MainBot 악성코드 다운로드하는 닷넷 악성코드...국내와 대만에 유포된 것으로 추정
파일명 및 파일 아이콘 PDF 아이콘 이미지로 교묘히 위장
[보안뉴스 김영명 기자] 대한민국을 대상으로 불특정 다수에게 저작권 침해로 위장한 다운로더 악성코드가 유포된 정황이 포착됐다. 이번에 유포된 악성코드는 샌드박스 기반의 보안 솔루션 탐지를 회피하기 위해 가상 환경을 탐지하는 코드가 포함돼 있었으며, 메인봇(MainBot)이라 불리는 악성코드를 다운로드하는 닷넷 악성코드였다.
[이미지=gettyimagesbank]
안랩 ASEC 분석팀(이하 ASEC)에 따르면, 안랩 ASD(AhnLab Smart Defense) 인프라 및 바이러스토탈(VirusTotal)에 수집된 파일 정보를 분석했을 때 해당 다운로더 악성코드는 우리나라와 대만에 유포된 것으로 추정된다. 유포된 파일명은 △저작권 침해 관련 영상 이미지.exe △자세한 영상.exe △불법 복제에 관한 자료-OO 엔터테인먼트.exe △涉及侵犯版權的視頻圖像.exe(저작권 침해와 관련된 동영상 이미지) △제품 오류 동영상, 사진.exe △ReaderPDFWindowFile.exe 등이다.
발견된 악성코드는 저작권 관련 내용의 파일명을 포함 및 파일의 아이콘을 PDF로 위장해 사용자가 해당 악성코드를 PDF 문서로 착각해 내려받도록 했다. C&C 통신 방식을 보면, 이 악성코드는 공격자의 구글 공유 Docs 페이지에서 텔레그램 토큰, 챗 ID, 메인봇 다운로드 주소 등 기본적인 Config 정보를 전달받는다.
▲BASE64로 인코딩된 구글 Docs의 공유 문서 주소[자료=안랩 ASEC 분석팀]
‘BASE64로 인코딩된 구글 Docs의 공유 문서 주소’를 보면 공격자의 공유 문서 페이지를 파싱해 공격자 텔레그램 서버 정보를 획득한 뒤 전달받은 메시지를 토대로 감염 대상 PC에 메인봇을 설치, 실행, 파일명 변경, 종료 명령을 전달할 수 있다. 다만, 분석 당시 메인봇은 확보하지 못했다.
해당 악성코드에는 샌드박스 기반의 악성코드 탐지 솔루션 장비의 탐지 회피를 위해 가상 환경을 검사하는 6개 조건이 존재했다. 해당 조건은 △동작 환경에 Anti-Virus가 0개인지 확인 △‘SELECT FROM WmiMonitorBasicDisplayParams’ WMI 쿼리를 수행해 해당 컴퓨터의 모든 모니터에 대한 기본 디스플레이 파라미터 정보가 0개인지 확인(모니터의 물리적 연결 여부 확인용도) △Win32_Keyboard WMI 클래스를 사용해 USB 키보드 정보가 존재하는지 확인(키보드의 물리적인 USB 연결 여부 확인 용도) △램이 4GB보다 작은지 확인 △디스크 용량이 128GB보다 작은지 확인 △HKLM\SOFTWARE\WOW6432Node\Clients\StartMenuInternet의 하위 키가 없거나 ‘IEXPLORE.EXE’ 혹은 ‘Microsoft Edge’ 1개만 존재하는지 확인 등이다.
▲5초마다 -SKIP VM 명령 검사 코드[자료=안랩 ASEC 분석팀]
해당 6개의 조건 중 3개 이상이 부합할 경우 가상 환경으로 인지하고 악성코드는 공격자 텔레그램 서버에 ‘DETECT VM, SANBOX : 탐지된 조건 개수-To continue please write the content: [HWID]-SKIP VM. We are still active until victime shuts down!’과 같은 문자열을 전달하고 호스트에서 Sleep 함수를 5초마다 호출해 공격자 서버로부터 서버에서 [HWID]-SKIP VM 명령을 전달받을 때까지 무기한 대기를 수행한다.
그 이후 [HWID]-SKIP VM 문자열을 텔레그램 서버를 통해 전달받으면 해당 PC에 메인봇을 다운로드해 설치한다. 안랩 MDS는 이러한 유형의 악성코드를 ‘Execution/MDP.Event.M11291’ 진단명으로 샌드박스 환경에서 탐지하고 있다.
▲안랩 MDS를 이용한 악성코드 탐지 화면[자료=안랩 ASEC 분석팀]
ASEC 관계자는 “최근 공격자들은 보안 제품 탐지 회피를 위해 Anti-VM 기법을 악성코드에 추가하는 것뿐만 아니라 이번 유형과 같이 텔레그램, 구글 Docs 등의 정상적인 서버를 이용해 명령 제어를 수행하는 사례가 많아지고 있다”고 말했다. 이어 “정상적인 서버와 통신하며 명령 행위를 수행하기 때문에 네트워크 솔루션에서도 탐지가 어렵기 때문에 보안 담당자는 네트워크 솔루션, APT 솔루션 이외에도 EDR 제품을 통해 엔드포인트에서 발생하는 비정상적인 행위에 대해 모니터링해 기업의 보안 사고를 예방해야 한다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
파일명 및 파일 아이콘 PDF 아이콘 이미지로 교묘히 위장
[보안뉴스 김영명 기자] 대한민국을 대상으로 불특정 다수에게 저작권 침해로 위장한 다운로더 악성코드가 유포된 정황이 포착됐다. 이번에 유포된 악성코드는 샌드박스 기반의 보안 솔루션 탐지를 회피하기 위해 가상 환경을 탐지하는 코드가 포함돼 있었으며, 메인봇(MainBot)이라 불리는 악성코드를 다운로드하는 닷넷 악성코드였다.
[이미지=gettyimagesbank]
안랩 ASEC 분석팀(이하 ASEC)에 따르면, 안랩 ASD(AhnLab Smart Defense) 인프라 및 바이러스토탈(VirusTotal)에 수집된 파일 정보를 분석했을 때 해당 다운로더 악성코드는 우리나라와 대만에 유포된 것으로 추정된다. 유포된 파일명은 △저작권 침해 관련 영상 이미지.exe △자세한 영상.exe △불법 복제에 관한 자료-OO 엔터테인먼트.exe △涉及侵犯版權的視頻圖像.exe(저작권 침해와 관련된 동영상 이미지) △제품 오류 동영상, 사진.exe △ReaderPDFWindowFile.exe 등이다.
발견된 악성코드는 저작권 관련 내용의 파일명을 포함 및 파일의 아이콘을 PDF로 위장해 사용자가 해당 악성코드를 PDF 문서로 착각해 내려받도록 했다. C&C 통신 방식을 보면, 이 악성코드는 공격자의 구글 공유 Docs 페이지에서 텔레그램 토큰, 챗 ID, 메인봇 다운로드 주소 등 기본적인 Config 정보를 전달받는다.
▲BASE64로 인코딩된 구글 Docs의 공유 문서 주소[자료=안랩 ASEC 분석팀]
‘BASE64로 인코딩된 구글 Docs의 공유 문서 주소’를 보면 공격자의 공유 문서 페이지를 파싱해 공격자 텔레그램 서버 정보를 획득한 뒤 전달받은 메시지를 토대로 감염 대상 PC에 메인봇을 설치, 실행, 파일명 변경, 종료 명령을 전달할 수 있다. 다만, 분석 당시 메인봇은 확보하지 못했다.
해당 악성코드에는 샌드박스 기반의 악성코드 탐지 솔루션 장비의 탐지 회피를 위해 가상 환경을 검사하는 6개 조건이 존재했다. 해당 조건은 △동작 환경에 Anti-Virus가 0개인지 확인 △‘SELECT FROM WmiMonitorBasicDisplayParams’ WMI 쿼리를 수행해 해당 컴퓨터의 모든 모니터에 대한 기본 디스플레이 파라미터 정보가 0개인지 확인(모니터의 물리적 연결 여부 확인용도) △Win32_Keyboard WMI 클래스를 사용해 USB 키보드 정보가 존재하는지 확인(키보드의 물리적인 USB 연결 여부 확인 용도) △램이 4GB보다 작은지 확인 △디스크 용량이 128GB보다 작은지 확인 △HKLM\SOFTWARE\WOW6432Node\Clients\StartMenuInternet의 하위 키가 없거나 ‘IEXPLORE.EXE’ 혹은 ‘Microsoft Edge’ 1개만 존재하는지 확인 등이다.
▲5초마다 -SKIP VM 명령 검사 코드[자료=안랩 ASEC 분석팀]
해당 6개의 조건 중 3개 이상이 부합할 경우 가상 환경으로 인지하고 악성코드는 공격자 텔레그램 서버에 ‘DETECT VM, SANBOX : 탐지된 조건 개수-To continue please write the content: [HWID]-SKIP VM. We are still active until victime shuts down!’과 같은 문자열을 전달하고 호스트에서 Sleep 함수를 5초마다 호출해 공격자 서버로부터 서버에서 [HWID]-SKIP VM 명령을 전달받을 때까지 무기한 대기를 수행한다.
그 이후 [HWID]-SKIP VM 문자열을 텔레그램 서버를 통해 전달받으면 해당 PC에 메인봇을 다운로드해 설치한다. 안랩 MDS는 이러한 유형의 악성코드를 ‘Execution/MDP.Event.M11291’ 진단명으로 샌드박스 환경에서 탐지하고 있다.
▲안랩 MDS를 이용한 악성코드 탐지 화면[자료=안랩 ASEC 분석팀]
ASEC 관계자는 “최근 공격자들은 보안 제품 탐지 회피를 위해 Anti-VM 기법을 악성코드에 추가하는 것뿐만 아니라 이번 유형과 같이 텔레그램, 구글 Docs 등의 정상적인 서버를 이용해 명령 제어를 수행하는 사례가 많아지고 있다”고 말했다. 이어 “정상적인 서버와 통신하며 명령 행위를 수행하기 때문에 네트워크 솔루션에서도 탐지가 어렵기 때문에 보안 담당자는 네트워크 솔루션, APT 솔루션 이외에도 EDR 제품을 통해 엔드포인트에서 발생하는 비정상적인 행위에 대해 모니터링해 기업의 보안 사고를 예방해야 한다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)