본 블로그에서는 BMOF(Binary Managed Object File) 유형의 소개와 이를 통해 XMRig 코인 마이너를 유포하는 사례에 대해서 소개한다.

 

BMOF(Binary Managed Object File)

 

BMOF(Binary Managed Object File)는 WMI(Windows Management Instrumentation)와 관련된 정보를 정의하고 관리하는 사용되는 파일인 MOF(Managed Object File)의 컴파일된 형태이다. 파일 자체는 악성이 아니며 “C:\Windows\System32\wbem” 경로에도 기본적으로 수백개의 파일이 존재하지만, JScript, VBScript를 실행할 수 있는 기능이 있기 때문에 악성 코드로 활용 할 수 있다. 그래서 공격자들은 “Permanent Event Subscription”을 함께 사용하여 악성코드의 지속성 유지에 사용된다.

참고로 Permanent Event Subscription는 특정 이벤트나 데이터의 변경에 대한 알림을 받기 위해 사용되는 구조로 대상 이벤트를 정의하고 해당 이벤트가 발생할 때 알림을 수신하는 규칙을 의미한다.

MOF 구성의 예제는 아래와 같다.

 

[그림 1] MOF 구성 예제

 

1번 라인에 “#pragma namespace(“\\\\.\\root\\subscription”)“는 Permanent Event Subscription을 등록하겠다는 의미로 시스템 재부팅 및 WMI Repository 재구성에도 항상 MOF가 포함되어 해당 규칙을 영구적으로 사용할 수 있다.

그리고 이벤트 필터(Event Filter), 컨슈머(Consumer), 바인딩(Binding) 이렇게 3가지로 구성되어 있으며 첫 번째로 3번 라인의 이벤트 필터는 “이벤트를 필터링하는 조건”을 지정한다. 예를 들어, 특정 프로세스가 시작되는 이벤트만을 모니터링하도록 설정할 수 있다.

두 번째 11번 라인의 컨슈머는 “이벤트가 발생했을 때 수행할 동작”을 정의하며 이벤트가 발생하면 특정 프로그램을 실행하도록 설정할 수 있다.

마지막 세 번째 18번 라인의 바인딩은 “이벤트 필터와 컨슈머를 연결” 하여 Subscription을 만든다. 이렇게 함으로써 이벤트 필터에 해당하는 이벤트가 발생했을 때 컨슈머가 실행되도록 설정된다. 이를 토대로 종합해보면 위의 예제는 계산기를 실행 할 때마다 메모장이 실행되는 MOF이다.

 

[그림 2] 예제 MOF 실행 시 프로세스 트리

위의 사진에서 알 수 있듯이 계산기를 실행하면 Windows 내장 프로그램인 “scrcons.exe” 하위 프로세스로 메모장이 실행되는 것을 확인할 수 있다. 하지만, 프로그램이 실행될 때 시스템 권한으로 실행되기 때문에 악성코드가 실행될 경우 치명적일 수 있다.

 

공격 사례

 

최초의 공격 사례는 2010년 이란 원전 핵발전소를 공격했던 스턱스넷(Stuxnet)이 자가 전파할 때 사용했던 방식으로 추정되며 현재도 2017년에 처음 등장한 BondNet이라는 악성코드가 BMOF를 사용하여 XMRig 코인 마이너를 유포 중에 있다. 초기 침투 방식은 Exploit이나 SQL 서버 SA 계정에 대한 무차별 대입 공격을 통해 침입하는 것으로 알려졌다.

침입에 성공하면 악성 BMOF(Binary Managed Object File)를 생성하여 실행하는데 BMOF는 단일 파일로 실행될 수 없기 때문에 Windows 기본 내장 프로그램인 “mofcomp.exe”를 통해 실행한다.

 

[그림 3] 실행 예제

 

 

BMOF가 실행되면 “hosts” 파일 삭제, Guest 계정 생성, 추가 VBE 파일 다운로드, 시스템이 고성능일 경우 RDP 연결 설정 등을 수행하여 XMRig 코인 마이너를 “C:\Windwos\Temp” 하위 경로에 생성하여 실행한다. 프로세스 트리는 아래와 같다.

 

[그림 4] 최종 프로세스 트리

 

 

MDS 제품 탐지

 

안랩 MDS 샌드박스 환경에서는 해당 유형을 “DefenseEvasion/MDP.Delete.M11648” 진단명으로 탐지하고 있다.

 

[그림 5] MDS 제품 탐지 화면

 

 

[파일 진단]
CoinMiner/Win.XMRig.R649143 (2024.05.23.01)
CoinMiner/Win.XMRig.R636370 (2024.02.25.00)
Downloader/FOMB.Agent (2024.02.27.00)
Trojan/BAT.RUNNER.SC203192 (2024.08.20.03)
Trojan/VBS.Agent.SC199715 (2024.06.08.02)
Trojan/Win.Proxy.R661576 (2024.08.20.02)

 

[행위 진단]
DefenseEvasion/MDP.Delete.M11648
Execution/MDP.Event.M12052
Execution/MDP.Event.M12053

MD5

0c8622c4871541e89d0173d5be0db8aa

2407c4ef1588fa67dd5bd7c64f419abd

2513eb59c3db32a2d5efbede6136a75d

561cadadc4aebc67e6186a009aea8943

914857733785f39647f6081c3c5d2048

FQDN

d[.]mymst[.]top

m[.]mymst[.]top

mst[.]my03[.]com

mst2[.]mymst007[.]info