Fileless로 동작하는 Revenge RAT 악성코드

ASEC(AhnLab SEcurity intelligence Center)은 최근 정상 Tool을 감싸 만든 Revenge RAT 악성코드가 유포중인 것을 포착했다. 공격자는 smtp-validator, Email To Sms 등의 이름을 가진 Tool을 활용한 것으로 확인되며, 실행 시점에 정상 Tool과 악성 파일을 동시에 생성하여 실행함으로써 사용자 측에서 악성행위가 발생하는 것을 인지하기 어렵게 만들었다.

공격자는 아래 코드와 같이 smtp-verifier.exe(정상 Tool)을 실행시키기 전에 Setup.exe(악성)를 우선적으로 생성 후 실행한다. 이 때, 생성되는 파일의 속성을 ‘Hidden’으로 변경하여 일반적인 환경에서는 Windows 탐색기 상에서 해당 파일이 보이지 않는다는 특징이 있다.

이후에 일어나는 악성 행위의 전체적인 흐름은 아래와 같다. 생성되는 파일이 비교적 많으며, 공격자의 최종 목표는 Revenge RAT 악성코드를 실행하는 것이다.

정상 툴과 함께 생성되는 악성파일 setup.exe는 아래와 같이 추가 악성코드를 생성하는 역할만 수행한다.

[ Setup.exe ]
1. %appdata%Microsoft\Windows\Templates 경로에 svchost.exe를 FileAttribute.Hidden속성으로 생성 및 실행
2. 생성한 svchost.exe를 레지스트리에 자동실행 등록 (Value Name : Microsoft Corporation Security)

svchost.exe는 아래와 같은 기능을 수행한다.

[ svchost.exe ]
1. C2(hxxps://***********[.]blogspot.com)에 접속하여 HTML파일을 다운로드
2. HTML파일 내부에 공격자가 특정한 주석을 읽고 압축 해제하여 %appdata%Microsoft\Windows\Templates 경로에 explorer.exe 파일을 생성 및 실행

C2는 정상적으로 운영되고 있는 블로그처럼 위장하였으며, 특정 offset에 one line 주석으로 악성 파일을 포함하고 있다. 공격자는 해당 HTML파일 내부에서 <!–1111 ~ 2222–> 사이의 값을 읽어 Base64 디코딩을 수행하고, 압축해제하여 추가 악성코드를 생성한다.

1번에서 언급한 C2주소에 접근이 불가 할 시, 다른 C2주소(hxxp://**********.***********[.]com/2023/explorer.txt)로 접근한다. 접속 시 새로운 C2주소를 리턴하며, 마찬가지로 정상적인 블로그로 위장한 모습이다. 공격자는 이러한 매커니즘을 통해 기존 C2주소가 막혔을 경우 혹은 공격자가 새로운 C2를 업데이트 하였을 경우를 대비하였다.

위처럼 C2의 HTML 파일에서 추출한 악성 파일(explorer.exe)는 아래와 같은 기능을 수행한다.

[ explorer.exe ]
1. %appdata%Microsoft\Windows\ 경로에 version.exe 파일 생성
2. version.exe의 경로를 포함한 inf 파일을 %temp% 경로에 생성 후 cmstp.exe 에 인자로 주어 실행
(CMSTP Defense Evasion)
3. Fileless 방식으로 Revenge RAT 악성코드 실행

생성되는 version.exe는 아래와 같이 단순한 기능을 수행한다.

[ version.exe ]
1. 공격 과정에서 사용된 악성 파일들을 Powershell 명령어로 Windows Defender 예외 파일 등록

공격자는 version.exe를 cmstp에 전달하여 실행하는데, 이는 Anti-Virus 제품의 탐지 우회를 목적으로 악성 파일을 Windows 기본 프로그램(cmstp.exe)으로 실행하는 CMSTP Evasion 이다. CMSTP Evasion 기법은 MITRE ATT&CK 에서 System Binary Proxy Execution: CMSTP (T1218.003) 기법으로 분류하고 있다. 해당 기법은 이전 ASEC 블로그에서도 재차 소개한 바[1][2]가 있는 만큼, 여러 종류의 악성코드에서 주로 사용하는 방법이다.

cmstp.exe에 인자로 넘겨질 .inf 파일은 %temp%경로에 랜덤한 파일명(분석 당시 생성된 파일명 : g1rfp0hb.inf)으로 생성되며, 파일 상태에서는 explorer.exe 내부 resource 영역에 Template 형태로 존재하여 ‘REPLACE_COMMAND_LINE’ 문자열이 생성되는 시점에 version.exe의 경로로 Replace 된다.

이렇게 CMSTP Evasion 방식으로 실행된 version.exe는 아래 명령을 실행하여 공격 과정에서 사용된 악성 파일들을 Windows Defender 예외 파일로 등록한다. explorer, svchost 등 공격 과정에서 사용되는 악성파일의 이름이 주로 Windows 기본 프로그램이라는 특징이 있다.

cmd.exe /c PoserShell.exe -windowstyle hidden Add-Mppreference -ExclusionPath

%appdata%\Microsoft\Windows\explorer.exe
%appdata%\Microsoft\Windows\Cortana.exe
%appdata%\Microsoft\Windows\OneDrive.exe
%appdata%\Microsoft\Windows\Templates\svchost.exe
%appdata%\Microsoft\Windows\SystemSettings.exe
%appdata%\Microsoft\Windows\Taskmgr.exe

이후 공격자는 리소스 영역에서 바이너리를 읽어와 DES 알고리즘을 사용하여 복호화 하며, 드디어 공격자의 최종 목적인 Revenge RAT 악성코드가 등장한다. 해당 RAT는 MITRE ATT&CK 에서 Revenge RAT(S0379)로 분류하고 있으며 주로 시스템 정보 수집, 화면 캡쳐, 키로깅, 추가 악성파일 다운로드, 스크립트 실행 등의 악성행위가 포함되어 있다.

RevengeRAT 악성코드는 메모리 상에서 Fileless 방식으로 실행되며, 다음과 같이 C2(qcpanel.hackcrack[.]io:9561)에 사용자 PC의 데이터를 수집하여 Base64 인코딩한 형태로 전송한다. 탈취되는 사용자 데이터는 아래와 같다.

[ 탈취되는 정보 ]
1. PC, User 이름
2. OS, CPU, 드라이브 용량 등 시스템 정보
3. 자신(Revenge RAT)을 실행시킨 부모 프로세스의 정보
4. IP 주소 및 region 정보
5. 사용중인 Anti-Virus, Firewall 제품 이름

이처럼 오픈소스나 공개된 Tool을 사용할 때는 깊은 주의가 필요하며, 반드시 공식 홈페이지서 다운로드 하는 습관이 중요하다.

[파일진단]
– Trojan/Win.Generic.C4223332
– Trojan/Win.Generic.C5583117
– Dropper/Win.Generic.C5445718
– Dropper/Win.Generic.R634030
– Backdoor/Win.REVENGERAT.C5582863
– Backdoor/Win.REVENGERAT.R634026

MD5

1242c41211464efab297bfa6c374223e

304e264473717fad8f7c6970212eaaa7

42779ab18cf6367e7b91e621646237d1

438817d3938ae5758d94bf2022a44505

5e24e97bbc8354e13ee3ab70da2f3af6

URL

http[:]//amazonhost[.]thedreamsop[.]com/2023/explorer[.]txt

http[:]//qcpanel[.]hackcrack[.]io[:]9561/

https[:]//proxy-cheap[.]blogspot[.]com/