URL 파일로 유포되는 Xworm 악성 코드(EDR 제품 탐지)

악성 코드 유포 단계에서 가장 대표적으로 사용되는 피싱 기법은 예전부터 지속적으로 사용됐다. 피싱 메일에서는 주로 청구서나 견적서, 세금 계산서, 소환장 등을 위장한 파일을 첨부해 악성 코드를 실행하도록 유도한다. 최근 ASEC(AhnLab SEcurity intelligence Center) 에서 확인한 경우는 PayPal을 사칭해 계산서로 위장한 파일을 실행하도록 유도한다.

그림 1. PayPal 사칭한 피싱 메일

다운로드한 압축 파일에는 Payment_Information_842.url 파일이 들어있다. url 확장자는 인터넷 바로가기 파일로 url 확장자 파일은 웹 사이트에 접속하거나 공유 폴더에 접근해 추가 파일을 다운로드 할 수 있다.

그림 2. 다운로드한 압축 파일

유포된 url 파일은 file scheme을 이용해 네트워크 공유 폴더로 접근 후 “Payment_Information.zip” 파일을 다운로드 받는다.

 

그림 3. URL 파일 본문
(그림 3에서 접근하는 IP 주소는 공격자의 서버와 유사하게 구축한 안랩 분석 시스템 환경이다.)

안랩 EDR 제품에서는 악성 코드의 유포 단계에서 사용하는 행위가 기록에 남아 악성 코드의 침투 경로를 파악할 수 있다. 아래 그림은 네트워크 공유 폴더를 통해 악성 코드를 다운로드하는 행위를 탐지한 모습이다. 이처럼 EDR에 기록된 로그를 통해 확인되지 않은 호스트의 네트워크 공유 폴더에 접근하는 것을 탐지해 침투 경로 인지가 가능하다.

그림 4. 공유 폴더 연결 – EDR 탐지 다이어그램
(그림 4에서 접근하는 IP 주소는 공격자의 서버와 유사하게 구축한 안랩 분석 시스템 환경이다.)

네트워크 공유 폴더로부터 다운로드한 zip 파일 내부에는 “PayPal_Product.exe” 파일 명의 실행 파일이 있다. 압축 해제된 파일 실행 시 “RegAsm.exe” 을 대상으로 프로세스 할로잉을 수행한다.

그림 5. 프로세스 할로잉 – EDR 탐지 다이어그램

“RegAsm.exe” 프로세스에 삽입된 악성 코드는 Xworm으로 알려진 악성 코드이며, 자기 복제와 자동 실행 등록 행위를 수행한다. “C:\Users\Public\microsoft_version_0124.exe” 경로로 자기 복제하고, 레지스트리에 해당 경로를 등록해 자동으로 실행되도록 설정한다.

그림 6. 악성 코드 복제 및 자동 실행 등록 경로

아래 그림은 자기 복제 및 자동 실행 등록 행위를 EDR을 통해 탐지한 모습이다.

그림 7. 자가 복제, 자동 실행 등록 – EDR 탐지 다이어그램

Xworm 의 내부 악성 코드를 확인해 C&C 서버와 통신이 가능하며, 명령을 받아 파일 다운로드, PC 강제 종료, 명령 실행, DDoS, 키로깅, 화면 캡처 등의 다양한 기능을 수행할 수 있다. 내부에 복호화 과정을 거치면 Xworm 정보 및 접속 호스트 주소, 포트 정보를 확인할 수 있다.

 

그림 8. 악성 코드 기능 분석

그림 9. Xworm 정보

AhnLab EDR을 통해 C2 통신에 관한 내용 또한 확인 가능하다. 아래 그림은 Xworm이 인젝션된 RegAsm.exe 파일이 공격자 사이트의 주소인 hxxp://continentalgames[.]top, hxxps://newsferinfo[.]com 에 네트워크 접속한 행위가 탐지된 화면이다.

그림 10. C&C 서버 통신 – EDR 탐지

AhnLab EDR을 통해 악성 코드의 악성 행위 뿐만 아니라 악성 코드가 유포되는 과정을 알 수 있다. 이번 글에서 다룬 악성 코드는 네트워크 공유 폴더로 유포되는 행위를 수행하는데, EDR 로그를 통해 악성 코드 유포 과정을 확인할 수 있었다. 관리자는 이를 통해 감염 원인과 침투 경로를 파악할 수 있으며 공격에 노출된 이후에도 공격 대상이 된 시스템에서 공격자의 증적 자료로서 침해 사고 조사에 필요한 데이터를 확인할 수 있다.

행위 진단
Injection/EDR.Hollowing.M11934
Connection/EDR.T1048.003.M11903

파일 진단
Trojan/Win.Injection.C5650961 (2024.07.02.00)
Downloader/URL.Generic (2024.07.02.00)

MD5

36121a06f7d94bd1c18f5ff4618d5f29

bfe4e6c774018b6e85d33fd381427d2f

URL

http[:]//continentalgames[.]top/

https[:]//newsferinfo[.]com/

IP

62[.]173[.]141[.]99