포스팅 내용

국내외 보안동향

DealPly 애드웨어, 백신 회피 위해 Smartscreen 악용해

DealPly Adware Abuses Microsoft Smartscreen to Boost AV Evasion


안티 바이러스 탐지를 피하기 위해 Microsoft의 SmartScreen 및 McAfee의 WebAdvisor에서 제공하는 평판 서비스를 악용하는 새로운 DealPly 변종이 발견되었습니다.


DealPly는 브라우저에 광고를 표시하도록 브라우저 확장 프로그램을 설치하는 애드웨어입니다.


enSilo 연구원들은 이 변종이 모듈형 코드, 머신 핑거프린팅, VM 탐지 기술, 강력한 C&C 인프라를 갖추고 있다고 전했습니다.


DealPly가 평판 서비스를 이용하는 이유는 그들의 변종이나 다운로드 사이트 중 어떤 것이 손상되어 향후 타깃 기기를 감염시키는데 문제가 되지 않는지 확인하기 위함입니다.


분석된 애드웨어 샘플은 서비스를 조회하고 명령 및 제어(C2) 서버에 대한 응답을 전달하여 운영자로부터 받은 도메인에 대한 평판 정보를 수집하는 동안 발견되었습니다.



SmartScreen API 악용


SmartScreen(Windows Defender SmartScreen)은 윈도우 사용자들이 이전에 악성코드나 피싱 공격에 사용된 악성 도메인에 방문해, 악성 프로그램을 다운로드할 때 경고해주는 서비스입니다.


SmartScreen 서비스는 윈도우 사용자가 악성 도메인이나 앱에 접속을 시도할 경우, 권장 행위와 함께 경고창을 표시합니다.


DealPly는 평판 서비스에 쿼리를 보낼 때 마이크로소프트의 블랙리스트에 추가되는 것을 피하기 위해 감염 타깃 기기들을 데이터 수집을 위한 분산 네트워크로 사용했습니다.


해당 애드웨어의 SmartScreen 모듈은 검색할 도메인 해시와 URL을 요청하기 위해 자동으로 빈 요청을 C2 서버로 보냅니다.



[그림 1] SmartScreen 평판 응답

<이미지 출처: https://blog.ensilo.com/leveraging-reputation-services>



DealPly는 SmartScreen 평판 서버에 쿼리를 보내기 위해 원치 않은 변경으로부터 요청을 보호하는 Authorization 헤더를 추가하는 JSON 기반 API 요청을 사용합니다.


SmartScreen으로부터 받은 응답은 테스트된 URL의 속성을 설명하는 문자열을 포함하고 있습니다. 


DealPly는 응답받은 문자열 중 아래의 문자열을 노립니다.

• UNKN: 알 수 없는 URL / 파일

• MLWR: 악성코드 관련 URL / 파일

• PHSH: 피싱 관련 URL / 파일


수집된 데이터는 DealPly의 C2 서버로 전송되어, 운영자들이 사용하는 도메인이나 인스톨러 중 어떤 것이 마이크로소프트의 평판 서비스에 악성으로 표시되는지 확인할 수 있습니다.


DealPly는 문서화되지 않은 SmartScreen API의 다양한 버전을 지원하며, 다양한 윈도우 버전의 서비스에 쿼리를 보낼 수 있습니다.


SmartScreen API가 문서화되지 않았다는 사실을 기억해두는 것이 중요합니다. 


이는 작성자가 SmartScreen 메커니즘 및 기능의 내부 동작 역설계에 많은 노력을 기울였다는 것을 의미합니다.



DealPly, McAfee의 WebAdvisor 평판 서비스도 악용해


McAfee의 WebAdvisor 평판 서비스는 스팸 및 악성 콘텐츠를 확인하는 웹 크롤러가 수집한 데이터를 통해 웹사이트의 안전성 수준을 알려주는 무료 툴입니다.


이 변종은 특정 버전의 WebAdvisor가 설치되었는지 확인한 후에, 조건이 성립할 경우 샘플은 WebAdvisor 평판 서비스에 쿼리를 보내기 시작합니다.


DealPly는 "https[:]//webadvisorc.rest.gti.mcafee.com/1" URL을 통해 WebAdvisor에 요청을 보내고, 확인을 거친 도메인의 평판 값을 응답으로부터 추출합니다.


이 정보는 C2 서버로 전송되어 공격자가 도메인 및 인스톨러 중 어떤 것이 안전하지 않은 것으로 탐지되었는지 데이터베이스에 해당 정보를 업데이트할 수 있도록 도와줍니다.



[그림 2] DealPly WebAdvisor 요청

<이미지 출처: https://blog.ensilo.com/leveraging-reputation-services>



이러한 서비스의 데이터를 사용하면, 블랙리스트에 등록될 경우에만 변경이 필요하기 때문에 애드웨어의 인스톨러 및 구성 요소의 활동 기간을 연장할 수 있습니다.


이 기술은 애드웨어에만 국한된 것이 아니라 악성코드 제작자들도 사용할 수 있을 것입니다.


DealPly 운영자의 이러한 접근 방식은 백신 솔루션보다 한발 앞서 애드웨어 인스톨러를 업데이트할 수 있어 애드웨어 탐지율을 크게 낮출 수 있습니다.


현재 알약에서는 해당 애드웨어에 대해 'Adware.DealPly'으로 탐지 중에 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/dealply-adware-abuses-microsoft-smartscreen-to-boost-av-evasion/

https://blog.ensilo.com/leveraging-reputation-services

티스토리 방명록 작성
name password homepage