상세 컨텐츠

본문 제목

이중 확장자로 위장한 AsyncRAT 유포 중!

악성코드 분석 리포트

by 알약2 2020. 11. 30. 14:59

본문



안녕하세요. 이스트 시큐리티 시큐리티 대응센터(이하 ESRC)입니다.


최근 중요  파일로 위장한 악성코드가 다량으로 발견되고 있는 정황이 포착되어 기업 담당자와 개인 사용자의 주의가 필요합니다. 아래는 ESRC에서 발견한 악성 파일 이름 목록입니다.


관리정산 및 모든자료_xls(3).scr

전체정산표_및_관리자정보.zip

전체정산표 및 관리자정보.xlsx                     .exe

팬더티비 유출검색.zip

1번 중요![검색서치]필수먼저키세요.exe

2번 검색용(누르셔서bj명입력).exe

기업은행 2020-11-13 입출금 거래내역.xlsx  .exe

전체회원정보 및 비밀번호포함_xls(4).scr

거래안내_및_가격표_신청안내_xls3.exe

[표 1] 악성 파일 이름 목록


전체회원정보 및 비밀번호포함_xls(4).scr 분석



1) 악성코드 설치


시작 프로그램 경로(shell:startup)에 자가 복제합니다. 이후, 자가 복제한 파일에 ‘hastebin[.]com/raw/gepimawuqo’에서 다운로드한 페이로드를 Base 64 디코딩하여 인젝션합니다.



[그림 1] 악성코드 설치



2) 다운로더


이 파일의 주 목적은 추가 파일 다운로드를 수행합니다. 각 페이로드는 Base64인코딩 되어 있어 디코딩하여 생성됩니다.



디코딩전

디코딩 후

[표 2] 디코딩 전/후 비교 화면(Base64/PE)



아래 3개 경로를 통해 추가파일을 다운로드 수행하며 각 기능은 아래와 같습니다.



파일 명

다운로드 URL

생성 파일 기능

‘C:\\Windows \\System32\\propsys.dll’

‘hxxps://hastebin[.]com/raw/izabisiguc’

‘C:\\Users\\Public\\TESTMachine.dll’ 실행

‘C:\\Windows \\System32\\xD.exe’

‘hxxps://hastebin[.]com/raw/diloqokipo’

Micro 스토어 관련 데이터 삭제 및 리셋

‘C:\\Users\\Public\\TESTMachine.dll’

‘hxxps://hastebin[.]com/raw/ehaleruguq’

추가파일 ‘https://pastebin.com/raw/F0cUTsgV’ 다운로드

[표 3] 추가 파일 다운로드 및 기능



[그림 2] 다운로드



3) 백신 무력화


백신으로부터 탐지를 우회하기 위해 파워쉘을 사용합니다.



[그림 3] 백신 무력화



무력화에 사용되는 경로는 아래와 같습니다.



Set-MpPreference -DisableRealtimeMonitoring $true

Set-MpPreference -DisableBehaviorMonitoring $true

Set-MpPreference -DisableBlockAtFirstSeen $true

Set-MpPreference -DisableIOAVProtection $true

Set-MpPreference -DisablePrivacyMode $true

Set-MpPreference -SignatureDisableUpdateOnStartupWithoutEngine $true

Set-MpPreference -DisableArchiveScanning $true

Set-MpPreference -DisableIntrusionPreventionSystem $true

Set-MpPreference -DisableScriptScanning $true

Set-MpPreference -SubmitSamplesConsent 2

Set-MpPreference -MAPSReporting 0

Set-MpPreference -HighThreatDefaultAction 6 -Force

Set-MpPreference -ModerateThreatDefaultAction 6

Set-MpPreference -LowThreatDefaultAction 6

Set-MpPreference -SevereThreatDefaultAction 6

Add-MpPreference -ExclusionPath C:\\

[표 4] 무력화에 사용되는 경로



‘TESTMachine.dll’ 분석



‘hxxps://pastebin[.]com/raw/F0cUTsgV’로부터 다운받아 생성된 이 파일은 오픈소스 ‘AsnycRat-C-Sharp’(hxxps://github[.]com/NYAN-x-CAT/AsyncRAT-C-Sharp)를 사용하여 제작되었고, 원격제어 기능(이 코드는 화면녹화, 다운로더, 키로깅, 채팅기능 등), 분석 환경 우회, 악성코드 설치를 수행합니다. 



1) 분석환경 우회


분석/샌드박스 환경을 우회하기 위해 wmi를 사용하여 vmware/VirtualBox확인, 디버깅 ‘SbieDll.dll’모듈 확인, 디버깅 중인지 확인을 합니다.



[그림 4] 샌드박스 확인 코드



2)악성코드 설치


부팅시 자동실행되도록 작업스케쥴러를 사용하거나 레지스트리를 이용합니다.



[그림 5] 자동 실행 등록 화면



3)원격 제어 기능


주 목적인 원격제어기능을 위해 아래 C&C(‘gmlgml[.]zz.am’)에 접속합니다. 접속에 성공하면 아래 코드를 이용하여 감염된 PC정보를 서버로 전송합니다.



[그림 6] 감염PC 정보 탈취 화면



관련하여 아래는 발견된 악성 파일 C&C와 페이로드를 정리한 표입니다. 특징적으로 ‘hastebin[.]com’을 사용해 AsyncRAT 혹은 njRAT 페이로드를 다운로드 및 C&C(gmlgml[.]zz.am)와 연결하고 있습니다.



관리정산 및 모든자료_xls(3).scr

2번 검색용(누르셔서bj명입력).exe

거래안내_및_가격표_신청안내_xls3.exe

전체회원정보 및 비밀번호포함_xls(4).scr

전체정산표 및 관리자정보.xlsx.exe

File C&C

(Pastebin)

hxxps://hastebin[.]com/raw/urevinisaj

hxxps://pastebin[.]com/raw/F0cUTsgV

hxxps://pastebin[.]com/raw/F0cUTsgV

1st hxxps://hastebin[.]com/raw/gepimawuqo


2nd

hxxps://hastebin[.]com/raw/izabisiguc

hxxps://hastebin[.]com/raw/idiloqokipo

hxxps://hastebin[.]com/raw/ehaleruguq


3rd

hxxps://pastebin[.]com/raw/F0cUTsgV

hxxps://pastebin[.]com/raw/S3w3ZsAA

Payload 

AsyncRAT

AsyncRAT

AsyncRAT

AsyncRAT

njRAT

Payload C&C


gmlgml[.]zz.am

gmlgml[.]zz.am

gmlgml[.]zz.am

gmlgml[.]zz.am

gmlgml[.]zz.am

[표 5] 발견 파일/페이로드 C&C



따라서 악성코드 피해를 예방하기 위해서는 출처가 불분명한 곳에서의 URL 클릭 혹은 파일 다운로드를 지양해야 합니다. 


현재 알약에서는 ‘Backdoor.MSIL.Crysan’로 진단하고 있습니다.




관련글 더보기

댓글 영역