원격 제어 외에도 키로깅, 웹캠, 계정 정보 수집 및 명령 실행 등 다양한 악성기능 포함
파워쉘 명령 등록해 주기적으로 악성코드 설치...자료 공유 사이트 통해 활발히 유포 중
[보안뉴스 김영명 기자] 최근 Orcus RAT 악성코드가 웹하드에서 한글 워드 프로세서의 크랙 버전으로 유포 중인 것이 확인됐다. 이 악성코드를 유포한 공격자는 과거 웹하드에서 마이크로소프트 윈도 정품 인증 툴로 위장해 BitRAT과 XMRig 코인 마이너를 유포했던 공격자와 동일하다.
공격자가 유포 중인 악성코드들은 과거와 유사한 형태이지만, BitRAT 대신 Orcus RAT을 사용한 것이 특징이다. 이외에도 안티 바이러스의 행위 탐지를 우회하기 위해 복잡한 과정을 거친다거나, 작업 스케줄러에 파워쉘 명령을 등록해 주기적으로 최신 악성코드들을 설치하는 등 과거와 비교해 훨씬 정교한 형태로 진화됐다.
▲웹하드에 업로드된 악성코드[자료=안랩 ASEC 분석팀]
웹하드는 토렌트와 함께 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. 등록된 사용자들은 영화나 드라마와 같은 미디어 파일뿐만 아니라 게임, 유틸리티와 같은 프로그램, 성인물을 업로드하며, 다른 사용자들은 일정한 금액을 지불하고 업로드된 파일들을 내려받을 수 있다. 안랩 ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며, 과거 다수의 블로그에서 관련 정보를 공유했다.
웹에서 구하기 쉬운 악성코드들을 이용해 다양한 공격자들에 의해 무작위하게 유포되고 있는 악성코드들과 달리, BitRAT과 XMRig 코인 마이너를 유포하던 공격자는 직접 악성코드를 개발하고 안랩의 V3 제품을 우회하려고 시도하는 등 국내 사용자들을 대상으로 지속적으로 공격을 진행하고 있다. 참고로 BitRAT의 경우 아직 크랙 버전이 확인되지 않고 있는데, 이는 공격자가 악성코드를 직접 개발하기도 하지만 최신 악성코드의 경우에는 구매하기도 하는 것으로 보인다.
Orcus RAT은 2016년 경부터 판매되고 있는 RAT(Remote Access Trojan) 악성코드다. 이를 개발한 Orcus Technologies 사는 원격 제어 도구(Remote Administration Tool)로 소개하며 판매했지만, 원격 제어 기능 외에도 △키로깅 △웹캠 △계정 정보 수집 △명령 실행 등과 같은 다양한 악성 기능들이 포함됐다. 지난 2019년에는 캐나다 당국이 개발사를 급습하기도 한 것으로 알려졌다.
여타 다른 RAT 악성코드들과 같이 Orcus RAT 또한 크랙 버전이 존재하기 때문에 다양한 공격자들이 이를 악용해 공격에 사용하고 있다. 공격자가 악성코드 설치를 유도하는 최초 유포 방식부터 최종적으로 Orcus RAT, 그리고 XMRig 코인 마이너를 설치하는 과정을 거친다.
먼저 유포 방식을 보면, Orcus RAT과 XMRig 코인 마이너를 설치하는 악성코드는 한글 워드 프로세서 2022 버전의 크랙으로 위장해 현재 다수의 웹하드에 업로드돼 있다. 한글 워드 프로세서는 마이크로소프트 오피스의 워드(Word)와 같은 국내 대표적인 문서 작성 프로그램이다.
다운로드한 압축 파일의 압축을 해제하면 ‘install’이라는 폴더와 ‘install.exe’라는 프로그램을 확인할 수 있다. 악성코드는 ‘install.exe’ 파일이며, 이를 실행하면 난독화된 파워쉘 명령을 실행하고 ‘install’ 폴더에 존재하는 실제 인스톨러 프로그램을 실행한다.
▲압축 해제 이후 확인되는 악성코드(install.exe)[자료=안랩 ASEC 분석팀]
인스톨러 단계에 들어서면, 일반적인 압축 프로그램들처럼 ‘7z’도 SFX 포맷을 제공하는데 이를 사용해 압축하면 ‘.zip’이나 ‘.z’와 같은 압축 파일 대신 ‘.exe’라는 실행 파일이 생성된다. 실행하는 것만으로도 제작자가 원하는 경로에 프로그램들을 설치 가능한 점 등 편하게 사용할 수 있기 때문에 주로 설치 프로그램에서 사용된다. 참고로 7z SFX는 단순하게 내부에 포함하고 있는 파일들을 설치하는 기능뿐만 아니라 추가적인 기능을 제공하는데, 이를 이용하면 설치과정에서 특정 명령을 실행할 수 있다.
‘install.exe’, 즉 7z SFX의 설치 스크립트이며, 실제 인스톨러 프로그램을 실행하는 기능 외에도 인코딩된 파워쉘 명령이 포함됐다. 악성코드는 원본 파워쉘 프로그램을 ‘VC_redist.x86.exe’라는 정상 프로그램 이름으로 현재 설치 경로에 복사한 후 이를 이용해 인코딩된 파워쉘 명령을 실행한다. 직접 파워쉘을 실행하는 대신 이러한 행위를 하는 것은 안티바이러스의 행위 탐지를 우회하기 위한 것으로 추정된다.
▲7z SFX 실행 압축 파일의 설치 스크립트 및 복호화된 파워쉘 명령(좌부터)[자료=안랩 ASEC 분석팀]
인코딩된 파워쉘 명령을 복호화한 후, 먼저 윈도 디펜더 안티 바이러스에 의해 탐지되는 것을 우회하기 위해 ‘Add-MpPreference’ 명령으로 특정 프로세스 이름과 경로를 예외 경로에 등록한다. 이는 일반적으로 자주 사용되는 방식이지만, 공격자는 이외에도 윈도 디펜더에서 탐지된 위협들에 대해서도 허용시키는 과정이 존재한다.
그리고 구글 독스에 업로드된 파일들을 다운로드하는데, 공격자는 직접 악성코드를 다운로드해 설치하는 대신, 7z 즉 ‘7z.exe’, ‘7z.dll’를 먼저 설치하고 이후 압축 파일을 다운로드한 후 비밀번호 ‘x’를 주고 압축 해제해 실행하는 방식으로 악성코드를 설치한다. 이 또한 안티 바이러스의 행위 탐지를 우회하기 위한 목적으로 보인다. 최초 설치된 악성코드는 다운로더인데, 조건에 따라 다른 유형의 악성코드를 설치한다.
▲악성코드 감염 흐름도자료=안랩 ASEC 분석팀[]
최초로 설치되는 다운로더 악성코드는 ‘asdmon’ 프로세스의 실행 여부 및 가상머신 환경을 검사해 분석 환경으로 판단될 경우에는 종료한다. 그 이후 안티바이러스가 현재 설치됐는지를 검사하는데, 검사 대상으로는 AhnLab V3(‘v3l4sp’, ‘V3UI’, ‘v3csp’)와 네이버 백신(‘Nsavsvc.npc’) 등이 있다.
그 이후 설치 과정을 진행하기 이전에 감염 시스템의 사용자 이름, IP 주소 등의 기본적인 정보를 수집한 후 Telegram API를 이용해 전송한다.
▲다운로더 악성코드의 Main 함수 및 Telegram API를 이용해 수집한 정보를 전송(좌부터)[자료=안랩 ASEC 분석팀]
여기까지의 과정이 끝나면 이번에는 파워쉘 실행 파일을 ‘C:\ProgramData\KB5019959.exe’ 경로에 복사하고 사용한다. V3 설치 여부에 따라 실행되는 파워쉘 명령은 대부분 유사하지만, V3가 설치돼 있을 경우에는 최종적으로 XMRig 코인 마이너가, 그렇지 않을 경우에는 두 번째 다운로더 악성코드가 설치된다는 점이 다르다.
설치되는 파일들 중 7z는 위와 동일하며 ‘GoogleUpdate.exe’ 파일은 NirSoft 사의 NirCmd라는 툴이다. NirCmd는 다양한 기능들을 제공해 주는 커맨드 라인 도구로서 간단한 명령만으로 스크린샷 캡처, 휴지통 비우기, 장치 제어와 같은 행위를 수행할 수 있다.
▲공격자가 설치하는 NirCmd 및 파워쉘 명령을 실행하는 작업 스케줄러 파일(좌부터)[자료=안랩 ASEC 분석팀]
공격자는 감염 시스템에서 안티 바이러스의 행위 진단을 우회하기 위해 NirCmd를 설치하는 것으로 추정된다. 실제 작업 스케줄러에 등록하는 파워쉘 명령 또한 NirCmd와 복사된 파워쉘 실행 파일로 실행한다. 구글 독스에서 다운로드해 등록하는 작업 스케줄러 파일을 보면 ‘GoogleUpdate.exe’, 즉 NirCmd를 이용해 ‘KB5019959.exe’ 즉 파워쉘 명령을 실행한다. 등록되는 작업은 위에서 다룬 명령들과 유사하게 인코딩된 파워쉘 명령들로서 XMRig 또는 추가적인 다운로더를 설치하는 기능을 담당한다.
XMRig 코인 마이너는 ‘software_reporter_tool.exe’라는 이름으로 설치된 악성코드다. 정상 프로그램인 explorer.exe를 실행하고 XMRig 코인 마이너를 인젝션하기 때문에 실제 마이닝 행위는 탐색기 프로세스에서 동작한다. 참고로 인젝션 대상인 탐색기를 다음과 같은 암호화된 문자열을 인자로 주고 실행하는 것이 특징이다.
▲인코딩된 문자열을 인자로 받는 XMRig 코인 마이너[자료=안랩 ASEC 분석팀]
공격자가 제작한 것으로 추정되는 XMRig는 초기 루틴에서 인자로 전달받은 문자열들을 복호화한다. 각 옵션을 살펴보면 마이닝 풀 주소와 사용자 ID 및 비밀번호를 포함해 다양한 설정들이 존재한다. 먼저 ‘-cinit-stealth-targets’ 옵션으로 △작업 관리자 △프로세스 해커 △프로세스 익스플로러 등과 같은 관리 도구들을 지정하고, 사용자가 이를 실행할 경우 마이닝을 중단해 CPU 점유율이 상승한 것을 확인하기 어렵게 한다. 이외에도 다수의 게임 프로그램들이 포함됐는데, 게임을 플레이할 때는 마이닝이 동작하지 않도록 설정해 사용자들이 눈치채기 어렵게 설정한 것이 특징이다.
‘-cinit-kill-targets’ 옵션에는 안랩 V3 제품의 인스톨러를 지정해 사용자가 V3를 설치할 경우 강제 종료시킴에 따라 악성코드 치료를 방해한다. 이외에도 그리드 유형의 PUP 프로그램들도 강제 종료 대상이 되는 것이 특징이다.
과거 공격자는 V3가 설치된 환경에서는 XMRig를, 그렇지 않은 환경에서는 BitRAT을 설치했다. 하지만 최근에는 BitRAT 대신 Orcus RAT을 설치하고 있는 것이 확인됐다. 이와 함께 추가로는 Telegram 또는 Visual Studio가 설치된 환경에서만 Orcus RAT을 설치한다는 조건도 만족해야 한다.
▲설치된 Orcus RAT의 설정 데이터 및 Orcus RAT의 관리 도구(좌부터)[자료=안랩 ASEC 분석팀]
Orcus RAT은 다른 RAT 악성코드들처럼 감염 시스템을 제어할 수 있는 다양한 기능들을 제공한다. Orcus RAT은 다른 간단한 형태의 RAT 악성코드들과 차이점이 있다. 일반적인 RAT 악성코드들은 위와 같은 빌더와 관리 프로그램이 C&C 서버로 동작하지만, Orcus RAT은 위와 같은 관리 도구에 직접 접속하는 대신 Orcus 서버에 접속한다. 즉, 공격자가 감염 시스템들을 제어하는데 사용하는 관리 도구와 C&C 서버로 동작하는 Orcus 서버가 나눠 있다.
이는 코발트 스트라이크의 팀서버(TeamServer) 구조와 유사하다. Orcus RAT은 Orcus 서버와 통신하며, 공격자가 사용하는 Orcus 관리 도구도 Orcus 서버에 연결해 이를 거쳐 Orcus 서버와 연결된 Orcus RAT들을 제어하는 방식이다.
▲Orcus RAT의 Server[자료=안랩 ASEC 분석팀]
▲Orcus RAT이 제공하는 기본적인 시스템 제어 기능들[자료=안랩 ASEC 분석팀]
Orcus RAT 악성코드는 감염된 시스템을 특정해 ‘Log in’할 경우 시스템 정보 수집, 파일·레지스트리·프로세스 작업, 명령 실행과 같은 기본적인 제어 기능들을 사용할 수 있다. Orcus RAT은 이외에도 △원격 데스크톱 △키로깅 △웹캠 제어 △RDP 제어 기능을 지원한다. RDP(Remote Desktop Protocol) 제어 기능은 RDP Wrapper를 설치하고 ‘OrcusRDP’라는 이름의 계정을 생성하는 방식이며, 이후 공격자는 해당 계정을 이용해 원격으로 접속할 수 있다. Orcus RAT은 기본적으로 C&C 서버와의 통신에 TLS 프로토콜을 이용하기 때문에 패킷은 암호화돼 있다.
대부분의 악성코드는 국내 자료 공유 사이트를 통해 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 내려받은 실행 파일은 설치에 특히 주의해야 하며, 유틸리티와 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드해야 한다. 사용자들은 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트해 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
[김영명 기자(boan@boannews.com)]
파워쉘 명령 등록해 주기적으로 악성코드 설치...자료 공유 사이트 통해 활발히 유포 중
[보안뉴스 김영명 기자] 최근 Orcus RAT 악성코드가 웹하드에서 한글 워드 프로세서의 크랙 버전으로 유포 중인 것이 확인됐다. 이 악성코드를 유포한 공격자는 과거 웹하드에서 마이크로소프트 윈도 정품 인증 툴로 위장해 BitRAT과 XMRig 코인 마이너를 유포했던 공격자와 동일하다.
공격자가 유포 중인 악성코드들은 과거와 유사한 형태이지만, BitRAT 대신 Orcus RAT을 사용한 것이 특징이다. 이외에도 안티 바이러스의 행위 탐지를 우회하기 위해 복잡한 과정을 거친다거나, 작업 스케줄러에 파워쉘 명령을 등록해 주기적으로 최신 악성코드들을 설치하는 등 과거와 비교해 훨씬 정교한 형태로 진화됐다.
▲웹하드에 업로드된 악성코드[자료=안랩 ASEC 분석팀]
웹하드는 토렌트와 함께 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. 등록된 사용자들은 영화나 드라마와 같은 미디어 파일뿐만 아니라 게임, 유틸리티와 같은 프로그램, 성인물을 업로드하며, 다른 사용자들은 일정한 금액을 지불하고 업로드된 파일들을 내려받을 수 있다. 안랩 ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며, 과거 다수의 블로그에서 관련 정보를 공유했다.
웹에서 구하기 쉬운 악성코드들을 이용해 다양한 공격자들에 의해 무작위하게 유포되고 있는 악성코드들과 달리, BitRAT과 XMRig 코인 마이너를 유포하던 공격자는 직접 악성코드를 개발하고 안랩의 V3 제품을 우회하려고 시도하는 등 국내 사용자들을 대상으로 지속적으로 공격을 진행하고 있다. 참고로 BitRAT의 경우 아직 크랙 버전이 확인되지 않고 있는데, 이는 공격자가 악성코드를 직접 개발하기도 하지만 최신 악성코드의 경우에는 구매하기도 하는 것으로 보인다.
Orcus RAT은 2016년 경부터 판매되고 있는 RAT(Remote Access Trojan) 악성코드다. 이를 개발한 Orcus Technologies 사는 원격 제어 도구(Remote Administration Tool)로 소개하며 판매했지만, 원격 제어 기능 외에도 △키로깅 △웹캠 △계정 정보 수집 △명령 실행 등과 같은 다양한 악성 기능들이 포함됐다. 지난 2019년에는 캐나다 당국이 개발사를 급습하기도 한 것으로 알려졌다.
여타 다른 RAT 악성코드들과 같이 Orcus RAT 또한 크랙 버전이 존재하기 때문에 다양한 공격자들이 이를 악용해 공격에 사용하고 있다. 공격자가 악성코드 설치를 유도하는 최초 유포 방식부터 최종적으로 Orcus RAT, 그리고 XMRig 코인 마이너를 설치하는 과정을 거친다.
먼저 유포 방식을 보면, Orcus RAT과 XMRig 코인 마이너를 설치하는 악성코드는 한글 워드 프로세서 2022 버전의 크랙으로 위장해 현재 다수의 웹하드에 업로드돼 있다. 한글 워드 프로세서는 마이크로소프트 오피스의 워드(Word)와 같은 국내 대표적인 문서 작성 프로그램이다.
다운로드한 압축 파일의 압축을 해제하면 ‘install’이라는 폴더와 ‘install.exe’라는 프로그램을 확인할 수 있다. 악성코드는 ‘install.exe’ 파일이며, 이를 실행하면 난독화된 파워쉘 명령을 실행하고 ‘install’ 폴더에 존재하는 실제 인스톨러 프로그램을 실행한다.
▲압축 해제 이후 확인되는 악성코드(install.exe)[자료=안랩 ASEC 분석팀]
인스톨러 단계에 들어서면, 일반적인 압축 프로그램들처럼 ‘7z’도 SFX 포맷을 제공하는데 이를 사용해 압축하면 ‘.zip’이나 ‘.z’와 같은 압축 파일 대신 ‘.exe’라는 실행 파일이 생성된다. 실행하는 것만으로도 제작자가 원하는 경로에 프로그램들을 설치 가능한 점 등 편하게 사용할 수 있기 때문에 주로 설치 프로그램에서 사용된다. 참고로 7z SFX는 단순하게 내부에 포함하고 있는 파일들을 설치하는 기능뿐만 아니라 추가적인 기능을 제공하는데, 이를 이용하면 설치과정에서 특정 명령을 실행할 수 있다.
‘install.exe’, 즉 7z SFX의 설치 스크립트이며, 실제 인스톨러 프로그램을 실행하는 기능 외에도 인코딩된 파워쉘 명령이 포함됐다. 악성코드는 원본 파워쉘 프로그램을 ‘VC_redist.x86.exe’라는 정상 프로그램 이름으로 현재 설치 경로에 복사한 후 이를 이용해 인코딩된 파워쉘 명령을 실행한다. 직접 파워쉘을 실행하는 대신 이러한 행위를 하는 것은 안티바이러스의 행위 탐지를 우회하기 위한 것으로 추정된다.
▲7z SFX 실행 압축 파일의 설치 스크립트 및 복호화된 파워쉘 명령(좌부터)[자료=안랩 ASEC 분석팀]
인코딩된 파워쉘 명령을 복호화한 후, 먼저 윈도 디펜더 안티 바이러스에 의해 탐지되는 것을 우회하기 위해 ‘Add-MpPreference’ 명령으로 특정 프로세스 이름과 경로를 예외 경로에 등록한다. 이는 일반적으로 자주 사용되는 방식이지만, 공격자는 이외에도 윈도 디펜더에서 탐지된 위협들에 대해서도 허용시키는 과정이 존재한다.
그리고 구글 독스에 업로드된 파일들을 다운로드하는데, 공격자는 직접 악성코드를 다운로드해 설치하는 대신, 7z 즉 ‘7z.exe’, ‘7z.dll’를 먼저 설치하고 이후 압축 파일을 다운로드한 후 비밀번호 ‘x’를 주고 압축 해제해 실행하는 방식으로 악성코드를 설치한다. 이 또한 안티 바이러스의 행위 탐지를 우회하기 위한 목적으로 보인다. 최초 설치된 악성코드는 다운로더인데, 조건에 따라 다른 유형의 악성코드를 설치한다.
▲악성코드 감염 흐름도자료=안랩 ASEC 분석팀[]
최초로 설치되는 다운로더 악성코드는 ‘asdmon’ 프로세스의 실행 여부 및 가상머신 환경을 검사해 분석 환경으로 판단될 경우에는 종료한다. 그 이후 안티바이러스가 현재 설치됐는지를 검사하는데, 검사 대상으로는 AhnLab V3(‘v3l4sp’, ‘V3UI’, ‘v3csp’)와 네이버 백신(‘Nsavsvc.npc’) 등이 있다.
그 이후 설치 과정을 진행하기 이전에 감염 시스템의 사용자 이름, IP 주소 등의 기본적인 정보를 수집한 후 Telegram API를 이용해 전송한다.
▲다운로더 악성코드의 Main 함수 및 Telegram API를 이용해 수집한 정보를 전송(좌부터)[자료=안랩 ASEC 분석팀]
여기까지의 과정이 끝나면 이번에는 파워쉘 실행 파일을 ‘C:\ProgramData\KB5019959.exe’ 경로에 복사하고 사용한다. V3 설치 여부에 따라 실행되는 파워쉘 명령은 대부분 유사하지만, V3가 설치돼 있을 경우에는 최종적으로 XMRig 코인 마이너가, 그렇지 않을 경우에는 두 번째 다운로더 악성코드가 설치된다는 점이 다르다.
설치되는 파일들 중 7z는 위와 동일하며 ‘GoogleUpdate.exe’ 파일은 NirSoft 사의 NirCmd라는 툴이다. NirCmd는 다양한 기능들을 제공해 주는 커맨드 라인 도구로서 간단한 명령만으로 스크린샷 캡처, 휴지통 비우기, 장치 제어와 같은 행위를 수행할 수 있다.
▲공격자가 설치하는 NirCmd 및 파워쉘 명령을 실행하는 작업 스케줄러 파일(좌부터)[자료=안랩 ASEC 분석팀]
공격자는 감염 시스템에서 안티 바이러스의 행위 진단을 우회하기 위해 NirCmd를 설치하는 것으로 추정된다. 실제 작업 스케줄러에 등록하는 파워쉘 명령 또한 NirCmd와 복사된 파워쉘 실행 파일로 실행한다. 구글 독스에서 다운로드해 등록하는 작업 스케줄러 파일을 보면 ‘GoogleUpdate.exe’, 즉 NirCmd를 이용해 ‘KB5019959.exe’ 즉 파워쉘 명령을 실행한다. 등록되는 작업은 위에서 다룬 명령들과 유사하게 인코딩된 파워쉘 명령들로서 XMRig 또는 추가적인 다운로더를 설치하는 기능을 담당한다.
XMRig 코인 마이너는 ‘software_reporter_tool.exe’라는 이름으로 설치된 악성코드다. 정상 프로그램인 explorer.exe를 실행하고 XMRig 코인 마이너를 인젝션하기 때문에 실제 마이닝 행위는 탐색기 프로세스에서 동작한다. 참고로 인젝션 대상인 탐색기를 다음과 같은 암호화된 문자열을 인자로 주고 실행하는 것이 특징이다.
▲인코딩된 문자열을 인자로 받는 XMRig 코인 마이너[자료=안랩 ASEC 분석팀]
공격자가 제작한 것으로 추정되는 XMRig는 초기 루틴에서 인자로 전달받은 문자열들을 복호화한다. 각 옵션을 살펴보면 마이닝 풀 주소와 사용자 ID 및 비밀번호를 포함해 다양한 설정들이 존재한다. 먼저 ‘-cinit-stealth-targets’ 옵션으로 △작업 관리자 △프로세스 해커 △프로세스 익스플로러 등과 같은 관리 도구들을 지정하고, 사용자가 이를 실행할 경우 마이닝을 중단해 CPU 점유율이 상승한 것을 확인하기 어렵게 한다. 이외에도 다수의 게임 프로그램들이 포함됐는데, 게임을 플레이할 때는 마이닝이 동작하지 않도록 설정해 사용자들이 눈치채기 어렵게 설정한 것이 특징이다.
‘-cinit-kill-targets’ 옵션에는 안랩 V3 제품의 인스톨러를 지정해 사용자가 V3를 설치할 경우 강제 종료시킴에 따라 악성코드 치료를 방해한다. 이외에도 그리드 유형의 PUP 프로그램들도 강제 종료 대상이 되는 것이 특징이다.
과거 공격자는 V3가 설치된 환경에서는 XMRig를, 그렇지 않은 환경에서는 BitRAT을 설치했다. 하지만 최근에는 BitRAT 대신 Orcus RAT을 설치하고 있는 것이 확인됐다. 이와 함께 추가로는 Telegram 또는 Visual Studio가 설치된 환경에서만 Orcus RAT을 설치한다는 조건도 만족해야 한다.
▲설치된 Orcus RAT의 설정 데이터 및 Orcus RAT의 관리 도구(좌부터)[자료=안랩 ASEC 분석팀]
Orcus RAT은 다른 RAT 악성코드들처럼 감염 시스템을 제어할 수 있는 다양한 기능들을 제공한다. Orcus RAT은 다른 간단한 형태의 RAT 악성코드들과 차이점이 있다. 일반적인 RAT 악성코드들은 위와 같은 빌더와 관리 프로그램이 C&C 서버로 동작하지만, Orcus RAT은 위와 같은 관리 도구에 직접 접속하는 대신 Orcus 서버에 접속한다. 즉, 공격자가 감염 시스템들을 제어하는데 사용하는 관리 도구와 C&C 서버로 동작하는 Orcus 서버가 나눠 있다.
이는 코발트 스트라이크의 팀서버(TeamServer) 구조와 유사하다. Orcus RAT은 Orcus 서버와 통신하며, 공격자가 사용하는 Orcus 관리 도구도 Orcus 서버에 연결해 이를 거쳐 Orcus 서버와 연결된 Orcus RAT들을 제어하는 방식이다.
▲Orcus RAT의 Server[자료=안랩 ASEC 분석팀]
▲Orcus RAT이 제공하는 기본적인 시스템 제어 기능들[자료=안랩 ASEC 분석팀]
Orcus RAT 악성코드는 감염된 시스템을 특정해 ‘Log in’할 경우 시스템 정보 수집, 파일·레지스트리·프로세스 작업, 명령 실행과 같은 기본적인 제어 기능들을 사용할 수 있다. Orcus RAT은 이외에도 △원격 데스크톱 △키로깅 △웹캠 제어 △RDP 제어 기능을 지원한다. RDP(Remote Desktop Protocol) 제어 기능은 RDP Wrapper를 설치하고 ‘OrcusRDP’라는 이름의 계정을 생성하는 방식이며, 이후 공격자는 해당 계정을 이용해 원격으로 접속할 수 있다. Orcus RAT은 기본적으로 C&C 서버와의 통신에 TLS 프로토콜을 이용하기 때문에 패킷은 암호화돼 있다.
대부분의 악성코드는 국내 자료 공유 사이트를 통해 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 내려받은 실행 파일은 설치에 특히 주의해야 하며, 유틸리티와 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드해야 한다. 사용자들은 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트해 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(0).jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
