악성코드를 정상 프로세스로 위장할 수 있어 주의 필요해
파일 다운로드 및 실행, 레지스트리 수정 및 제거, 화면 캡처 등 다양한 동작 수행
[보안뉴스 김영명 기자] 최근 북아메리카의 제조업을 대상으로 ‘안데 로더(Ande Loader)’ 악성코드가 유포되는 캠페인이 발견됐다. 해당 캠페인에서 사용된 안데 로더는 Base64로 인코딩된 후 VBScript 형태로 유포됐으며, 공격자의 C&C 서버에서 최종 페이로드인 NjRAT을 다운로드 후 실행한다. 그 이후 실행된 NjRAT은 사용자 PC에서 C&C 서버 연결을 시도하고 파일을 다운로드하거나 명령에 따른 추가 동작을 수행한다.
▲안데 로더를 이용해 사용자 PC에서 최종 페이로드 다운로드 및 실행 흐름도[자료=잉카인터넷 시큐리티대응센터]
잉카인터넷 시큐리티대응센터의 분석에 따르면 공격자는 안데 로더를 이용해 사용자 PC에서 최종 페이로드를 다운로드하고 실행한다. 그 흐름을 살펴보면 먼저 VBS 파일 내부의 PE 데이터를 Baset64로 디코딩해 안데 로더를 확보한 후 별도의 드롭 과정 없이 실행한다. 두 번째로 안데 로더는 추가 페이로드를 실행하는 로더로 공격자가 운영하는 C&C 서버에서 바이너리 파일을 다운로드한다. 그 이후 안데 로더에서 다운로드한 파일을 Base64로 디코딩하며, 디코딩한 데이터는 NjRAT 악성코드다. 마지막으로 정상 프로그램인 .NET 프레임워크의 구성요소 중 1개를 선정해 실행하고, 이미지 스위칭을 이용해 PE 이미지를 최종 페이로드로 교체한 후 실행한다.
VBS 파일은 내부에 Base64로 인코딩된 PE 데이터를 포함하고 있으며, 해당 데이터를 디코딩하고 실행하는 역할을 한다. 스크립트는 파워쉘을 이용해 디코딩한 다음, 파라미터 전달과 함께 ‘VAI’ 메서드를 직접 호출해 PE를 실행한다.
▲난독화 해제 및 페이로드 다운로드 코드[자료=잉카인터넷 시큐리티대응센터]
VBS에서 디코딩된 PE는 .NET DLL 형식의 로더 악성코드인 안데 로더로 이미지 스위칭 기법을 이용해 최종 페이로드를 실행하고, VBS 파일을 자동 실행하도록 등록한다. 안데 로더의 VAI 함수가 실행되면 먼저 공격자의 C&C 서버에 접속해 Base64로 인코딩된 최종 페이로드를 다운로드한다. 이때 C&C 서버의 주소는 난독화돼 이전 단계에서 VAI 함수를 호출할 때 파라미터로 전달된다. 안데 로더는 해당 파라미터의 난독화를 해제한 후 서버에서 페이로드를 다운로드 및 디코딩하고 이미지 스위칭을 이용해 최종 페이로드를 실행한다.
최종 페이로드의 다운로드와 디코딩이 완료되면, 인젝션 대상 프로세스인 AppLaunch.exe, aspnet_regbrowsers.exe, cvtres.exe, ilasm.exe, jsc.exe, MSBuild.exe, RegAsm.exe, RegSvcs.exe 등 .NET 프레임워크 구성요소 중에서 이미지 스위칭을 수행할 대상 프로세스를 무작위로 선택한다.
그 이후 ‘CreateProcess’로 대상 프로세스를 생성하고, ‘ZwUnmapViewOfSection’을 이용해 정상 프로세스의 메모리 매핑을 해제한다. 매핑이 해제된 공간에는 ‘WriteProcessMemory’로 교체할 PE 이미지를 삽입한 후, ‘SetThreadContext’를 이용해 스레드에서 실행할 주소를 교체된 이미지의 EP(Entry Point)로 설정한다. 마지막으로 ‘ResumeThread’를 호출해 스레드를 시작한다.
이미지 스위칭이 성공하면 최종 페이로드가 정상 프로세스로 위장해 실행된다. 이미지 스위칭 전·후의 메모리 덤프를 비교한 결과를 봤을 때 이미지 스위칭 대상 프로세스 중 ‘cvtres.exe’로 테스트를 진행했으며, 테스트 프로세스의 메모리가 다른 데이터로 변경된 것을 볼 수 있다.
▲이미지 스위칭 전과 후의 메모리 덤프 비교[자료=잉카인터넷 시큐리티대응센터]
한편, 로더는 VBS 파일을 ‘%AppData%’ 경로에 복사하고 해당 파일을 다른 2개의 방법으로 자동 실행을 등록한다. 첫 번째 방법은 Run 레지스트리에 복사된 VBS 파일의 경로를 등록하는 것이다. 두 번째 방법은 시작프로그램 폴더에 바로가기를 생성하는 것으로 시스템 시작 시 파워쉘을 이용해 복사된 VBS 파일을 실행해 지속성을 획득한다.
C&C 서버에서 다운로드한 최종 페이로드는 NjRAT 악성코드로 먼저 감염된 호스트에서 사용자의 입력을 기록하는 키로깅 동작을 수행한다. 키로깅 데이터는 레지스트리에 ‘[kl]’이라는 값 이름으로 저장되는 것을 확인할 수 있다. 그리고 C&C 서버와 통신해 시스템 정보를 전송하고 명령어를 수신해 추가 동작을 수행한다. 명령어는 문자열을 비교해 구분되며 명령어와 그에 따른 동작으로는 △파일 다운로드 및 실행(명령어 rn, up) △레지스트리 수정 또는 제거(prof, Ret) △화면 캡처(CAP) △키로깅 데이터 전송(kl) △키로깅 레지스트리 제거 및 NjRAT 종료(Un) △C&C 서버 설정(int, Ex, PLG) △C&C 서버 연결 종료(ll) 등이 있다. 단, 분석 시점에서 서버가 응답하지 않아 추가적인 데이터 교환과 동작은 발생하지 않았다.
안데 로더 악성코드는 공격자가 의도와 목적에 맞게 최종 페이로드의 변경이 가능하고, 이미지 스위칭 기법을 이용해 악성코드를 정상 프로세스로 위장할 수 있어 주의가 필요하다. 따라서 출처가 불분명한 파일의 다운로드와 실행을 지양하고, 보안 프로그램과 운영체제를 항상 최신 버전으로 유지하는 것이 필요하다.
[김영명 기자(boan@boannews.com)]
파일 다운로드 및 실행, 레지스트리 수정 및 제거, 화면 캡처 등 다양한 동작 수행
[보안뉴스 김영명 기자] 최근 북아메리카의 제조업을 대상으로 ‘안데 로더(Ande Loader)’ 악성코드가 유포되는 캠페인이 발견됐다. 해당 캠페인에서 사용된 안데 로더는 Base64로 인코딩된 후 VBScript 형태로 유포됐으며, 공격자의 C&C 서버에서 최종 페이로드인 NjRAT을 다운로드 후 실행한다. 그 이후 실행된 NjRAT은 사용자 PC에서 C&C 서버 연결을 시도하고 파일을 다운로드하거나 명령에 따른 추가 동작을 수행한다.
▲안데 로더를 이용해 사용자 PC에서 최종 페이로드 다운로드 및 실행 흐름도[자료=잉카인터넷 시큐리티대응센터]
잉카인터넷 시큐리티대응센터의 분석에 따르면 공격자는 안데 로더를 이용해 사용자 PC에서 최종 페이로드를 다운로드하고 실행한다. 그 흐름을 살펴보면 먼저 VBS 파일 내부의 PE 데이터를 Baset64로 디코딩해 안데 로더를 확보한 후 별도의 드롭 과정 없이 실행한다. 두 번째로 안데 로더는 추가 페이로드를 실행하는 로더로 공격자가 운영하는 C&C 서버에서 바이너리 파일을 다운로드한다. 그 이후 안데 로더에서 다운로드한 파일을 Base64로 디코딩하며, 디코딩한 데이터는 NjRAT 악성코드다. 마지막으로 정상 프로그램인 .NET 프레임워크의 구성요소 중 1개를 선정해 실행하고, 이미지 스위칭을 이용해 PE 이미지를 최종 페이로드로 교체한 후 실행한다.
VBS 파일은 내부에 Base64로 인코딩된 PE 데이터를 포함하고 있으며, 해당 데이터를 디코딩하고 실행하는 역할을 한다. 스크립트는 파워쉘을 이용해 디코딩한 다음, 파라미터 전달과 함께 ‘VAI’ 메서드를 직접 호출해 PE를 실행한다.
▲난독화 해제 및 페이로드 다운로드 코드[자료=잉카인터넷 시큐리티대응센터]
VBS에서 디코딩된 PE는 .NET DLL 형식의 로더 악성코드인 안데 로더로 이미지 스위칭 기법을 이용해 최종 페이로드를 실행하고, VBS 파일을 자동 실행하도록 등록한다. 안데 로더의 VAI 함수가 실행되면 먼저 공격자의 C&C 서버에 접속해 Base64로 인코딩된 최종 페이로드를 다운로드한다. 이때 C&C 서버의 주소는 난독화돼 이전 단계에서 VAI 함수를 호출할 때 파라미터로 전달된다. 안데 로더는 해당 파라미터의 난독화를 해제한 후 서버에서 페이로드를 다운로드 및 디코딩하고 이미지 스위칭을 이용해 최종 페이로드를 실행한다.
최종 페이로드의 다운로드와 디코딩이 완료되면, 인젝션 대상 프로세스인 AppLaunch.exe, aspnet_regbrowsers.exe, cvtres.exe, ilasm.exe, jsc.exe, MSBuild.exe, RegAsm.exe, RegSvcs.exe 등 .NET 프레임워크 구성요소 중에서 이미지 스위칭을 수행할 대상 프로세스를 무작위로 선택한다.
그 이후 ‘CreateProcess’로 대상 프로세스를 생성하고, ‘ZwUnmapViewOfSection’을 이용해 정상 프로세스의 메모리 매핑을 해제한다. 매핑이 해제된 공간에는 ‘WriteProcessMemory’로 교체할 PE 이미지를 삽입한 후, ‘SetThreadContext’를 이용해 스레드에서 실행할 주소를 교체된 이미지의 EP(Entry Point)로 설정한다. 마지막으로 ‘ResumeThread’를 호출해 스레드를 시작한다.
이미지 스위칭이 성공하면 최종 페이로드가 정상 프로세스로 위장해 실행된다. 이미지 스위칭 전·후의 메모리 덤프를 비교한 결과를 봤을 때 이미지 스위칭 대상 프로세스 중 ‘cvtres.exe’로 테스트를 진행했으며, 테스트 프로세스의 메모리가 다른 데이터로 변경된 것을 볼 수 있다.
▲이미지 스위칭 전과 후의 메모리 덤프 비교[자료=잉카인터넷 시큐리티대응센터]
한편, 로더는 VBS 파일을 ‘%AppData%’ 경로에 복사하고 해당 파일을 다른 2개의 방법으로 자동 실행을 등록한다. 첫 번째 방법은 Run 레지스트리에 복사된 VBS 파일의 경로를 등록하는 것이다. 두 번째 방법은 시작프로그램 폴더에 바로가기를 생성하는 것으로 시스템 시작 시 파워쉘을 이용해 복사된 VBS 파일을 실행해 지속성을 획득한다.
C&C 서버에서 다운로드한 최종 페이로드는 NjRAT 악성코드로 먼저 감염된 호스트에서 사용자의 입력을 기록하는 키로깅 동작을 수행한다. 키로깅 데이터는 레지스트리에 ‘[kl]’이라는 값 이름으로 저장되는 것을 확인할 수 있다. 그리고 C&C 서버와 통신해 시스템 정보를 전송하고 명령어를 수신해 추가 동작을 수행한다. 명령어는 문자열을 비교해 구분되며 명령어와 그에 따른 동작으로는 △파일 다운로드 및 실행(명령어 rn, up) △레지스트리 수정 또는 제거(prof, Ret) △화면 캡처(CAP) △키로깅 데이터 전송(kl) △키로깅 레지스트리 제거 및 NjRAT 종료(Un) △C&C 서버 설정(int, Ex, PLG) △C&C 서버 연결 종료(ll) 등이 있다. 단, 분석 시점에서 서버가 응답하지 않아 추가적인 데이터 교환과 동작은 발생하지 않았다.
안데 로더 악성코드는 공격자가 의도와 목적에 맞게 최종 페이로드의 변경이 가능하고, 이미지 스위칭 기법을 이용해 악성코드를 정상 프로세스로 위장할 수 있어 주의가 필요하다. 따라서 출처가 불분명한 파일의 다운로드와 실행을 지양하고, 보안 프로그램과 운영체제를 항상 최신 버전으로 유지하는 것이 필요하다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
