안녕하세요. 이스트 시큐리티 시큐리티 대응센터(이하 ESRC)입니다.
최근 중요 파일로 위장한 악성코드가 다량으로 발견되고 있는 정황이 포착되어 기업 담당자와 개인 사용자의 주의가 필요합니다. 아래는 ESRC에서 발견한 악성 파일 이름 목록입니다.
[표 1] 악성 파일 이름 목록
전체회원정보 및 비밀번호포함_xls(4).scr 분석
1) 악성코드 설치
시작 프로그램 경로(shell:startup)에 자가 복제합니다. 이후, 자가 복제한 파일에 ‘hastebin[.]com/raw/gepimawuqo’에서 다운로드한 페이로드를 Base 64 디코딩하여 인젝션합니다.
[그림 1] 악성코드 설치
2) 다운로더
이 파일의 주 목적은 추가 파일 다운로드를 수행합니다. 각 페이로드는 Base64인코딩 되어 있어 디코딩하여 생성됩니다.
[표 2] 디코딩 전/후 비교 화면(Base64/PE)
아래 3개 경로를 통해 추가파일을 다운로드 수행하며 각 기능은 아래와 같습니다.
[표 3] 추가 파일 다운로드 및 기능
[그림 2] 다운로드
3) 백신 무력화
백신으로부터 탐지를 우회하기 위해 파워쉘을 사용합니다.
[그림 3] 백신 무력화
무력화에 사용되는 경로는 아래와 같습니다.
[표 4] 무력화에 사용되는 경로
‘TESTMachine.dll’ 분석
‘hxxps://pastebin[.]com/raw/F0cUTsgV’로부터 다운받아 생성된 이 파일은 오픈소스 ‘AsnycRat-C-Sharp’(hxxps://github[.]com/NYAN-x-CAT/AsyncRAT-C-Sharp)를 사용하여 제작되었고, 원격제어 기능(이 코드는 화면녹화, 다운로더, 키로깅, 채팅기능 등), 분석 환경 우회, 악성코드 설치를 수행합니다.
1) 분석환경 우회
분석/샌드박스 환경을 우회하기 위해 wmi를 사용하여 vmware/VirtualBox확인, 디버깅 ‘SbieDll.dll’모듈 확인, 디버깅 중인지 확인을 합니다.
[그림 4] 샌드박스 확인 코드
2)악성코드 설치
부팅시 자동실행되도록 작업스케쥴러를 사용하거나 레지스트리를 이용합니다.
[그림 5] 자동 실행 등록 화면
3)원격 제어 기능
주 목적인 원격제어기능을 위해 아래 C&C(‘gmlgml[.]zz.am’)에 접속합니다. 접속에 성공하면 아래 코드를 이용하여 감염된 PC정보를 서버로 전송합니다.
[그림 6] 감염PC 정보 탈취 화면
관련하여 아래는 발견된 악성 파일 C&C와 페이로드를 정리한 표입니다. 특징적으로 ‘hastebin[.]com’을 사용해 AsyncRAT 혹은 njRAT 페이로드를 다운로드 및 C&C(gmlgml[.]zz.am)와 연결하고 있습니다.
[표 5] 발견 파일/페이로드 C&C
따라서 악성코드 피해를 예방하기 위해서는 출처가 불분명한 곳에서의 URL 클릭 혹은 파일 다운로드를 지양해야 합니다.
현재 알약에서는 ‘Backdoor.MSIL.Crysan’로 진단하고 있습니다.
'메일함 용량 초과' 경고로 위장한 피싱 메일 유포중! (0) | 2020.12.02 |
---|---|
ESRC 주간 Email 위협 통계 (11월 넷째주) (0) | 2020.12.01 |
전자세금계산서가 도착했습니다. ‘국세청 사칭’ 악성 이메일 유포 중! (0) | 2020.11.25 |
'찌라시'로 위장한 악성 HWP 파일 주의! (0) | 2020.11.25 |
ESRC 주간 Email 위협 통계 (11월 셋째주) (0) | 2020.11.24 |
댓글 영역