브라우저 업데이트로 위장한 악성코드

최근 ASEC(AhnLab SEcurity intelligence Center)에서는 브라우저 업데이트로 위장한 악성코드가 불특정 다수를 대상으로 유포 중인 정황을 확인하였다. 해당 악성코드는 감염된 웹 사이트를 통해 유포되며 사용자가 감염된 웹 사이트에 접속하게 될 경우 악성 스크립트가 로드 된다. 악성 스크립트는 크롬이나 파이어폭스 등의 브라우저 업데이트 창을 생성하며 사용자가 악성 파일을 직접 다운로드 하도록 유도한다.

[그림 1] 전체 동작 과정

다운로드되는 파일은 EXE, ZIP, APPX 등의 다양한 확장자를 사용하고 있으며 최근에는 VHD 파일이 유포되었다. VHD 파일은 디스크 이미지 파일이며 실행 시, 가상 드라이브 형태로 마운트되어 동작한다. VHD 내부에는 악성 LNK 파일이 존재하며 Powershell 명령어를 통해 FileLess 형태로 악성 행위를 수행한다. 최종적으로, 닷넷으로 제작된 실행 파일이 메모리상에 로드 되어 동작하며 공격자의 C&C 서버와 통신을 수행한다.

 [그림 2] VHD 내부 파일

공격자는 이러한 공격 과정에서 외부 리퍼지토리를 악용하고 있으며 최근 악성코드 유포에 외부 리퍼지토리와 같은 정상적인 서비스를 이용하는 사례가 증가하고 있다.

본 문서에서는 브라우저 업데이트로 위장한 악성코드의 실행 과정에 대해 설명한다.