최근 중요 파일로 위장한 악성코드가 다량으로 발견되고 있는 정황이 포착되어 기업 담당자와 개인 사용자의 주의가 필요합니다. 아래는 ESRC에서 발견한 악성 파일 이름 목록입니다.
관리정산 및 모든자료_xls(3).scr
전체정산표_및_관리자정보.zip
전체정산표 및 관리자정보.xlsx .exe
팬더티비 유출검색.zip
1번 중요![검색서치]필수먼저키세요.exe
2번 검색용(누르셔서bj명입력).exe
기업은행 2020-11-13 입출금 거래내역.xlsx .exe
전체회원정보 및 비밀번호포함_xls(4).scr
거래안내_및_가격표_신청안내_xls3.exe |
[표 1] 악성 파일 이름 목록
전체회원정보 및 비밀번호포함_xls(4).scr 분석
1) 악성코드 설치
시작 프로그램 경로(shell:startup)에 자가 복제합니다. 이후, 자가 복제한 파일에 ‘hastebin[.]com/raw/gepimawuqo’에서 다운로드한 페이로드를 Base 64 디코딩하여 인젝션합니다.
[그림 1] 악성코드 설치
2) 다운로더
이 파일의 주 목적은 추가 파일 다운로드를 수행합니다. 각 페이로드는 Base64인코딩 되어 있어 디코딩하여 생성됩니다.
디코딩전 | 디코딩 후 |
| 
|
[표 2] 디코딩 전/후 비교 화면(Base64/PE)
아래 3개 경로를 통해 추가파일을 다운로드 수행하며 각 기능은 아래와 같습니다.
파일 명 | 다운로드 URL | 생성 파일 기능 |
‘C:\\Windows \\System32\\propsys.dll’ | ‘hxxps://hastebin[.]com/raw/izabisiguc’ | ‘C:\\Users\\Public\\TESTMachine.dll’ 실행 |
‘C:\\Windows \\System32\\xD.exe’ | ‘hxxps://hastebin[.]com/raw/diloqokipo’ | Micro 스토어 관련 데이터 삭제 및 리셋 |
‘C:\\Users\\Public\\TESTMachine.dll’ | ‘hxxps://hastebin[.]com/raw/ehaleruguq’ | 추가파일 ‘https://pastebin.com/raw/F0cUTsgV’ 다운로드 |
[표 3] 추가 파일 다운로드 및 기능
[그림 2] 다운로드
3) 백신 무력화
백신으로부터 탐지를 우회하기 위해 파워쉘을 사용합니다.
[그림 3] 백신 무력화
무력화에 사용되는 경로는 아래와 같습니다.
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -DisableBlockAtFirstSeen $true
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -DisablePrivacyMode $true
Set-MpPreference -SignatureDisableUpdateOnStartupWithoutEngine $true
Set-MpPreference -DisableArchiveScanning $true
Set-MpPreference -DisableIntrusionPreventionSystem $true
Set-MpPreference -DisableScriptScanning $true
Set-MpPreference -SubmitSamplesConsent 2
Set-MpPreference -MAPSReporting 0
Set-MpPreference -HighThreatDefaultAction 6 -Force
Set-MpPreference -ModerateThreatDefaultAction 6
Set-MpPreference -LowThreatDefaultAction 6
Set-MpPreference -SevereThreatDefaultAction 6
Add-MpPreference -ExclusionPath C:\\ |
[표 4] 무력화에 사용되는 경로
‘TESTMachine.dll’ 분석
‘hxxps://pastebin[.]com/raw/F0cUTsgV’로부터 다운받아 생성된 이 파일은 오픈소스 ‘AsnycRat-C-Sharp’(hxxps://github[.]com/NYAN-x-CAT/AsyncRAT-C-Sharp)를 사용하여 제작되었고, 원격제어 기능(이 코드는 화면녹화, 다운로더, 키로깅, 채팅기능 등), 분석 환경 우회, 악성코드 설치를 수행합니다.
1) 분석환경 우회
분석/샌드박스 환경을 우회하기 위해 wmi를 사용하여 vmware/VirtualBox확인, 디버깅 ‘SbieDll.dll’모듈 확인, 디버깅 중인지 확인을 합니다.
[그림 4] 샌드박스 확인 코드
2)악성코드 설치
부팅시 자동실행되도록 작업스케쥴러를 사용하거나 레지스트리를 이용합니다.
[그림 5] 자동 실행 등록 화면
3)원격 제어 기능
주 목적인 원격제어기능을 위해 아래 C&C(‘gmlgml[.]zz.am’)에 접속합니다. 접속에 성공하면 아래 코드를 이용하여 감염된 PC정보를 서버로 전송합니다.
[그림 6] 감염PC 정보 탈취 화면
관련하여 아래는 발견된 악성 파일 C&C와 페이로드를 정리한 표입니다. 특징적으로 ‘hastebin[.]com’을 사용해 AsyncRAT 혹은 njRAT 페이로드를 다운로드 및 C&C(gmlgml[.]zz.am)와 연결하고 있습니다.
| 관리정산 및 모든자료_xls(3).scr | 2번 검색용(누르셔서bj명입력).exe | 거래안내_및_가격표_신청안내_xls3.exe | 전체회원정보 및 비밀번호포함_xls(4).scr | 전체정산표 및 관리자정보.xlsx.exe |
File C&C
(Pastebin) | hxxps://hastebin[.]com/raw/urevinisaj | hxxps://pastebin[.]com/raw/F0cUTsgV | hxxps://pastebin[.]com/raw/F0cUTsgV | 1st hxxps://hastebin[.]com/raw/gepimawuqo
2nd
hxxps://hastebin[.]com/raw/izabisiguc
hxxps://hastebin[.]com/raw/idiloqokipo
hxxps://hastebin[.]com/raw/ehaleruguq
3rd
hxxps://pastebin[.]com/raw/F0cUTsgV | hxxps://pastebin[.]com/raw/S3w3ZsAA |
Payload | AsyncRAT | AsyncRAT | AsyncRAT | AsyncRAT | njRAT |
Payload C&C
| gmlgml[.]zz.am | gmlgml[.]zz.am | gmlgml[.]zz.am | gmlgml[.]zz.am | gmlgml[.]zz.am |
[표 5] 발견 파일/페이로드 C&C
따라서 악성코드 피해를 예방하기 위해서는 출처가 불분명한 곳에서의 URL 클릭 혹은 파일 다운로드를 지양해야 합니다.
현재 알약에서는 ‘Backdoor.MSIL.Crysan’로 진단하고 있습니다.
