CMD파일로 유포되는 DBatLoader

AhnLab SEcurity intelligence Center(ASEC)은 최근에 CMD 파일을 통해 유포 중인 악성코드를 확인했으며 과거에 피싱 이메일에 EXE파일을 포함한 RAR파일 형태로 유포하던 DBatLoader(ModiLoader)라는 Downloader 악성코드임을 확인했다.

해당 파일은 “UTF-16LE”를 의미하는 “FF, FE”가 포함되어 있어 내부 코드를 텍스트 에디터로 열었을 때 코드의 내용이 정상적으로 출력되지 않는다.

하지만, “FF, FE”를 삭제 하거나 “UTF-8″로 변환하면 올바르게 보이게 된다.

해당 파일은 한글 Windows에서는 실행되지 않고 영문 Windows에서 실행되는데 이는, 두 OS가 cmd.exe에서 기본적으로 사용하는 Code Page가 달라서 발생하는 현상이다.

또한, 코드자체가 난독화 되어 있으며 파일 내부에 BASE64로 인코딩된 EXE파일이 포함되어 있다.

CMD 파일이 실행되면 윈도우 기본 내장 프로그램인 extrac32.exe 파일을 통해 cmd.exe와 certutil.exe 파일을 공용 폴더에 alpha.exe와 kn.exe로 저장한다. 이후 CMD 파일 내부에 포함된 데이터를 디코딩 하여 “.pif” 확장자로 변경한 이후 실행시킨다.

주요 커맨드는 아래와 같다.

certutil -decodehex -F “C:\Users\User10\Desktop\중략\Sample.bat” “C:\\Users\\Public\\Audio.mp4” 9

certutil -decodehex -F “C:\\Users\\Public\\Audio.mp4” “C:\\Users\\Public\\Libraries\\Audio.pif” 12

디코딩 할 때 인자 값 “-decodehex”를 사용하는데 이는 16진수로 인코딩된 데이터를 디코딩 하는 명령어로 CMD 파일에 포함된 데이터는 “—–BEGIN X509 CRL—–“(X.509 인증서 폐기 목록(CRL)의 시작을 나타냄)로 시작하기 때문에 정상적으로 디코딩이 되지 않는다.

하지만, 디코딩 할 때 데이터 타입을 강제로 “9”로 지정하여 디코딩 하는데 “9”는 “—–BEGIN ——” 및 “—–END ——” 형식의 줄 사이에 BASE64를 적용하는 것을 의미한다.

이로 인해 디코딩이 가능해지게 되며 디코딩 된 데이터는 16진수 데이터로 디코딩 되며 이때 타입을 다시 “12”로 지정하여 디코딩 하여 DBatLoader를 생성한다. 참고로, “-decodehex”의 인자 값은 기본적으로 16진수 데이터를 디코딩 한다.

디코딩 된 DBatLoader는 델파이 언어로 컴파일된 EXE 파일이며 내부에 포함된 DLL을 로드하여 외부에서 추가 데이터를 받아와서 복호화 이후 실행한다.

해당 유형을 좀더 조사해본 결과 이전과 동일한 방법으로 피싱 이메일에 EXE파일 대신 CMD파일을 압축해서 유포중에 있다.

피해를 예방하기 위해서는 출처가 불분명한 이메일은 열람 시 주의해야 하며 항상 V3 백신 프로그램 및 운영체제 보안 업데이트를 최신 상태로 유지해야 하며 응용프로그램, 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 또한 최신 버전으로 업데이트하여 취약점에 노출되지 않도록 주의해야 한다.

 

[파일 진단]
Dropper/BAT.ModiLoader (2024.06.06.00)
Trojan/Win.ModiLoader.R652278 (2024.06.06.00)

MD5

8304c3170ad657e61b4352d0e7649b97

b9c3113bc5b603809dac2515dd03e9fa