Ursnif: Long Live the Steganography and AtomBombing!
이탈리아를 공격하며 AtomBombing이라는 이색적인 프로세스 인젝션 기술을 사용하는 새로운 Ursnif 공격이 발견 되었습니다.
Ursnif는 가장 활동적인 뱅킹 트로이목마들 중 하나입니다. 이는 GOZI로도 알려져 있습니다.
지난 2014년, 오리지널 GOZI-ISFB 뱅킹 트로이목마의 소스코드가 유출된 바 있으며 이후 몇 년 동안 GOZI의 기능을 개선시켜 왔습니다. Ursnif는 VBA 매크로를 내장해 무기화 된 오피스 문서를 사용하도록 진화 되었습니다. 이 매크로는 드롭퍼로써 동작하며, 진짜 페이로드를 숨기고 백신 탐지를 피하기 위해 매우 난독화 된 다단계 Powershell 스크립트를 사용합니다.
게다가, 이 변종은 이색적인 프로세스 인젝션 기술인 AtomBombing을 사용합니다. 이 기술은 더욱 은밀한 방법으로 Explorer.exe에 인젝션을 위해 윈도우의 AtomTable을 악용합니다. 이 방법은 타겟 프로세스에 어떤 원격 쓰레드도 생성 되지 않기 때문입니다.
기술 분석
초기 감염 벡터는 손상 된 엑셀 파일로, 가짜 문서의 내용을 제대로 보기 위해 사용자들에게 매크로를 허용하라고 요구합니다.
<이미지 출처 : https://securityaffairs.co/wordpress/80777/malware/ursnif-steganography-atombombing.html>
매크로 코드를 추출하면 악성 코드가 나타나고, 첫 번째 인스턴스에서 피해자가 Application.International MS Office 속성을 통해 국가를 확인합니다. 확인 결과 이탈리아(코드 39)로 확인 되면, 매크로는 Shell 기능을 사용해 다음 명령을 실행합니다.
이후 악성코드는 내장 된 두 개의 URL 중 하나에서 이미지를 다운로드하려 시도합니다. 합법적으로 보이는 이 이미지는 사실 새로운 Powershell 커맨드를 포함하고 있습니다. 이 무기화 된 이미지는 Invoke-PSImage 스크립트를 사용하여 제작 되었으며 PNG 파일의 픽셀에 스크립트를 내장시켰습니다.
<마리오 이미지에 숨겨진 Powershell 스크립트>
<이미지 출처 : https://securityaffairs.co/wordpress/80777/malware/ursnif-steganography-atombombing.html>
이 스크립트는 피해자의 나라를 또 다시 확인 후, 이탈리아로 확인 되면 http://fillialopago[.]info/~DF2F63, store it in %TEMP%\Twain001.exe에서 EXE 페이로드를 다운로드 후 실행합니다.
이 파일은 대부분의 바이러스 백신에서 탐지 되지 않았습니다.
탐지율은 낮지만, 이 실행 파일은 Explorer.exe 프로세스에 인젝션 될 악성 바이너리를 다운로드 하기 위해 서버에 연결해야 하는 고전적인 Ursnif 로더입니다.
Ursnif는 Regkey에 저장 된 Powershell 스크립트를 이용하여 최종 페이로드를 포함한 악성 바이트 배열을 위한 충분한 공간을 할당하고 QueueUserAPC와 SleepEx를 통해 정식 프로세스의 스레드로써 시작할 수 있습니다.
Ursnif의 전체 공격 흐름은 아래와 같습니다.
<이미지 출처 : https://securityaffairs.co/wordpress/80777/malware/ursnif-steganography-atombombing.html>
마지막으로 스크립트의 바이트 배열에 포함 된 데이터를 통해, Ursnif가 explorer.exe 프로세스에 주입하는 것과 일치하는 DLL을 추출해낼 수 있게 됩니다.
Ursnif는 예전보다 훨씬 활동적이며, 광범위하게 확산 되고 있습니다. C&C 서버는 접근이 불가능하지만, 제작자들이 분석 및 추적을 피하기 위해 지속적으로 C&C를 변경하고 있기 때문에 설치 된 악성코드는 아직까지 살아있는 것으로 보입니다.
출처 :
https://securityaffairs.co/wordpress/80777/malware/ursnif-steganography-atombombing.html
https://blog.yoroi.company/research/ursnif-long-live-the-steganography/
공격자들이 리눅스 컨테이너를 탈출해 호스트의 루트 권한을 탈취할 수 있는 RunC 결점 발견 (0) | 2019.02.14 |
---|---|
안드로이드 클립보드 하이재킹 크립토 악성코드, 최초로 구글 플레이에서 발견 돼 (0) | 2019.02.12 |
인기있는 RDP 클라이언트의 취약점, 악성 서버가 PC를 역으로 해킹 가능하도록 만들어 (0) | 2019.02.08 |
동아시아와 중남미 지역의 리눅스 서버를 노리는 SpeakUp 리눅스 백도어 발견 (0) | 2019.02.07 |
LinkedIn, 1.59억명 개인정보 유출 (0) | 2019.02.07 |
댓글 영역