.gif)
지속성 유지, 컴퓨터와 브라우저, 그리고 암호화폐 지갑 정보 유출 등 수행
EXE 파일이 생성되지 않는 정교한 파일리스 기법 사용해 공격
[보안뉴스 김영명 기자] 최근 ‘.chm’ 확장자를 통해 유포되는 에이싱크랫(AsyncRAT) 악성코드가 WSF 스크립트 형태로 변형돼 유포되는 정황이 포착됐다. WSF 파일은 이메일 등에 포함된 URL 링크에서 압축파일 형태(.zip)로 유포되는 것으로 확인된다. 에이싱크랫 악성코드는 올해 2월에도 윈도 도움말 파일 형태로 유포되기도 했다.
[이미지=gettyimagesbank]
안랩 ASEC 분석팀에 따르면, 최근에 에이싱크랫에서 최초 다운로드된 zip 파일을 압축 해제했을 때 .wsf 확장자를 가진 파일이 확인됐다. 해당 파일은 대부분 주석으로 이뤄져 있으며 중간에 script 태그 하나만 존재한다.
해당 스크립트가 동작하게 되면 비주얼 베이직(Visual Basic) 스크립트가 다운로드되고 실행되며, 해당 스크립트는 동일 C&C(명령제어 서버) 주소에서 .jpg 파일, 즉 jpg로 위장한 zip파일을 다운로드한다.
그 이후 해당 jpg 파일의 확장자를 .zip으로 바꾼 후 압축을 해제하며, 내부에 존재하는 Error.vbs 파일을 실행하는 명령어 문자열을 xml 파일로 생성한 뒤 해당 파일을 powershell로 실행한다. 다운로드되는 zip 파일에는 Error.vbs 파일 외에도 다수의 스크립트가 존재한다.
▲에이싱크랫 악성코드에서 다운로드된 zip 파일[자료=안랩 ASEC 분석팀]
파일은 .vbs 파일부터 실행되며, 순차적으로 나머지 파일(bat, ps1)이 모두 실행된다. 각 파일의 역할과 실행 흐름은 다음과 같다. Error.vbs 파일은 관리자 권한 확인 및 Error.bat 실행하며, Error.bat 파일은 UAC 우회 및 Error.ps1을 실행한다. Error.ps1은 Chrome.lnk 파일의 바로가기 파일생성 및 자동실행(레지스트리) 등록 후 실행하며, pwng.bat 파일은 UAC 우회 및 pwng.ps1 파일을 실행한다. 마지막으로 pwng.ps1 파일은 파일리스 공격을 진행한다.
특히 마지막에 실행되는 pwng.ps1 파일은 내부에 포함된 문자열을 .NET 바이너리로 변환 후 로드해 실행한다. 정상 프로세스(aspnet_compiler.exe)를 실행시키고 해당 프로세스에 악성 바이너리를 인젝션해 동작하며, 이 과정에서 세 가지 난독화된 변수가 사용된다. 세 가지 변수는 $jsewy, $jsewty, $KRDESEY 등이다.
▲에이싱크랫 악성코드의 공격 흐름 도식도[자료=안랩 ASEC 분석팀]
먼저, $jsewy 변수는 에이싱크랫 기능을 수행하는 악성코드, 즉 aspnet_compiler.exe에 인젝션 될 파일이다. $jsewty 변수는 인젝션 기능을 수행하는 악성코드이며, $KRDESEY 파일은 인젝션 대상 프로세스를 담당한다. 최종으로 실행되는 악성코드는 정보 유출 및 백도어 기능을 가진 에이싱크랫 악성코드로 확인되며, 주요 행위는 크게 ‘지속성 유지’와 ‘정보 유출’로 나눌 수 있다.
먼저, 지속성 유지에서는 △schtasks를 활용한 예약 작업 등록 △레지스트리 등록 △자기 자신을 실행하고 삭제하는 bat 파일 생성 등의 역할을 한다. 이어 정보 유출에서는 △컴퓨터 정보 : OS 버전, User, Antivirus 제품 목록 등 △브라우저 UserData 정보 : Chrome, Brave-Browser, Edge △암호화폐 지갑 정보 : RabbyWallet, Atomic, Exodus, Ledger_Live, Electrum, Coinomi, Binance, Bitcoin 등의 역할을 하도록 돼 있다.
추가로, 해당 정보를 전송하는 C&C 주소는 파일 내부에 암호화된 문자열로 저장됐으며, 실행 시점에 C&C 접속코드와 실행 시점의 버퍼에 담긴 문자열이 나타난다. 공격자는 해당 C&C의 도메인과 다수의 포트 번호를 조합해 여러 번 연결을 시도하게 된다.
안랩 ASEC 분석팀 관계자는 “공격자는 동일 유형의 악성코드를 다양한 방식으로 유포하며, EXE 파일이 생성되지 않는 정교한 파일리스 기법을 사용했다”고 말했다. 이어 “사용자는 이메일에 첨부된 파일이나 외부 링크를 열어볼 때는 항상 주의해야 하고, 보안 제품을 이용한 모니터링을 통해 공격자로부터의 접근을 파악하고 통제할 필요가 있다”고 당부했다.
[김영명 기자(boan@boannews.com)]
EXE 파일이 생성되지 않는 정교한 파일리스 기법 사용해 공격
[보안뉴스 김영명 기자] 최근 ‘.chm’ 확장자를 통해 유포되는 에이싱크랫(AsyncRAT) 악성코드가 WSF 스크립트 형태로 변형돼 유포되는 정황이 포착됐다. WSF 파일은 이메일 등에 포함된 URL 링크에서 압축파일 형태(.zip)로 유포되는 것으로 확인된다. 에이싱크랫 악성코드는 올해 2월에도 윈도 도움말 파일 형태로 유포되기도 했다.
[이미지=gettyimagesbank]
안랩 ASEC 분석팀에 따르면, 최근에 에이싱크랫에서 최초 다운로드된 zip 파일을 압축 해제했을 때 .wsf 확장자를 가진 파일이 확인됐다. 해당 파일은 대부분 주석으로 이뤄져 있으며 중간에 script 태그 하나만 존재한다.
해당 스크립트가 동작하게 되면 비주얼 베이직(Visual Basic) 스크립트가 다운로드되고 실행되며, 해당 스크립트는 동일 C&C(명령제어 서버) 주소에서 .jpg 파일, 즉 jpg로 위장한 zip파일을 다운로드한다.
그 이후 해당 jpg 파일의 확장자를 .zip으로 바꾼 후 압축을 해제하며, 내부에 존재하는 Error.vbs 파일을 실행하는 명령어 문자열을 xml 파일로 생성한 뒤 해당 파일을 powershell로 실행한다. 다운로드되는 zip 파일에는 Error.vbs 파일 외에도 다수의 스크립트가 존재한다.
▲에이싱크랫 악성코드에서 다운로드된 zip 파일[자료=안랩 ASEC 분석팀]
파일은 .vbs 파일부터 실행되며, 순차적으로 나머지 파일(bat, ps1)이 모두 실행된다. 각 파일의 역할과 실행 흐름은 다음과 같다. Error.vbs 파일은 관리자 권한 확인 및 Error.bat 실행하며, Error.bat 파일은 UAC 우회 및 Error.ps1을 실행한다. Error.ps1은 Chrome.lnk 파일의 바로가기 파일생성 및 자동실행(레지스트리) 등록 후 실행하며, pwng.bat 파일은 UAC 우회 및 pwng.ps1 파일을 실행한다. 마지막으로 pwng.ps1 파일은 파일리스 공격을 진행한다.
특히 마지막에 실행되는 pwng.ps1 파일은 내부에 포함된 문자열을 .NET 바이너리로 변환 후 로드해 실행한다. 정상 프로세스(aspnet_compiler.exe)를 실행시키고 해당 프로세스에 악성 바이너리를 인젝션해 동작하며, 이 과정에서 세 가지 난독화된 변수가 사용된다. 세 가지 변수는 $jsewy, $jsewty, $KRDESEY 등이다.
▲에이싱크랫 악성코드의 공격 흐름 도식도[자료=안랩 ASEC 분석팀]
먼저, $jsewy 변수는 에이싱크랫 기능을 수행하는 악성코드, 즉 aspnet_compiler.exe에 인젝션 될 파일이다. $jsewty 변수는 인젝션 기능을 수행하는 악성코드이며, $KRDESEY 파일은 인젝션 대상 프로세스를 담당한다. 최종으로 실행되는 악성코드는 정보 유출 및 백도어 기능을 가진 에이싱크랫 악성코드로 확인되며, 주요 행위는 크게 ‘지속성 유지’와 ‘정보 유출’로 나눌 수 있다.
먼저, 지속성 유지에서는 △schtasks를 활용한 예약 작업 등록 △레지스트리 등록 △자기 자신을 실행하고 삭제하는 bat 파일 생성 등의 역할을 한다. 이어 정보 유출에서는 △컴퓨터 정보 : OS 버전, User, Antivirus 제품 목록 등 △브라우저 UserData 정보 : Chrome, Brave-Browser, Edge △암호화폐 지갑 정보 : RabbyWallet, Atomic, Exodus, Ledger_Live, Electrum, Coinomi, Binance, Bitcoin 등의 역할을 하도록 돼 있다.
추가로, 해당 정보를 전송하는 C&C 주소는 파일 내부에 암호화된 문자열로 저장됐으며, 실행 시점에 C&C 접속코드와 실행 시점의 버퍼에 담긴 문자열이 나타난다. 공격자는 해당 C&C의 도메인과 다수의 포트 번호를 조합해 여러 번 연결을 시도하게 된다.
안랩 ASEC 분석팀 관계자는 “공격자는 동일 유형의 악성코드를 다양한 방식으로 유포하며, EXE 파일이 생성되지 않는 정교한 파일리스 기법을 사용했다”고 말했다. 이어 “사용자는 이메일에 첨부된 파일이나 외부 링크를 열어볼 때는 항상 주의해야 하고, 보안 제품을 이용한 모니터링을 통해 공격자로부터의 접근을 파악하고 통제할 필요가 있다”고 당부했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
