AhnLab Security Emergency response Center(ASEC)은 세금 계산서, 운송장 번호로 위장한 이메일의 첨부 파일 형태로 Guloader 악성코드가 유포되는 정황을 확인하였다. 이번에 확인된 Guloader는 RAR(Roshal Archive Compressed) 압축 파일 내부에 존재하였다. 사용자가 Guloader를 실행하면 최종적으로 Remcos, AgentTesla, Vidar 등의 알려진 악성코드를 다운로드 한다.
안랩 MDS 제품에서는 이메일로 유포되는 악성코드 차단을 위해 이메일 기반의 위협 탐지 및 격리 기능(MTA)을 제공하고 있다. 아래 [그림 3]은 안랩 MDS 제품의 Guloader 악성코드 탐지 보고서 화면이다. 당시에 Guloader 다운로더 악성코드는 공격자 서버로부터 Remcos 악성코드를 다운로드하였다.
Remcos는 스팸 메일과 MS-SQL 취약점으로 유포되는 알려진 RAT(Remote Administration Tool) 도구이다. Remcos 악성코드 관련하여 여러차례 ASEC 블로그를 통해서 소개한 바 있다.
- (2020.11.23) 스팸 메일로 유포 중인 Remcos RAT 악성코드
- (2022.02.15) 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT
Remcos는 공식 판매 사이트가 존재하며 지난 2016년 7월에 버전 1.0이 최초 공개를 시작으로 2023년 7월 26일에는 4.9.0 버전이 공개되었다. 즉, 제작자는 꾸준히 해당 악성코드의 기능을 업데이트하며 상업 목적으로 판매하고 있는 것으로 보인다.
MDS에서는 이메일 유입 단계에서 가상 머신 기반의 동적 분석을 통해 Guloader의 악성코드 다운로드 행위 및 Remcos 악성코드의 정보 유출 행위와 특징을 기반으로 이를 탐지한다.
Guloader는 Remcos 뿐만 아니라 Formbook, Lokibot 등 인터넷에서 판매되고 있는 악성코드를 다운로드 받아 실행한다. 이렇게 판매되는 악성코드를 상업용(Commodity) 악성코드라고 하며 공격자가 상업용 악성코드를 직접 유포하지 않고, Guloader와 같은 다운로더 악성코드를 통해 유포하는 이유는 보안 제품의 시그니처 탐지 회피를 위한 것으로 보인다. Guloader 악성코드는 NSIS, 닷넷, 과거에는 VisualBasic 유형으로 컴파일되어 정적 탐지 회피를 위해 매번 외형을 변경하여 유포하고 있다. 그러나, 결과적으로 메모리 상에서 실행되는 악성코드는 Remcos와 같은 상업용 악성코드이므로 파일 외형은 다르더라도 수행하는 악성 행위는 변형마다 동일하다. 따라서 기업의 보안 담당자는 엔드포인트 보안 제품(V3) 뿐만 아니라 MDS와 같은 샌드박스 기반의 APT 솔루션을 도입하여 사이버 공격에 대한 피해를 예방해야 한다.
[IoC]
[MD5]
– ab5050f0b4b71352722a6122c8107f83
[파일 탐지]
– Trojan/Win.Guloader.C5463862 (2023.08.02.00)
[행위 탐지]
– Execution/MDP.Remcos.M11099
– Infostealer/MDP.Credential.M10218
샌드박스 기반 동적 분석으로 알려지지 않은 위협을 탐지 대응하는 AhnLab MDS에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지