Posted By ,

저작권 침해로 위장한 다운로더 악성코드 (MDS 제품 탐지)

AhnLab Security Emergency response Center(ASEC)은 지난 8월 28일 대한민국을 대상으로 불특정 다수에게 저작권 침해로 위장한 다운로더 악성코드가 유포된 정황을 확인하였다. 유포된 악성코드는 샌드박스 기반의 보안 솔루션 탐지를 회피하기 위해 가상 환경을 탐지하는 코드가 포함되어 있었으며 MainBot이라 불리는 악성코드를 다운로드하는 닷넷 악성코드였다. 자사 ASD(AhnLab Smart Defense) 인프라 및 VirusTotal에 수집된 파일 정보를 보아 대한민국과 대만에 유포된 것으로 추정된다.

파일명
저작권 침해 관련 영상 이미지.exe
자세한 영상.exe
불법 복제에 관한 자료-OO 엔터테인먼트.exe
涉及侵犯版權的視頻圖像.exe (번역 : 저작권 침해와 관련된 동영상 이미지)
제품 오류 동영상, 사진.exe
ReaderPDFWindowFile.exe
[표 1] 유포 파일명

발견된 악성코드는 저작권 관련 내용의 파일명을 포함 및 파일의 아이콘을 PDF로 위장하여 사용자로 하여금 악성코드를 PDF 문서로 착각하게 하였다.

[그림 1] 악성코드가 사용한PDF 아이콘 이미지

[C&C 통신 방식]

악성코드는 공격자의 구글 공유 Docs 페이지에서 텔레그램 토큰, 챗 ID, MainBot 다운로드 주소 등 기본적인 Config 정보를 전달받는다.

[그림 2] 악성코드의 구글 Docs의 공유 문서를 이용한 Config 저장 코드
[그림 3] BASE64로 인코딩된 구글 Docs의 공유 문서 주소
  • BASE64 디코딩 URL : hxxps://docs.google.com/document/export?format=txt&id=10bTqbc6WMebYNQEZy86Uy_3YnIynx3VNnFD-wF1EH6E&includes_info_params=true&usp=sharing&cros_files=false&inspectorResult=%7B%22pc%22%3A1%2C%22lplc%22%3A12%7D&showMarkups=true
    * id는 Config 정보가 저장된 공격자의 구글 Docs 고유 ID이다

[그림 2]와 같이 공격자의 공유 문서 페이지를 파싱하여 공격자 텔레그램 서버 정보를 획득한 뒤 전달 받은 메시지를 토대로 감염 PC에 MainBot 설치, 실행, 파일명 변경, 종료 명령을 전달할 수 있다. 분석 당시 MainBot은 확보하지 못했다.

[Anti-VM]

악성코드에는 샌드박스 기반의 악성코드 탐지 솔루션 장비의 탐지 회피를 위해 가상 환경을 검사하는 6개 조건이 존재하였다.

  • 동작 환경에 Anti-Virus가 0개인지 확인
  • “SELECT * FROM WmiMonitorBasicDisplayParams” WMI 쿼리를 수행하여 해당 컴퓨터의 모든 모니터에 대한 기본 디스플레이 파라미터 정보가 0개 인지 확인 (모니터의 물리적 연결 여부 확인용도)
  • Win32_Keyboard WMI 클래스를 사용하여 USB 키보드 정보가 존재하는지 확인 (키보드의 물리적인 USB 연결 여부 확인 용도)
  • 램이 4GB보다 작은지 확인
  • 디스크 용량이 128GB보다 작은지 확인
  • HKLM\SOFTWARE\WOW6432Node\Clients\StartMenuInternet의 하위 키가 없거나 “IEXPLORE.EXE” 혹은 “Microsoft Edge” 1개만 존재하는지 확인
[그림 4] 가상 환경 검사 코드

6개의 조건 중 3개 이상 부합할 경우 가상 환경으로 인지하고 악성코드는 공격자 텔레그램 서버에 아래 문자열을 전달하고 호스트에서 Sleep 함수를 5초마다 호출하여 공격자 서버로부터 [HWID]-SKIP VM 명령을 전달받을 때까지 무기한 대기를 수행한다.

[그림 5] 5초마다 -SKIP VM 명령 검사 코드
⛔️ DETECT VM,SANBOX: 탐지된 조건 개수
To continue please write the content: [HWID]-SKIP VM
We are still active until victime shuts down!
[VM 탐지 시 텔레그램 서버 전달 문자열]

이후 [HWID]-SKIP VM 문자열을 텔레그램 서버를 통해 전달받으면 해당 PC에 MainBot을 다운로드 받아설치한다.

[MDS 제품 탐지]

안랩 MDS는 샌드박스 환경에서는 이러한 유형의 악성코드를 “Execution/MDP.Event.M11291” 진단명으로 탐지하고 있다.

[그림 6] 안랩 MDS를 이용한 악성코드 탐지 화면 (1)
[그림 7] 안랩 MDS를 이용한 악성코드 탐지 화면 (2)

최근 공격자들은 보안 제품 탐지 회피를 위해 Anti-VM 기법을 악성코드에 추가하는 것뿐만 아니라 이번 유형과 같이 텔레그램, 구글 Docs 등의 정상적인 서버를 이용하여 명령 제어를 수행하는 사례가 많아 지고 있다. 정상적인 서버와 통신하며 명령 행위를 수행하기 때문에 네트워크 솔루션에서도 탐지가 어렵다. 따라서 보안 담당자는 네트워크 솔루션, APT 솔루션 이외에도 엔드포인트에서 발생하는 비정상적인 행위에 대해 EDR 제품으로 모니터링 하여 기업의 보안 사고를 예방 해야한다.

[IoC]
[MD5]
– 411f04a6b60d02072a67a7bbddf9b752
– 187ce0c69ae10fcc93e546e02a4c9bb9

[파일 탐지]
– Trojan/Win.Agent.C5478091 (2023.08.29.02)
– Malware/Win.Generic.C5479395 (2023.09.01.00)

[행위 탐지]
– Execution/MDP.Event.M11291

샌드박스 기반 동적 분석으로 알려지지 않은 위협을 탐지 대응하는 AhnLab MDS에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.

Categories:안랩 탐지

Tagged as:,

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments