스테가노그래피 기법을 이용해 유포중인 XwormRAT
AhnLab SEcurity intelligence Center(ASEC)는 자체 구축한 “이메일 허니팟 시스템”을 통해 피싱 이메일을 통해 유포되는 악성코드에 대한 정보를 수집하고 있으며, 이를 기반으로 ASEC Blog를 통해 매월 “피싱 이메일 동향 보고서” 및 “인포스틸러 동향 보고서”로 공개하고 있다. 그러던 중 최근 XwormRAT 악성코드가 스테가노그래피 기법을 활용하여 유포되고 있음을 확인하였다.
해당 악성코드는 VBScript 및 JavaScript로 시작하며 정상 코드 내에 악성 스크립트를 삽입함으로써, 사용자가 이를 쉽게 인지하지 못하도록 설계된 것이 특징이다. 최초 실행되는 스크립트(VBScript 또는 JavaScript)는 내부에 포함된 파워쉘 스크립트를 추가 호출하여 최종 악성코드를 다운로드 및 실행하는 구조를 가지고 있다. 해당 악성코드는 과거 ASEC 블로그를 통해 공개된 바 있으며, 현재까지도 변형된 버전이 지속적으로 유포되고 있는 것으로 확인되었다.
[그림 1] 피싱 이메일 본문
[그림 2] 악성 스크립트 일부
내부에 포함된 악성 파워쉘 스크립트는 BASE64 인코딩 데이터와 더미 문자를 포함하고 있으며, 실행 과정에서 Replace() 함수를 이용해 더미 문자를 제거한 후 디코딩되어 실행되도록 구성되어 있다. 최종적으로 해당 파워쉘 스크립트가 실행되면 외부 서버로부터 추가적인 악성코드를 다운로드 및 실행하는 방식으로 동작한다. 추가적으로 다운로드되는 파일에는 .NET 로더가 포함된 JPG 이미지 파일과 최종적으로 실행될 악성코드가 포함되어 있다.
다운로드된 스테가노그래피 기법이 적용된 JPG 이미지 파일은 아래 [그림 3]과 같은 화면으로 확인되며, 사용자는 단순히 이미지가 실행된 것으로 인지할 수 있다. 그러나 해당 이미지 파일로부터 .NET 로더가 은밀히 추출되어 실행된다.
[그림 3] 스테가노그래피 기법이 적용된 이미지 파일
앞서 언급한 블로그에서 설명된 바와 같이, 과거에 유포된 유형에서는 아래 [그림 4] 좌측 이미지와 같이 JPG 파일의 끝에 삽입된 “<<BASE64_START>>”와 “<<BASE64_END>>” 문자열 사이의 인코딩 데이터를 디코딩하여 .NET 로더를 추출하고, 이를 통해 악성코드를 실행하는 방식이 사용되었다. 반면, 현재 유포 중인 변형된 유형은 아래 [그림 4] 우측 이미지 내용 처럼 JPG 이미지 파일 끝에 삽입된 비트맵(Bitmap) 이미지(0x42, 0x4d, 0x46, 0xC0 …생략)를 탐색한 후, 비트맵의 픽셀 데이터에서 R, G, B 값을 추출하여 디코딩하는 방식으로 동작한다. 이후 악성코드 실행 과정은 기존 방식과 동일하게 진행된다.
[그림 4] (좌) 과거 버전의 스크립트 (우) 현재 유포 중인 버전의 스크립트
[그림 5] 최종 실행되는 XwormRAT 설정
본문에서 소개한 스테가노그래피 기법은 XwormRAT 외에도 다양한 악성코드 유포에 활용될 수 있다. 최근에는 변형된 유형으로 지속적으로 유포되고 있어, 사용자는 출처가 불분명한 이메일을 열람할 때 각별한 주의가 필요하다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
