포스팅 내용

국내외 보안동향

스테가노그라피, AtomBombing 기술을 사용해 Ursnif를 배포하는 캠페인 발견

Ursnif: Long Live the Steganography and AtomBombing!


이탈리아를 공격하며 AtomBombing이라는 이색적인 프로세스 인젝션 기술을 사용하는 새로운 Ursnif 공격이 발견 되었습니다.


Ursnif는 가장 활동적인 뱅킹 트로이목마들 중 하나입니다. 이는 GOZI로도 알려져 있습니다. 


지난 2014년, 오리지널 GOZI-ISFB 뱅킹 트로이목마의 소스코드가 유출된 바 있으며 이후 몇 년 동안 GOZI의 기능을 개선시켜 왔습니다. Ursnif는 VBA 매크로를 내장해 무기화 된 오피스 문서를 사용하도록 진화 되었습니다. 이 매크로는 드롭퍼로써 동작하며, 진짜 페이로드를 숨기고 백신 탐지를 피하기 위해 매우 난독화 된 다단계 Powershell 스크립트를 사용합니다.


게다가, 이 변종은 이색적인 프로세스 인젝션 기술인 AtomBombing을 사용합니다. 이 기술은 더욱 은밀한 방법으로 Explorer.exe에 인젝션을 위해 윈도우의 AtomTable을 악용합니다. 이 방법은 타겟 프로세스에 어떤 원격 쓰레드도 생성 되지 않기 때문입니다.


기술 분석


초기 감염 벡터는 손상 된 엑셀 파일로, 가짜 문서의 내용을 제대로 보기 위해 사용자들에게 매크로를 허용하라고 요구합니다.


<이미지 출처 : https://securityaffairs.co/wordpress/80777/malware/ursnif-steganography-atombombing.html>


매크로 코드를 추출하면 악성 코드가 나타나고, 첫 번째 인스턴스에서 피해자가 Application.International MS Office 속성을 통해 국가를 확인합니다. 확인 결과 이탈리아(코드 39)로 확인 되면, 매크로는 Shell 기능을 사용해 다음 명령을 실행합니다.


이후 악성코드는 내장 된 두 개의 URL 중 하나에서 이미지를 다운로드하려 시도합니다. 합법적으로 보이는 이 이미지는 사실 새로운 Powershell 커맨드를 포함하고 있습니다. 이 무기화 된 이미지는 Invoke-PSImage 스크립트를 사용하여 제작 되었으며 PNG 파일의 픽셀에 스크립트를 내장시켰습니다.


<마리오 이미지에 숨겨진 Powershell 스크립트>

<이미지 출처 : https://securityaffairs.co/wordpress/80777/malware/ursnif-steganography-atombombing.html>


이 스크립트는 피해자의 나라를 또 다시 확인 후, 이탈리아로 확인 되면 http://fillialopago[.]info/~DF2F63, store it in %TEMP%\Twain001.exe에서 EXE 페이로드를 다운로드 후 실행합니다.


이 파일은 대부분의 바이러스 백신에서 탐지 되지 않았습니다.


탐지율은 낮지만, 이 실행 파일은 Explorer.exe 프로세스에 인젝션 될 악성 바이너리를 다운로드 하기 위해 서버에 연결해야 하는 고전적인 Ursnif 로더입니다.


Ursnif는 Regkey에 저장 된 Powershell 스크립트를 이용하여 최종 페이로드를 포함한 악성 바이트 배열을 위한 충분한 공간을 할당하고 QueueUserAPC와 SleepEx를 통해 정식 프로세스의 스레드로써 시작할 수 있습니다.


Ursnif의 전체 공격 흐름은 아래와 같습니다.


<이미지 출처 : https://securityaffairs.co/wordpress/80777/malware/ursnif-steganography-atombombing.html>


마지막으로 스크립트의 바이트 배열에 포함 된 데이터를 통해, Ursnif가 explorer.exe 프로세스에 주입하는 것과 일치하는 DLL을 추출해낼 수 있게 됩니다.


Ursnif는 예전보다 훨씬 활동적이며, 광범위하게 확산 되고 있습니다. C&C 서버는 접근이 불가능하지만, 제작자들이 분석 및 추적을 피하기 위해 지속적으로 C&C를 변경하고 있기 때문에 설치 된 악성코드는 아직까지 살아있는 것으로 보입니다.


알약에서는 해당 악성코드에 대해 Spyware.Ursnif로 탐지중에 있습니다. 



출처 : 

https://securityaffairs.co/wordpress/80777/malware/ursnif-steganography-atombombing.html

https://blog.yoroi.company/research/ursnif-long-live-the-steganography/



티스토리 방명록 작성
name password homepage