APT EndPoint 악성코드

정상 홈페이지를 침해하여 유포되는 LNK파일 EDR탐지

  • 11월 07 2023
정상 홈페이지를 침해하여 유포되는 LNK파일 EDR탐지

AhnLab Security Emergency response Center(ASEC)은 정상 홈페이지를 침해하여 다양한 파일명을 이용해 사용자의 실행을 유도하는 악성코드 유포 정황을 확인했다. 최근 자주 사용되는 악성코드 유포 매개체인 LNK 파일을 통한 유포방식에 대해 안랩 EDR 제품을 통해 분석 및 탐지하는 내용을 소개한다. 

포메리움 프로젝트 관련 문의 자료.txt.lnk
23년 iris 협약 전 변경 신청 관련 자료.txt.lnk
오수연 진술서 자료.txt.lnk
문의 내용 확인 건.txt.lnk
딥브레인 ai 인터뷰 안내.txt.lnk
채용 관련 정보.txt.lnk

[표 1] 유포 파일명 악성코드 유포는 [표 1]과 동일한 파일명의 압축 파일로 유포되며, 다운로드 및 실행을 유도하여 실행된다. 해당 공격자의 특징으로는 정상 홈페이지를 침해하여 유포지로 사용되고 있는 특징이 있다. 파일 변경이 자유롭지 않은 PE파일과 다르게 내용 수정이 상대적으로 쉬운 NON-PE 파일을 사용하며, 정상적으로 운영되는 홈페이지를 통해 다운로드 되는 방식을 이용하기 때문에 EDR 과 같은 행위 기반 기록 및 탐지 제품을 통해 대비해야 한다.

그림 1. 유입/유출 탐지   안랩 EDR 제품에서는 이와 같은 파일의 유입/유출 에 대해 기록하고 있다. 유입/유출 기능을 통해 탐지한 화면이며, 유입 경로와 파일 정보에 대해 한눈에 확인할 수 있다.

그림 2. 다운로드 된 파일 내용  

그림 3. LNK 파일 내용   다운로드된 파일은 [그림 2] 와 같으며 압축파일로 압축을 해제하면 .txt 확장자로 위장한 .txt.lnk 파일이 생성된다. 메모장 아이콘으로 위장한 LNK 파일은 내부에 CAB 파일을 스크립트와 CAB파일을 포함 하고 있다. [그림 3]은 LNK 파일의 내용이며 왼쪽 그림은 LNK의 실행 커멘드라인 이고 오른쪽 그림은 LNK 파일 내에 있는 HTML 스크립트 이다. LNK 파일은 윈도우 기본 파일은 mshta 를 통해 내부의 HTML 스크립트를 실행한다. HTML 스크립트는 난독화된 VBS 스크립트를 실행한다.

그림 4. LNK 실행 EDR 탐지 화면   [그림 4] 는 앞서 소개한 [그림 3] 의 실행 화면이다. 위에서 소개한 LNK 파일을 통해 실행되는 mshta 의 커멘드 라인을 확인할 수 있으며 mshta 로 실행되는 HTML 내 VBS 스크립트의 난독화 해제된 실행 커멘드 라인을 확인할 수 있다. 주요 기능으로는 파워쉘 프로세스를 통해 LNK 파일을 읽어와 LNK 내부에 삽입된 CAB 파일의 드롭 및 expand 프로세스를 통한 압축 해제 및 실행이다.

그림 5. Expand 프로세스를 통한 압축 해제   [그림 5]는 드롭된 CAB 파일을 expand 프로세스로 압축 해제하는 내용을 탐지하는 화면이다. expand 프로세스를 악용해 압축 해제하는 커멘드라인 확인과 악성 파일의 생성 위치를 알 수 있다.

그림 6. BAT 스크립트 악성 행위  

그림 7. BAT 스크립트 악성 행위 EDR 탐지   [그림 6]은 CAB 파일에서 압축 해제된 스크립트의 악성 기능이다. 주요 내용으로는 CAB 파일에서 압축 해제된 다른 스크립트의 실행과 시스템 정보 수집, 자동실행 레지스트리 등록 및 전송 기능이 있다. [그림 7]에서 이와 같은 실행 내용을 안랩 EDR 제품을 통해 탐지한 내용을 확인할 수 있다. 이 외에도 추가 파일 다운로드 시도, 다운로드 파일 certutil 을 통한 디코드 및 실행 등의 기능이 있다.

그림 8. EDR 다이어그램 화면   정상 홈페이지를 침해하여 다양한 파일명을 이용해 사용자의 실행을 유도하는 악성코드 유포방식에 대해 소개했다. [그림 8]은 이와 같은 유포의 전체 다이어그램이다. 앞서 소개한 내용을 한눈에 확인할 수 있으며 공격 흐름을 알 수 있다. 다양한 파일명을 사용해 사용자의 실행을 유도하는 유포 방식은 현재 많이 사용되는 방식이다. 더불어 유포지를 정상 홈페이지를 침해하여 사용하기 때문에 사용자가 구분하기에 어려움이 있다. 이와 같은 방식의 유포를 탐지하기 위해서는 엔드 포인트 안티 바이러스인 V3 행위탐지를 활성화 해야하며, 감염 되더라도 EDR 제품을 통해 상세한 내용 확인을 통한 조치가 필요하다. 정상 홈페이지를 침해하여 유포에 활용하고 있어 IOC 정보 중 유포지 주소는 공개되지 않는다. 관련 정보는 유관 기관등의 정보 제공을 위해 AhnLab TIP(Threat Intelligence Platform)ASEC Notes 에 별도로 게시할 예정이다.   [행위 진단] Execution/MDP.Powershell.M2514 Injection/EDR.Behavior.M3695 Fileless/EDR.Powershell.M11335 [파일 진단] Downloader/BAT.Agent.SC194060 Infostealer/BAT.Agent.SC194061 Downloader/BAT.Agent.SC194060

MD5

0040aa9762c2534ac44d9a6ae7024d15
04d9c782702add665a2a984dfa317d49
40b7c3bced2975d70359a07c4f110f18
453e8a0d9b6ca73d58d4742ddb18a736
5e5a87d0034e80e6b86a64387779dc2e
URL

http[:]//38[.]180[.]68[.]238/0906/down/train0[.]php?query=1
http[:]//iso3488[.]co[.]kr/adm/img/up/down0/list[.]php?query=1
http[:]//kyungdaek[.]com/js/sub/aos/dull/down1/list[.]php?query=1
http[:]//kyungdaek[.]com/js/sub/aos/dull/down1/r_enc[.]bin
http[:]//kyungdaek[.]com/js/sub/aos/dull/down1/show[.]php

AhnLab EDR의 행위 기반 탐지 및 대응 기능에 대해 더 알고 싶으시면, 아래 배너를 클릭하여 확인해 보세요.
Previous Post

Next Post