WSF 스크립트로 유포되는 AsyncRAT

 

ASEC(AhnLab Security Emergency response Center) 분석팀은 이전에 .chm 확장자를 통해 유포되는 AsyncRAT에 대한 내용을 게시한 적이 있다.[1] 이러한 유형의 AsyncRAT 악성코드가 최근 WSF 스크립트 형태로 변형되어 유포되는 정황을 확인하였다. WSF 파일은 이메일 등에 포함된 URL 링크에서 압축파일 형태(.zip)로 유포되는 것으로 확인된다. 

[다운로드 URL]
1. https://*****************.com.br/Pay5baea1WP7.zip
2. https://************.za.com/Order_ed333c91f0fd.zip
3. https://*************.com/PAY37846wp.zip
4. https://*****.****.co/eBills37890913.zip

최초 다운로드 된 zip파일을 압축 해제하면 .wsf확장자를 가진 파일이 있다. 해당 파일은 아래 이미지와 같이 대부분 주석으로 이루어져 있으며 중간에 <script> 태그 하나만 존재한다.

해당 스크립트가 동작하게 되면 아래 이미지와 같이 Visual Basic 스크립트가 다운로드 되어 실행되며, 해당 스크립트는 동일 C2 주소에서 .jpg파일(jpg로 위장한 zip파일)을 다운로드한다. 
이후 해당 jpg 파일의 확장자를 .zip으로 바꾼 후 압축을 해제하며 내부에 존재하는 Error.vbs 파일을 실행하는 명령어 문자열을 xml파일로 생성(C:\Users\Public\temp.xml)하고 해당 파일을 powershell로 실행한다.

다운로드 되는 zip 파일에는 Error.vbs 파일 외에도 다수의 스크립트가 존재한다.

이후 순차적으로 나머지 파일(bat, ps1)이 모두 실행된다. 각 파일의 역할과 실행 흐름은 다음과 같다.

Error.vbs: 관리자 권한 확인 및 Error.bat 실행
Error.bat: UAC 우회 및 Error.ps1 실행
Error.ps1: C:\Users\Public\Chrome.lnk 바로가기 파일생성 및 자동실행(레지스트리) 등록 후 실행
pwng.bat: UAC 우회 및 pwng.ps1 실행
pwng.ps1: 파일리스 공격

특히, 마지막에 실행되는 pwng.ps1 파일은 내부에 포함된 문자열을 .NET 바이너리로 변환 후 로드하여 실행한다. 정상 프로세스(aspnet_compiler.exe)를 실행시키고 해당 프로세스에 악성 바이너리를 인젝션하여 동작하며, 이 과정에서 3가지 난독화된 변수가 사용된다.

[주요 변수의 의미]
$jsewy : AsyncRAT 기능을 수행하는 악성코드 (aspnet_compiler.exe에 인젝션 될 파일)
$jsewty : 인젝션 기능을 수행하는 악성코드
$KRDESEY : 인젝션 대상 프로세스 (C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe)

최종적으로 실행되는 악성코드는 정보 유출 및 백도어 기능을 가진 AsyncRAT 악성코드로 확인되며, 주요 행위는 다음과 같다.

1. 지속성 유지
– schtasks를 활용한 예약 작업 등록
– 레지스트리 등록
– 자기 자신을 실행하고 삭제하는 bat파일을 생성

2. 정보 유출
– 컴퓨터 정보 : OS 버전, User, Antivirus 제품 목록 등
– 브라우저 UserData 정보 : Chrome, Brave-Browser, Edge 
– 암호화폐 지갑 정보 : RabbyWallet, Atomic, Exodus, Ledger_Live, Electrum, Coinomi, Binance, Bitcoin

추가적으로, 해당 정보를 전송하는 C2 주소는 파일 내부에 암호화된 문자열로 저장되어있으며, 실행 시점에 아래 이미지와 같이 나타난다. 공격자는 해당 C2의 도메인과 다수의 포트 번호를 조합하여 여러 번 Connect 시도한다.

이처럼 공격자는 동일 유형의 악성코드를 다양한 방식으로 유포하는 경향이 확인되었고, EXE 파일이 생성되지 않는 정교한 파일리스 기법을 사용하였다. 사용자는 이메일에 첨부된 파일이나 외부 링크를 열어볼 때는 항상 주의하여야 하고 보안 제품을 이용한 모니터링을 통해 공격자로부터의 접근을 파악하고 통제할 필요가 있다.

 

[파일 진단]

• Downloader/Script.Agent (2023.11.29.02)
• Trojan/VBS.RUNNER.SC194987 (2023.11.30.04)
• Trojan/BAT.RUNNER.SC194988 (2023.11.30.04)
• Trojan/BAT.RUNNER.SC194985 (2023.11.30.04)
• Trojan/PowerShell.Runner.SC194986 (2023.11.30.04)
• Trojan/PowerShell.Generic.SC194981 (2023.11.30.04)
• Trojan/PowerShell.Generic.SC194982 (2023.11.30.04)
• Trojan/Win.Injector (2023.11.30.04)
• Backdoor/Win.AsyncRAT (2022.07.12.00)