipconfig /all
- arp -a
- netstat -ano
- tasklist
- tasklist /svc
- cmd.exe” /c dir “C:\Program Files“
- cmd.exe” /c dir “C:\Program Files (x86)”
- cmd.exe” /c dir “C:\ProgramData\Microsoft\Windows\Start Menu\Programs”
- cmd.exe” /c dir “C:\Users\Unknown\AppData\Roaming\Microsoft\Windows\Recent”
또한, HEX 인코딩된 데이터를 디코딩 하여 “C:\ProgramData\Uso2” 경로에 “.Uso2Config.conf” 이름으로 저장하고 1분마다 무한 반복하는 스케줄러를 등록한다.
디코딩 된 파일은 지속성 유지를 위한 스크립트로서 C2에 접속하여 추가 스크립트를 실행한다. 하지만, “.Uso2Config.conf” 파일을 저장할 때 “:honeyT”를 이어 붙여 저장하는데 이는 ADS를 생성한다는 의미이다.
그림 2. ADS Stream 생성 (더미 코드가 제거된 코드 일부)
그림3 . 등록된 스케줄러
해당 기법을 통해 저장된 파일은 디렉터리에서 확인하면 파일의 크기가 0 bytes로 표기된다.
그림 4. 특정 경로에 생성된 파일
하지만 터미널에서 “dir /r” 명령어를 통해 크기와 정확한 파일 이름을 알 수 있으며 “more” 명령어를 통해 파일 내용 을 확인 할 수 있다.
그림 5. 실제 파일 내용 확인
해당 기법은 과거 Magniber 랜섬웨어도 사용하던 기법이었으며 과거 ASEC Blog Magniber 랜섬웨어 파일 생성방식의 변화 (파일은폐)를 통해 소개한 바 있다.
이처럼 공격 기법이 날이 갈수록 변화하고 있기 때문에 사용자의 각별한 주의가 필요하다.
[파일 진단]
Downloader/VBS.Kimsuky.S1997 (2023.03.14.00)
[IOC]
MD5
EC3C0D9CBF4E27E0240C5B5D888687EC
ACA61A168D95C5F72B8E02650F727000
C2
zetaros.000webhostapp[.]com
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보