NetSupport RAT은 다양한 공격자들에 의해 사용되고 있다. 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일 및 피싱 페이지에서 유포 통해 유포되고 있다. 피싱 페이지에서의 유포 사례는 이전 블로그를 통해 소개된 바 있다. [1]
AhnLab Security Emergency response Center(ASEC)은 최근 유포된 스피어 피싱 메일에서 NetSupport RAT가 유포됨을 확인하였다. 이를 통해 피싱 메일로부터 유포되는 동작 흐름 및 탐지에 관해 설명한다.
[그림 1]은 NetSupport RAT 악성코드를 유포하는 피싱 이메일 본문 내용이다. 메일엔 악성 자바스크립트가 압축되어 “scan16431643.zip” 파일명으로 첨부되어 있다. 공격자는 감사와 관련한 체크리스트 항목 파일로 피해자를 속여 첨부된 악성파일을 열어보도록 유도하였다. 첨부된 압축 파일(scan16431643.zip) 내부에는 [그림 2]와 같이 “scan16431643.js” 파일명의 악성 자바스크립트가 담겨있다.
[그림 1] NetSupport RAT 악성코드를 유포하는 피싱 메일 본문
[그림 2] 첨부된 압축 파일(scan16431643.zip) 내부의 악성 자바스크립트(scan16431643.js)
[그림 3]은 악성 자바스크립트(scan16431643.js) 일부 사진으로 일부 문자열이 난독화 되어있다. 정상 사이트 3곳을 접속하여 피해자 환경의 인터넷 연결을 확인 한다. 연결이 실패할 시, 악성코드는 종료된다.
[그림 3] 악성 자바스크립트(scan16431643.js)의 인터넷 연결 체크 기능
인터넷 연결이 성공할 시, 악성코드는 [그림 4]와 같이 C2에 접속하여 추가 파워쉘 스크립트를 다운로드하고 실행시킨다. 해당 부분도 코드 난독화가 되어있다.
[그림 4] 악성 자바스크립트(scan16431643.js)의 C2로부터 파워쉘 다운로드 및 실행기능
[그림 5]는 해당 악성코드가 실행된 환경에서 발생한 EDR 위협탐지 다이어그램이다. AMSI 기능을 통해 자바스크립트의 난독화된 스크립트이더라도 AMSI 버퍼로 수집되는 문자열을 통해 파워쉘 커맨드 및 접속 시도한 C2 주소(“mjventas.com[/]reconts[.]php”)등 복호화된 데이터 수집이 가능하다. AMSI(Anti-Malware Scan Interface) 는 응용 프로그램 및 서비스를 백신 제품과 통합할 수 있는 다목적 인터페이스의 표준이다.
[그림 5] EDR 탐지 다이어그램(AMSI를 통한 복호화된 스크립트 확인)
[그림 6]은 C2로부터 다운로드된 추가 파워쉘 스크립트이다. 해당 스크립트는 로컬에 생성되지 않고 실행된다. 해당 파워쉘 스크립트는 NetSupport RAT 를 다운로드하고, 로컬의 %Appdata% 하위 경로에 TimeUTCSync_(랜덤숫자) 폴더에 “client32.exe” 파일명으로 생성하고, 부팅 시 자동 실행되도록 레지스트리 키에 등록한다.
[그림 6] C2로부터 다운로드된 추가 파워쉘 스크립트
추가 다운로드되는 파워쉘 스크립트는 로컬에 파일로 생성되진 않지만, [그림 7]과 같이 EDR의 프로세스 실행 이력에서 확인이 가능하다.
[그림 7] EDR 프로세스 트리(powershell 스크립트 확인)
윗글을 통해 메일을 통해 유포되는 NetSupport RAT 악성코드의 유포 방식에 대해 EDR 증적 데이터를 활용하여 설명하였다. 공격자는 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 외에도 메일 본문과 같이 감사와 관련한 체크리스트를 위장하는 등 정교하게 공식 문서처럼 위장하여 유포하고 있다. 따라서 본문 내용만 볼 때, 정상 메일과 구분이 모호한 수준이기 때문에 메일에 포함된 첨부파일을 열어볼 때는 악성코드가 실행 가능한 확장자가 존재하는지 항상 주의하여야 한다.
[IOC]
- 행위 탐지
Execution/EDR.Powershell.M11170
Execution/MDP.Powershell.M10668
- 파일 탐지
Trojan/JS.Agent.SC189783 (2023.06.15.02)
- URL & C2
hxxps[:]//mjventas[.]com[/]reconts[.]php (추가 파워쉘 다운로드)
hxxps[:]//qualityzer[.]com[/]index1[.]php (NetSupport RAT 다운로드)
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지