오이스터 백도어, MS 팀즈 설치파일로 위장해 감염된 PC 정보 수집·전송

2024-09-27 17:56
  • 카카오톡
  • 네이버 블로그
  • url
그룹 및 사용자 계정 이름, 계정 권한, IP 주소 등 수집해 공격자에게 전달
MS 팀즈 정상 설치파일로 위장해 다운로드와 실행 유도...악성코드 판별 어려워


[보안뉴스 김영명 기자] 최근 마이크로소프트(Microsoft)의 인스턴트 메신저 겸 인터넷 화상통화 서비스인 팀즈(Teams) 설치 프로그램으로 위장해 유포되는 ‘오이스터(Oyster)’ 백도어가 발견됐다. 공격자는 파일 아이콘과 파일 이름을 정상 설치 파일인 척 위장해 사용자의 다운로드와 실행을 유도한다.


▲오이스터 드로퍼가 파일 드롭하고 실행하는 동작을 설명하는 모습[자료=잉카인터넷 시큐리티대응센터]

잉카인터넷 시큐리티대응센터는 오이스터 백도어의 공격 동향과 특징 등을 설명했다. 위장한 상태로 사용자 컴퓨터에서 실행된 악성코드는 오이스터 백도어와 정상 파일을 드롭하고 실행하며 설치 과정을 보여준다. 그 이면에서는 동시에 감염된 PC 정보 수집과 공격자의 C&C 서버 통신 등의 악성 동작을 수행한다.

마이크로소프트 팀즈 설치 프로그램으로 위장한 악성코드를 실행하면 ‘%temp%’ 경로에 ‘CleanUp30.dll’ 파일과 ‘MSTeamsSetup_c_l.exe’ 파일 등 2개의 파일을 드롭한다. 드롭한 파일 중 ‘CleanUp30.dll’은 ‘rundll32.exe’로 ‘Text’ 함수를 호출해 실질적인 백도어 동작을 수행한다. 이와 함께 내려진 ‘MSTeamsSetup_c_l.exe’ 파일은 마이크로소프트 팀즈 프로그램을 설치하는 정상 파일이다.


▲오이스터 백도어가 작업 스케줄러에 등록된 모습[자료=잉카인터넷 시큐리티대응센터]

오이스터 백도어인 ‘CleanUp30.dll’ 파일은 주기적으로 실행하는 새 작업을 작업 스케줄러에 추가해 지속성을 확보한다. 그리고 오픈소스 기반 라이브러리인 Boost.Best를 사용해 공격자가 운영하는 C&C 서버와 통신하며, 감염된 PC를 식별하려고 사용자 계정 이름과 OS 버전 등의 정보를 수집한 후 전송한다. 이 악성코드는 작업 스케줄러에 ‘ClearMngs’란 이름의 새로운 작업을 추가하고, 스스로를 3시간마다 실행하도록 설정해 지속성을 확보한다.

그 이후 C&C 서버와 통신하는 과정에서 감염된 PC 식별에 사용할 다양한 시스템 정보를 수집해 전송을 시도한다. 이때 수집되는 정보는 그룹 이름, 사용자 계정 이름, 계정 권한, PC 이름, OS 버전, IP 주소 등 다양하다. 공격자가 운영하는 C&C 서버와의 통신에는 웹 소켓 설정과 HTTP 통신 관련 라이브러리인 Boost.Beast를 사용한다.

잉카인터넷 시큐리티대응센터 분석팀은 “오이스터 백도어는 마이크로소프트 팀즈 프로그램의 설치 파일로 위장해 악성코드인지 쉽게 판별하기 어렵다”며 “정상 파일로 위장한 악성코드가 다수 존재하기 때문에 사용자 주의가 필요하다”고 말했다. 이어 “프로그램을 공식 홈페이지가 아닌 다른 사이트에서 내려받는 것은 최대한 지양하해야 한다”며 “또한 백신 프로그램과 운영체제를 항상 최신 버전으로 유지할 것을 권고한다”고 당부했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 프로브디지털

    • 인텔리빅스

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 세연테크

    • 비전정보통신

    • 디비시스

    • 동양유니텍

    • 스피어AX

    • 투윈스컴

    • 아이리스아이디

    • 한결피아이에프

    • 유에치디프로

    • 위트콘

    • 주식회사 에스카

    • 포엠아이텍

    • 세렉스

    • 안랩

    • 이글루코퍼레이션

    • 엔피코어

    • 시만텍

    • 트렐릭스

    • 스텔라사이버

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 미래시그널

    • 케이제이테크

    • 알에프코리아

    • 유투에스알

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에스에스티랩

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 구네보코리아주식회사

    • 티에스아이솔루션

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 넥스트림

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 이오씨

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기