이중 확장자로 위장한 AsyncRAT 유포 중!

안녕하세요. 이스트 시큐리티 시큐리티 대응센터(이하 ESRC)입니다.

최근 중요  파일로 위장한 악성코드가 다량으로 발견되고 있는 정황이 포착되어 기업 담당자와 개인 사용자의 주의가 필요합니다. 아래는 ESRC에서 발견한 악성 파일 이름 목록입니다.

관리정산 및 모든자료_xls(3).scr 전체정산표_및_관리자정보.zip 전체정산표 및 관리자정보.xlsx                     .exe 팬더티비 유출검색.zip 1번 중요![검색서치]필수먼저키세요.exe 2번 검색용(누르셔서bj명입력).exe 기업은행 2020-11-13 입출금 거래내역.xlsx  .exe 전체회원정보 및 비밀번호포함_xls(4).scr 거래안내_및_가격표_신청안내_xls3.exe

[표 1] 악성 파일 이름 목록

전체회원정보 및 비밀번호포함_xls(4).scr 분석

1) 악성코드 설치

시작 프로그램 경로(shell:startup)에 자가 복제합니다. 이후, 자가 복제한 파일에 ‘hastebin[.]com/raw/gepimawuqo’에서 다운로드한 페이로드를 Base 64 디코딩하여 인젝션합니다.

[그림 1] 악성코드 설치

2) 다운로더

이 파일의 주 목적은 추가 파일 다운로드를 수행합니다. 각 페이로드는 Base64인코딩 되어 있어 디코딩하여 생성됩니다.

디코딩전	디코딩 후

[표 2] 디코딩 전/후 비교 화면(Base64/PE)

아래 3개 경로를 통해 추가파일을 다운로드 수행하며 각 기능은 아래와 같습니다.

파일 명	다운로드 URL	생성 파일 기능
‘C:\\Windows \\System32\\propsys.dll’	‘hxxps://hastebin[.]com/raw/izabisiguc’	‘C:\\Users\\Public\\TESTMachine.dll’ 실행
‘C:\\Windows \\System32\\xD.exe’	‘hxxps://hastebin[.]com/raw/diloqokipo’	Micro 스토어 관련 데이터 삭제 및 리셋
‘C:\\Users\\Public\\TESTMachine.dll’	‘hxxps://hastebin[.]com/raw/ehaleruguq’	추가파일 ‘https://pastebin.com/raw/F0cUTsgV’ 다운로드

[표 3] 추가 파일 다운로드 및 기능

[그림 2] 다운로드

3) 백신 무력화

백신으로부터 탐지를 우회하기 위해 파워쉘을 사용합니다.

[그림 3] 백신 무력화

무력화에 사용되는 경로는 아래와 같습니다.

Set-MpPreference -DisableRealtimeMonitoring $true Set-MpPreference -DisableBehaviorMonitoring $true Set-MpPreference -DisableBlockAtFirstSeen $true Set-MpPreference -DisableIOAVProtection $true Set-MpPreference -DisablePrivacyMode $true Set-MpPreference -SignatureDisableUpdateOnStartupWithoutEngine $true Set-MpPreference -DisableArchiveScanning $true Set-MpPreference -DisableIntrusionPreventionSystem $true Set-MpPreference -DisableScriptScanning $true Set-MpPreference -SubmitSamplesConsent 2 Set-MpPreference -MAPSReporting 0 Set-MpPreference -HighThreatDefaultAction 6 -Force Set-MpPreference -ModerateThreatDefaultAction 6 Set-MpPreference -LowThreatDefaultAction 6 Set-MpPreference -SevereThreatDefaultAction 6 Add-MpPreference -ExclusionPath C:\\

[표 4] 무력화에 사용되는 경로

‘TESTMachine.dll’ 분석

‘hxxps://pastebin[.]com/raw/F0cUTsgV’로부터 다운받아 생성된 이 파일은 오픈소스 ‘AsnycRat-C-Sharp’(hxxps://github[.]com/NYAN-x-CAT/AsyncRAT-C-Sharp)를 사용하여 제작되었고, 원격제어 기능(이 코드는 화면녹화, 다운로더, 키로깅, 채팅기능 등), 분석 환경 우회, 악성코드 설치를 수행합니다. 

1) 분석환경 우회

분석/샌드박스 환경을 우회하기 위해 wmi를 사용하여 vmware/VirtualBox확인, 디버깅 ‘SbieDll.dll’모듈 확인, 디버깅 중인지 확인을 합니다.

[그림 4] 샌드박스 확인 코드

2)악성코드 설치

부팅시 자동실행되도록 작업스케쥴러를 사용하거나 레지스트리를 이용합니다.

[그림 5] 자동 실행 등록 화면

3)원격 제어 기능

주 목적인 원격제어기능을 위해 아래 C&C(‘gmlgml[.]zz.am’)에 접속합니다. 접속에 성공하면 아래 코드를 이용하여 감염된 PC정보를 서버로 전송합니다.

[그림 6] 감염PC 정보 탈취 화면

관련하여 아래는 발견된 악성 파일 C&C와 페이로드를 정리한 표입니다. 특징적으로 ‘hastebin[.]com’을 사용해 AsyncRAT 혹은 njRAT 페이로드를 다운로드 및 C&C(gmlgml[.]zz.am)와 연결하고 있습니다.

	관리정산 및 모든자료_xls(3).scr	2번 검색용(누르셔서bj명입력).exe	거래안내_및_가격표_신청안내_xls3.exe	전체회원정보 및 비밀번호포함_xls(4).scr	전체정산표 및 관리자정보.xlsx.exe
File C&C (Pastebin)	hxxps://hastebin[.]com/raw/urevinisaj	hxxps://pastebin[.]com/raw/F0cUTsgV	hxxps://pastebin[.]com/raw/F0cUTsgV	1st hxxps://hastebin[.]com/raw/gepimawuqo 2nd hxxps://hastebin[.]com/raw/izabisiguc hxxps://hastebin[.]com/raw/idiloqokipo hxxps://hastebin[.]com/raw/ehaleruguq 3rd hxxps://pastebin[.]com/raw/F0cUTsgV	hxxps://pastebin[.]com/raw/S3w3ZsAA
Payload	AsyncRAT	AsyncRAT	AsyncRAT	AsyncRAT	njRAT
Payload C&C	gmlgml[.]zz.am	gmlgml[.]zz.am	gmlgml[.]zz.am	gmlgml[.]zz.am	gmlgml[.]zz.am

[표 5] 발견 파일/페이로드 C&C

따라서 악성코드 피해를 예방하기 위해서는 출처가 불분명한 곳에서의 URL 클릭 혹은 파일 다운로드를 지양해야 합니다. 

현재 알약에서는 ‘Backdoor.MSIL.Crysan’로 진단하고 있습니다.