EndPoint 악성코드

그룹웨어 설치 프로그램으로 위장한 Rhadamanthys 악성코드 (MDS 제품 탐지)

  • 3월 28 2024
그룹웨어 설치 프로그램으로 위장한 Rhadamanthys 악성코드 (MDS 제품 탐지)

최근 AhnLab SEcurity intelligence Center(ASEC) 에서는 그룹웨어 설치 프로그램으로 위장한 Rhadamanthys 악성코드 유포를 확인했다. 공격자는 실제 사이트와 유사하게 만든 가짜 사이트를 만들고, 검색 엔진의 광고 기능을 이용해 사용자들에게 노출시켜 유포했다. 검색 엔진의 광고 기능을 이용한 악성코드 유포는 최근 ASEC 블로그  ‘“아니, 여기가 아니었어?” 구글 광고 추적 기능을 악용한 악성코드 유포’ [1] 에서 다룬 바 있다.

해당 악성코드는 보안 솔루션 제품으로부터 탐지되는 것을 회피하기 위해 indirect syscall 기법을 사용한다. Indirect syscall 을 통해 백신 및 분석 프로그램에서 사용하는 사용자 모드 후킹을 우회할 수 있다.

그림 1. 호출 흐름 비교

일반적으로 실행 파일에서 ReadFile() API 를 호출 시 내부적으로는 kernel32.dll , kernelbase.dll, ntdll.dll 모듈이 순서대로 호출되어 필요한 인자와 NtReadFile의 system call 번호인 0x6을 레지스터에 저장하여 syscall을 호출한다.

위와 같이 일반적인 native API 호출 과정에서는 stub code와 system call 번호를 ntdll에서 레지스터에 저장한 후 syscall을 호출한다. 반면, Rhadamanthys 악성코드에서 사용한 indirect syscall 기법에서는 stub code와 system call 번호를 직접 레지스터에 저장한 후 ntdll.dll 영역의 syscall 명령어가 있는 주소로 분기하여 ntdll 메모리 영역에서 syscall이 호출되도록 한다.

Rhadamanthys 악성코드는 윈도우 정상 파일인 c:\windows\system32\ntdll.dll을 직접 읽어 후킹되지 않은 상태의 ntdll.dll을 메모리에 매핑한다. 탐지를 회피하기 위해 메모리에 직접 매핑한 ntdll.dll을 이용해 필요한 stub code 와 system call 번호를 직접 레지스터에 저장하고 로드된 실제 ntdll 모듈의 syscall 주소로 분기한다.

해당 악성코드는 위의 방법으로 탐지를 회피하고, 윈도우 시스템 정상 프로그램인 %system32% 경로의 dialer.exe 에 인젝션을 수행한다. 유사한 형태로 유포된 악성코드를 통해 확인한 인젝션 대상 프로세스는 아래와 같다.

  • %system32%\dialer.exe
  • %system32%\openwith.exe
  • %system32%\dllhost.exe
  • %system32%\rundll32.exe

인젝션된 프로세스는 “C:\Program Files\Windows Media Player\” 경로에 있는 정상 프로그램에 다시 인젝션하여 실행한다. 확인된 인젝션 대상 프로그램 이름은 아래와 같다.

인젝션 대상 프로그램
● C:\Program Files\Windows Media Player\wmpshare.exe
● C:\Program Files\Windows Media Player\wmpnscfg.exe

Rhadamanthys 악성코드는 최종적으로 PC에서 사용자의 정보를 탈취하는 인포스틸러 행위를 수행한다.

[MDS 제품 탐지]

안랩 MDS는 샌드박스 환경에서는 이러한 유형의 악성코드를 “Injection/MDP.Event.M10231” 진단명으로 탐지하고 있다.

공격자는 피싱 메일이나 정상 사이트로 위장한 가짜 사이트를 통해 악성코드를 유포하기도 한다. 이처럼 악성코드가 유포된 경우 사용자는 의심 없이 악성코드를 실행하기 쉽고, 특히 인포스틸러 악성코드의 경우 사용자가 감염 사실을 인지하기도 어렵다.

샌드박스 기반 파일 분석 솔루션인 Ahnlab MDS는 가상 환경에서 파일을 실행한 후 발생한 행위를 분석한다. 알려진 악성코드들뿐만 아니라 APT 공격에서 공격자가 직접 제작한 알려지지 않은 악성코드들도 결국 실행 과정에서 정보 탈취 행위를 수행하게 된다. AhnLab MDS는 이러한 정보 탈취 행위들을 탐지하여 관리자가 공격을 인지하고 공격자의 다음 공격을 사전에 차단할 수 있다.

[파일 진단]
Trojan/Win.Malware-gen.R637934 (2024.03.08.00)

[행위 진단]
Injection/MDP.Event.M10231

MD5

9437c89a5f9a51a4ff6d6076083fa6c9
URL

http[:]//147[.]124[.]220[.]237[:]8123/

AhnLab MDS의 샌드박스 기반 동적 분석 기능에 대해 더 알고 싶으시면, 아래 배너를 클릭하여 확인해 보세요.
Previous Post

Next Post