상세 컨텐츠

본문 제목

파일리스 공격에 사용 되는 USB 악성코드 발견

국내외 보안동향

by 알약(Alyac) 2017. 9. 6. 11:06

본문

USB Malware Implicated in Fileless Attacks


8월 초, 수 많은 정식 기능들을 악용한 스크립트인 JS_POWMET.DE를 사용해 파일이 없는 형태로 타겟 시스템에 설치 되는 백도어(BKDR_ANDROM.ETIN)에 대해 연구를 진행한 적이 있었습니다. 그 때는 어떤 방식을 통하여 타겟 기기를 감염시켰는지 알아낼 수 없었습니다.  아마 사용자가 악성코드를 다운로드 했거나 다른 악성코드가 해당 악성코드를 드랍한 것으로 추측하였습니다. 


그리고 최근, 해당 백도어가 어떤 방식으로 설치되었는지 알아낼 수 있었습니다. 이는 다운로드 된 것도, 드랍된 것도 아니였으며 USB 플래시 디스크를 통해 전달된것이였습니다. 



기술적 세부 사항


이 USB 플래시 디스크는 아래 두 개의 악성 파일들을 포함하고 있었습니다.


- addddddadadaaddaaddaaaadadddddaddadaaaaadaddaa.addddddadadaaddaaddaaaadadddddadda

- IndexerVolumeGuid


%System%\cmd.exe /c start rundll32 {이름이 긴 DLL 파일 },{DLL의 내보내기 기능} 경로로 이동하는 바로가기 파일도 사용될 수 있습니다. 이 바로가기 파일은 이동식 드라이브와 동일한 이름으로 나타날 수 있어, 사용자들이 이를 클릭하도록 속일 수 있습니다. 


이후 이 암호 해독의 결과가 메모리에 로드된 후 실행 됩니다. 복호화 툴의 파일명은 이 인스턴스의 암호화 키로써 사용 됩니다. 감염 된 시스템에 어떠한 파일도 저장 되지 않습니다.


복호화 된 코드는 자동 시작 레지스트리 엔트리를 생성하는 역할을 합니다.

 

<이미지 출처 : http://blog.trendmicro.com/trendlabs-security-intelligence/usb-malware-implicated-fileless-attacks/>


여기서 주목할 만한 점은 두 가지 입니다. 


첫번째로, 설치 된 윈도우 버전에 따라 프로세스가 약간씩 다르다는 것입니다. 윈도우 10에서는 레지스트리 엔트리가 생성되어 시스템에 백도어를 다운로드 및 실행하게 됩니다. 하지만 윈도우 구버전들에서는 두 번째 백도어도 ee{랜덤한문자8개}.exe라는 이름으로 %AppData% 폴더에 드랍 됩니다. 바로가기는 사용자의 시작 폴더에도 생성 되어, 이 두번째 백도어가 자동으로 실행 되도록 합니다.


두 번째는 생성 된 레지스트리 엔트리에 포함 된 URL이 다르다는 것입니다. URL 하나는 윈도우 10용, 하나는 윈도우 구버전들 용입니다. 실제 동작에는 차이가 없지만, 사용자의 OS에 따라 다른 공격을 할 수 있게 됩니다.


이 두 번째 백도어는 이 공격에 사용 된 다른 방법들보다 덜 정교하게 만들어졌으며, 그 이유는 확실하지 않습니다. 


연구원이나 사용자들은 첫 번째 파일리스 백도어보다 이 두 번째 백도어를 훨씬 쉽게 발견할 수 있습니다. 이 명백한 백도어를 제거함으로써, 파일리스 위협이 탐지 되지 않고 더욱 은밀히 남아있을 수 있습니다.





출처 :

http://blog.trendmicro.com/trendlabs-security-intelligence/usb-malware-implicated-fileless-attacks/



관련글 더보기

댓글 영역