AhnLab Security Emergency response Center(ASEC)은 스팸메일을 통해 PE 파일(EXE)을 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법의 피싱 캠페인을 발견하였다. hta 확장자로 첨부된 악성코드는 최종적으로 AgentTesla, Remcos, LimeRAT 과 같은 악성코드들을 실행한다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다.
[그림 1]은 해당 악성코드를 유포하는 스팸메일 본문이다. 은행 이체통지서를 위장하여 유포되었으며, 첨부된 ISO 이미지 파일 내부에는 [그림 2] 와 같이 이체 통지서로 위장한 스크립트 파일(.hta)이 포함되어 있다. hta 파일은 실행시 윈도우 응용프로그램인 mshta.exe 에 의해 구동되는 스크립트 파일 유형이다.
[그림 1] 피싱 메일 본문
[그림 2] 첨부된 iso 파일 내부의 악성 스크립트(.hta)
[그림 3]은 악성 hta 파일이 실행되었을 때, 자사 EDR 탐지된 다이어그램 증적이다. [그림 4]는 악성 hta 파일의 실행 증적이 담긴 EDR 탐지화면이다. 다이어그램을 통해 mshta.exe 프로세스로부터 cmd.exe, powershell.exe, RegAsm.exe 까지 순차적으로 실행되는 의심스러운 프로세스 트리를 확인할 수 있다.
[그림 3] hta 파일 실행 증적
[그림 4]는 mshta.exe 가 실행한 파워쉘 명령이다. 파워쉘 스크립트 구문 해석을 통해, 문자열 데이터를 서버에 요청(DownloadString)하고, 디코딩을 수행(FromBase64string) 한 데이터를 로드(CurrentDomain.Load) 하고 특정함수(‘VAI’)를 호출하는 코드임을 알 수 있다. 해당 기법은 바이너리를 PE를 파일로 생성하지 않고Powershell.exe 의 메모리에서 실행시키는 파일리스 기법에 해당한다.
[그림 4] mshta.exe 로 부터 실행된 파워쉘 스크립트(페이로드 다운로드 및 메모리 로드 기능)
[그림 5] C2 로 부터 다운로드되는 데이터 (인코딩된 DLL)
[그림 6] 디코딩된 DLL 기능(최종 바이너리 다운로드 및 인젝션)
[그림 7] powershell.exe 가 Regasm.exe 에 인젝션을 수행
윗글을 통해 스팸메일을 통해 유포되는 파일리스 기법의 악성코드의 유포 방식에 대해 EDR 증적 데이터를 활용하여 설명하였다. 공격자는 은행 이체통지서를 교묘히 위장 하여 유포하며 PE를 파일로 생성하지 않고 Powershell.exe 의 메모리에서 실행시키기 때문에 시그니쳐 탐지 및 대응에 어려움이 있을 수 있다. 첨부파일을 열어볼 때는 악성코드가 실행 가능한 확장자가 존재하는지 항상 주의하여야 하고 보안 제품을 이용한 모니터링을 통해 공격자로부터의 접근을 파악하고 통제할 필요가 있다.
[IOC]
- 행위 탐지
Connection/EDR.Behavior.M2650
Execution/MDP.Powershell.M10668 - 파일 탐지
Downloader/Script.Generic
Trojan/Win.Generic.R526355 - URL & C2
hxxps[:][/][/]cdn[.]pixelbin[.]io[/]v2[/]red-wildflower-1b0af4[/]original[/]hta[.]txt
hxxp[:][/][/]195[.]178[.]120[.]24[/]investorbase64[.]txt - MD5
43e75fb2283765ebacf10135f598e98c (.hta)
540d3bc5982322843934504ad584f370 (.dll)
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지