최근 ASEC(AhnLab SEcurity Intelligence Center)에서는 아마존 서비스를 악용하는 악성 MSC 파일이 유포 중인 것을 확인했다. MSC 확장자는 XML 파일 포맷 구조를 가지고 있는 것이 특징이며 MMC(Microsoft Management Console)에 의해 실행되는 방식이다.

지난 6월 22일 Elastic Security Labs에 의해 공개된 이후부터 유포량이 증가했으며 이번에 확보한 2개의 MSC 파일은 MSC 파일 내부 “<StringTables>” 구간에 페이로드를 삽입해두고 apds.dll에 존재하는 결함을 통해 페이로드를 트리거 하는 방식이며 지난 7월에 AhnLab TIP 회원 전용 콘텐츠(MSC 악성코드를 통해 유포중인 ValleyRAT)로 동일 유형을 공개한바 있다. 

[그림 1] MSC 파일 내부 코드

파일명 : 일본 방위력 증강 및 방위산업 부활 시도(심사용).msc

첫 번째 사례는 실행 시 AWS S3(객체 스토리지 서비스)에서 악성 “msedge.dll”을 포함한 여러 파일들을 “C:\Users\Public”경로에 다운로드하며 정상의 PDF 파일과 “Edge.exe”를 실행한다. 정상 PDF를 실행함으로써 사용자가 “msedge.dll” 악성코드 실행을 알아차리기 어렵도록한다.

[그림 2] (좌) MSC 최종 페이로드 (우) 미끼 PDF 문서

“Edge.exe”가 “msedge.dll”을 로드하여 Logs.txt를 복호화한 후, 쉘코드를 생성한다. 이후 dllhost.exe를 자식 프로세스로 실행하여 복호화된 쉘코드를 인젝션한다.

[그림 3] 자식프로세스 생성

인젝션된 dllhost.exe는 “152.42.226.161:88/ins.tg”에 접속하여 추가 쉘코드를 다운로드하고 실행한다. 마지막으로 “static.sk-inc.online:8443/etc.clientlibs/microsoft/clientlibs/clientlib-mwf-new/resources/fonts”과 통신을 시도하여 추가 파일을 다운로드하려 하지만, 분석 당시 해당 서버가 닫혀 있어 추가 확인은 불가능하였다.

[그림 4] 통신 이력

파일명 : readme(解压密码).msc

두 번째 사례는 첫 번째와 유사하며 AWS S3(객체 스토리지 서비스)에서 여러 파일들을 “C:\Users\Public”경로에 다운로드하여 “oncesvc.exe”를 실행한다. 하지만, 미끼 문서로 추정되는 “readme.docx”는 확보 되지 않았다.

[그림 5] MSC 최종 페이로드

“oncesvc.exe”는 정상적인 .NET 프로그램 구성 요소인 “dfsvc.exe”이며, 실행 시 “oncesvc.exe.config” 파일을 읽어 “hxxps://speedshare.oss-cn-hongkong.aliyuncs.com/af7ffc2a629a1c258336fde8a1f71e0a.json” 파일을 다운로드하고 실행한다.

다운로드된 JSON 파일은 실제로 DLL 파일이며, 내부에 포함된 URL “hxxps://speedshare.oss-cn-hongkong.aliyuncs.com/2472dca8c48ab987e632e66caabf86502bf3.xml”을 AES로 복호화하여 쉘코드를 다운로드한다. 이후 새 스레드를 생성하여 해당 쉘코드를 실행한다.

[그림 6] DLL(json)파일 내부 코드

마지막으로 아마존 클라우드와 통신을 시도하는데 현재는 NULL을 반환하고 있어 어떤 데이터를 반환하는지 알 수 없지만 NULL이 아닐 경우 데이터를 복호화 하여 새 스레드로 생성 및 실행한다.

[그림 6] 새 스레드를 생성하여 실행하는 코드

해당 파일의 출처는 알 수 없으나 피싱 이메일을 통해 유포되었을 것으로 추정되며 출처가 불분명한 이메일을 열람시에는 주의해야한다.

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.