AhnLab Security Emergency response Center(ASEC)은 정상 홈페이지를 침해하여 다양한 파일명을 이용해 사용자의 실행을 유도하는 악성코드 유포 정황을 확인했다. 최근 자주 사용되는 악성코드 유포 매개체인 LNK 파일을 통한 유포방식에 대해 안랩 EDR 제품을 통해 분석 및 탐지하는 내용을 소개한다.
| 포메리움 프로젝트 관련 문의 자료.txt.lnk |
| 23년 iris 협약 전 변경 신청 관련 자료.txt.lnk |
| 오수연 진술서 자료.txt.lnk |
| 문의 내용 확인 건.txt.lnk |
| 딥브레인 ai 인터뷰 안내.txt.lnk |
| 채용 관련 정보.txt.lnk |
[표 1] 유포 파일명
악성코드 유포는 [표 1]과 동일한 파일명의 압축 파일로 유포되며, 다운로드 및 실행을 유도하여 실행된다. 해당 공격자의 특징으로는 정상 홈페이지를 침해하여 유포지로 사용되고 있는 특징이 있다. 파일 변경이 자유롭지 않은 PE파일과 다르게 내용 수정이 상대적으로 쉬운 NON-PE 파일을 사용하며, 정상적으로 운영되는 홈페이지를 통해 다운로드 되는 방식을 이용하기 때문에 EDR 과 같은 행위 기반 기록 및 탐지 제품을 통해 대비해야 한다.
그림 1. 유입/유출 탐지
안랩 EDR 제품에서는 이와 같은 파일의 유입/유출 에 대해 기록하고 있다. 유입/유출 기능을 통해 탐지한 화면이며, 유입 경로와 파일 정보에 대해 한눈에 확인할 수 있다.
그림 2. 다운로드 된 파일 내용
그림 3. LNK 파일 내용
다운로드된 파일은 [그림 2] 와 같으며 압축파일로 압축을 해제하면 .txt 확장자로 위장한 .txt.lnk 파일이 생성된다. 메모장 아이콘으로 위장한 LNK 파일은 내부에 CAB 파일을 스크립트와 CAB파일을 포함 하고 있다.
[그림 3]은 LNK 파일의 내용이며 왼쪽 그림은 LNK의 실행 커멘드라인 이고 오른쪽 그림은 LNK 파일 내에 있는 HTML 스크립트 이다. LNK 파일은 윈도우 기본 파일은 mshta 를 통해 내부의 HTML 스크립트를 실행한다. HTML 스크립트는 난독화된 VBS 스크립트를 실행한다.
그림 4. LNK 실행 EDR 탐지 화면
[그림 4] 는 앞서 소개한 [그림 3] 의 실행 화면이다. 위에서 소개한 LNK 파일을 통해 실행되는 mshta 의 커멘드 라인을 확인할 수 있으며 mshta 로 실행되는 HTML 내 VBS 스크립트의 난독화 해제된 실행 커멘드 라인을 확인할 수 있다. 주요 기능으로는 파워쉘 프로세스를 통해 LNK 파일을 읽어와 LNK 내부에 삽입된 CAB 파일의 드롭 및 expand 프로세스를 통한 압축 해제 및 실행이다.
그림 5. Expand 프로세스를 통한 압축 해제
[그림 5]는 드롭된 CAB 파일을 expand 프로세스로 압축 해제하는 내용을 탐지하는 화면이다. expand 프로세스를 악용해 압축 해제하는 커멘드라인 확인과 악성 파일의 생성 위치를 알 수 있다.
그림 6. BAT 스크립트 악성 행위
그림 7. BAT 스크립트 악성 행위 EDR 탐지
[그림 6]은 CAB 파일에서 압축 해제된 스크립트의 악성 기능이다. 주요 내용으로는 CAB 파일에서 압축 해제된 다른 스크립트의 실행과 시스템 정보 수집, 자동실행 레지스트리 등록 및 전송 기능이 있다. [그림 7]에서 이와 같은 실행 내용을 안랩 EDR 제품을 통해 탐지한 내용을 확인할 수 있다. 이 외에도 추가 파일 다운로드 시도, 다운로드 파일 certutil 을 통한 디코드 및 실행 등의 기능이 있다.
그림 8. EDR 다이어그램 화면
정상 홈페이지를 침해하여 다양한 파일명을 이용해 사용자의 실행을 유도하는 악성코드 유포방식에 대해 소개했다. [그림 8]은 이와 같은 유포의 전체 다이어그램이다. 앞서 소개한 내용을 한눈에 확인할 수 있으며 공격 흐름을 알 수 있다.
다양한 파일명을 사용해 사용자의 실행을 유도하는 유포 방식은 현재 많이 사용되는 방식이다. 더불어 유포지를 정상 홈페이지를 침해하여 사용하기 때문에 사용자가 구분하기에 어려움이 있다. 이와 같은 방식의 유포를 탐지하기 위해서는 엔드 포인트 안티 바이러스인 V3 행위탐지를 활성화 해야하며, 감염 되더라도 EDR 제품을 통해 상세한 내용 확인을 통한 조치가 필요하다.
정상 홈페이지를 침해하여 유포에 활용하고 있어 IOC 정보 중 유포지 주소는 공개되지 않는다. 관련 정보는 유관 기관등의 정보 제공을 위해 AhnLab TIP(Threat Intelligence Platform) 의 ASEC Notes 에 별도로 게시할 예정이다.
[행위 진단]
Execution/MDP.Powershell.M2514
Injection/EDR.Behavior.M3695
Fileless/EDR.Powershell.M11335
[파일 진단]
Downloader/BAT.Agent.SC194060
Infostealer/BAT.Agent.SC194061
Downloader/BAT.Agent.SC194060
[HASH]
04d9c782702add665a2a984dfa317d49
453e8a0d9b6ca73d58d4742ddb18a736
8f3dcf4056be4d7c8adbaf7072533a0a
c2aee3f6017295410f1d92807fc4ea0d
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지