Home > 전체기사
다단계 공격용 드로퍼, 두 가지 RAT 중 하나 심어서 정보 탈취
  |  입력 : 2019-11-18 14:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
3~4번의 비주얼 베이직 스크립트 활용 통해 최종 페이로드 심어
리벤지랫이나 WSH랫...둘 다 정보를 탈취하기 위해 만들어진 멀웨어


[보안뉴스 문가용 기자] 다단계 사이버 공격에서 최초 침투를 책임지는 드로퍼가 발견됐다. 이 드로퍼의 궁극적인 목적은 두 가지 원격 접근 트로이목마(RAT)를 운반하는 것이다. 이 트로이목마의 이름은 리벤지랫(RevengeRAT)과 WSH랫(WSH RAT)이다. 윈도우 장비들이 이 드로퍼의 주요 표적이라고 한다.

[이미지 = iclickart]


드로퍼를 제일 처음 발견한 건 포티가드 랩스(FortiGuard Labs)다. 백신 엔진에서 ‘의심스러운 파일’로 탐지가 된 샘플을 확보하게 되면서 우연히 찾아냈다고 한다. “그렇다고 이 드로퍼가 탐지율이 높은 건 아닙니다. 바이러스토탈(VirusTotal)에서도 꽤나 낮은 탐지율을 기록했습니다. 따라서 백신을 설치했다고 해서 이 공격을 쉽게 막을 수 있는 건 아닙니다.”

포티가드 랩스가 확보한 샘플의 경우 제일 처음 자바스크립트 코드를 사용해 감염을 시작한다. 이 안에는 인코딩 된 데이터가 숨어 있다. “이 데이터를 디코딩 했을 때, 비주얼 베이직 스크립트(VBS)로 만들어진 코드를 추출할 수 있었습니다.” 샘플을 분석한 크리스 나바렛(Chris Navarrete)과 샤오펭 장(Xiaopeng Zhang)의 설명이다. 추출을 통해 등장하는 파일 이름은 A6p.vbs다. 원격 서버로부터 추가 스크립트인 Microsoft.vbs를 가져오는 기능을 발휘한다.

“Microsoft.vbs가 실행되면 WScript.Shell이라는 객체가 새롭게 생성됩니다. 동시에 OS 환경과 하드코드 된 데이터가 수집됩니다. 그러고 나서는 또 다른 비주얼 베이직 스크립트가 새롭게 만들어지는데, 이름이 GXxdZDvzyH.vbs입니다. 이 마지막 스크립트는 VBS 인터프리터를 호출함으로써 생성되는데, 이 때 //B라는 매개변수가 활용됩니다. 이렇게 함으로써 경고 메시지가 뜨지 않도록 하는 겁니다.”

GXxdZDvzyH.vbs가 실행되면, 명령행을 통해 여러 가지 파워셸 명령이 실행된다. 주로 윈도우에 기본적으로 탑재된 정책을 해제하기 위한 것이다. “자동으로 파워셸 스크립트가 실행되지 않도록 하는 규칙들이 있습니다. 그걸 취소시키는 겁니다. 그런 후에는 파워셸 명령을 실행해 최종 페이로드 중 하나인 리벤지랫을 로딩시킵니다.

리벤지랫
무려 4단계의 VBS 감염 사슬을 건너 시스템에 심겨지는 리벤지랫은 꽤나 유명한 멀웨어로 APT33과 같은 공격 단체들이 과거에 사용하기도 했었다. 리벤지랫은 두 개의 C&C 서버와 연결한 상태에서 피해자의 정보를 빼내 전송한다. 이 때 전송되는 데이터는 주요 문자열 명령, 명령 실행에 필요한 데이터 필드, 데이터를 각기 분리해 내는 세퍼레이터, 최종 문자열 등 여러 부분으로 구성된 패킷 형태를 취하고 있다.

내용의 측면에서 이 패킷은 시스템의 지문 정보(digital fingerprinting)를 포함하고 있다. 세퍼레이터에 의해 총 15개의 블록으로 나뉘어져 있는데 대부분은 베이스64(base64)로 인코딩 되어 있다. IP주소, 시스템 이름, 사용자 이름, 웹캠 유무, 윈도우 시스템 정보, CPU 정보, 메모리 총 용량, 설치된 백신과 방화벽 종류, 가장 위에 열려 있는 창, 시스템 디폴트 언어 등의 내용이 담겨 있다.

그 외에도 이번 공격에 연루된 것으로 보이는 리벤지랫에는 this.data()라는 함수가 포함되어 있기도 했다. C&C에서 온 명령들을 처리하는 역할을 담당하고 있었다. “뿐만 아니라 몇 가지 매직 스트링(magic string)을 숨기고 있기도 합니다. 그 중 눈에 띄는 건 P라는 명령어였습니다. 가장 위에 열려 있는 창의 ‘타이틀 값’을 요청하는 명령어입니다. 그 외에 IE와 LP라는 명령어들도 주의를 요합니다. 시스템 레지스트리를 조작하라는 내용의 명령이거든요. UNV 명령을 통하여 공격자들은 악성 어셈블리 언어를 전송할 수 있게 됩니다.”

WSH랫
공격에 따라 리벤지랫이 아니라 WSH랫 1.6 버전이 심겨지는 경우도 있었다. “WSH랫은 올해 여름에 처음 발견된 멀웨어로, 은행들을 겨냥한 키로깅 공격을 주로 했습니다. VBS를 기반으로 한 후디니 웜(Houdini Worm)과 쌍둥이 수준으로 비슷합니다. 후디니 웜은 2013년부터 사이버 공간에서 나타나는 악성 멀웨어로, 표적 공격과 살포 공격 모두에 활용될 만큼 뛰어난 유연성을 보여줍니다.”

이번에 발견된 WSH랫의 경우 총 29개의 함수를 내포하고 있는 것으로 나타났다. 시스템 내에서 공격 지속성을 확보하는 것에서부터 데이터를 빼돌리는 것까지 다양한 기능을 발휘한다. “하지만 가장 주력이 되는 기능은 크롬, 모질라 등 인기가 높은 유명 브라우저로부터 정보를 훔치는 것입니다. 꽤나 최근에 발표된 버전들도 익스플로잇 할 수 있을 정도로 최신화 되어 있는 상태였습니다.” 그 외에 disconnect, reboot, shutdown, execute, kill-process, sleep과 같은 명령을 지원하기도 한다.

WSH랫은 실행과 동시에 보안과 관련된 내용부터 확인한다. 현재 사용자가 가지고 있는 권한을 확인한 후 그 결과에 따라 상태를 유지하거나 더 높은 권한을 취득하기 위한 공격을 시작한다. 그런 후 두 번째 보안 점검을 실시해 현재 사용자의 보안 컨텍스트를 해제시킨다. 또한 제대로 형식을 갖춘 HTTP 요청을 생성해 피해자 컴퓨터에 대한 정보를 수집하기도 한다. 그 다음에는 사용자 에이전트(User-Agent) 헤더를 사용해 수집된 정보를 빼돌린다.

공격 지속성 확보를 위해서 레지스트를 손본다. 그런 다음에는 스스로를 윈도우 시작 프로그램 폴더에 복사해 윈도우 재부팅 시 자동으로 시작되도록 만든다. “최초 드로퍼와 연결되는 C&C 서버들은 아쉽게도 이번 분석 기간 동안 오프라인 상태였습니다. 따라서 공격자와 캠페인에 대한 보다 깊은 정보는 얻어낼 수가 없었습니다.”

3줄 요약
1. 처음 발견된 드로퍼, 두 가지 원격 접근 트로이목마를 심음.
2. 하나는 리벤지랫으로, 정보를 탈취하는 것을 가장 주요 목표로 하고 있음.
3. 두 번째는 WSH랫으로, 역시 정보 탈취형 멀웨어이나 후디니 웜과 거의 동일함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)