AhnLab Security Emergency response Center(ASEC)은 메일을 통해 급여명세서를 위장하여 유포되는 Remcos 원격 제어 악성코드의 유포 정황을 발견했다.
확인된 Remcos RAT 악성코드는 [그림 1]와 같이 ‘급여이체확인증 입니다’ 라는 메일 제목으로 수신자를 속여 유포되었다. 첨부된 cab 압축파일 내부에는 [그림 2]과 같이 PDF 파일 아이콘으로 위장한 EXE 파일(Remcos RAT)가 첨부 되어있다.
[그림 1] 피싱 메일 본문
[그림 2] 첨부된 cab 압축파일 내부의 Remcos RAT(.exe)
Remcos RAT 악성코드는 [그림 3]과같이 공격자의 명령에 따라 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어뿐만 아니라 설치된 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능과 같은 악의적인 원격 제어가 가능하다. [1]
램코스 RAT 악성코드는 원격 제어 기능을 수행하는 특성상, 공격자 서버(C2)에서 명령을 받기전 까지 악의적인 행위가 발생하지 않는 특징이 있다. 하지만 C2의 명령 없이도 감염됨과 동시에 시작되는 Offline Keylogger 의 키로깅 행위를 통해 샌드박스 장비를 통해서도 탐지가 가능하다.
[그림 3] Remcos 원격제어 서버의 다양한 제어 기능(Remcos v2.6.0)
[그림 4]는 C2 명령 없이도 실행되는 Remcos RAT의 오프라인 키로거(Offline Keylogger) 기능의 함수이다. 세부적으로 [그림 5]와 같이 SetWindowHookExA API를 사용하여 WH_KEYBOARD_LL 인자를 통해 키보드 입력 이벤트를 모니터링하는 후크 프로시저를 설치한다.
[그림 4] Remcos RAT의 offline keylogger 기능
[그림 5] Remcos RAT 키보드 입력 후킹 코드(SetWindowsHookExA)
[MDS 제품 탐지]
[그림 6]은 안랩 MDS는 샌드박스 환경에서는 위에 설명한 Remcos RAT의 오프라인 키로거 기능을 탐지한 화면이다. [그림 7]과 같이 키보드 입력을 후킹 하는 악성 행위가 탐지됨을 확인 할 수 있다.
[그림 6] 안랩 MDS를 이용한 Remcos RAT 악성코드 탐지 화면 (1)
[그림 7] 안랩 MDS를 이용한 Remcos RAT 악성코드 탐지 화면 (2)
RAT 악성코드는 공격자의 명령을 통해서 주요한 악성 행위가 수행된다. 따라서 서버와 통신을 통해 공격자의 명령이 수행되기 전까지 감염을 인지하기가 어려운 특징이 있다. 따라서 보안 담당자는 MDS와 같은 APT 솔루션 사용 이외에도 엔드포인트에서 발생하는 비정상적인 행위에 대해 EDR과 같은 제품으로 모니터링 하여 기업의 보안 사고에 대비하고 침해시 빠르게 대응할 필요가 있다.
[IoC]
[MD5]
– 1e378b5dc586175e1b5e5931b8727ae3 (Remcos RAT v3.8.0 Pro)
[파일 탐지]
– Trojan/Win.Generic.R611702 (2023.10.14.00)
[행위 탐지]
– SystemManipulation/MDP.Hooking.M10055
– Execution/MDP.Remcos.M11099
– DefenseEvasion/MDP.AntiAnalysis.M912
샌드박스 기반 동적 분석으로 알려지지 않은 위협을 탐지 대응하는 AhnLab MDS에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지