Home > 전체기사
다단계 공격용 드로퍼, 두 가지 RAT 중 하나 심어서 정보 탈취
  |  입력 : 2019-11-18 14:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
3~4번의 비주얼 베이직 스크립트 활용 통해 최종 페이로드 심어
리벤지랫이나 WSH랫...둘 다 정보를 탈취하기 위해 만들어진 멀웨어


[보안뉴스 문가용 기자] 다단계 사이버 공격에서 최초 침투를 책임지는 드로퍼가 발견됐다. 이 드로퍼의 궁극적인 목적은 두 가지 원격 접근 트로이목마(RAT)를 운반하는 것이다. 이 트로이목마의 이름은 리벤지랫(RevengeRAT)과 WSH랫(WSH RAT)이다. 윈도우 장비들이 이 드로퍼의 주요 표적이라고 한다.

[이미지 = iclickart]


드로퍼를 제일 처음 발견한 건 포티가드 랩스(FortiGuard Labs)다. 백신 엔진에서 ‘의심스러운 파일’로 탐지가 된 샘플을 확보하게 되면서 우연히 찾아냈다고 한다. “그렇다고 이 드로퍼가 탐지율이 높은 건 아닙니다. 바이러스토탈(VirusTotal)에서도 꽤나 낮은 탐지율을 기록했습니다. 따라서 백신을 설치했다고 해서 이 공격을 쉽게 막을 수 있는 건 아닙니다.”

포티가드 랩스가 확보한 샘플의 경우 제일 처음 자바스크립트 코드를 사용해 감염을 시작한다. 이 안에는 인코딩 된 데이터가 숨어 있다. “이 데이터를 디코딩 했을 때, 비주얼 베이직 스크립트(VBS)로 만들어진 코드를 추출할 수 있었습니다.” 샘플을 분석한 크리스 나바렛(Chris Navarrete)과 샤오펭 장(Xiaopeng Zhang)의 설명이다. 추출을 통해 등장하는 파일 이름은 A6p.vbs다. 원격 서버로부터 추가 스크립트인 Microsoft.vbs를 가져오는 기능을 발휘한다.

“Microsoft.vbs가 실행되면 WScript.Shell이라는 객체가 새롭게 생성됩니다. 동시에 OS 환경과 하드코드 된 데이터가 수집됩니다. 그러고 나서는 또 다른 비주얼 베이직 스크립트가 새롭게 만들어지는데, 이름이 GXxdZDvzyH.vbs입니다. 이 마지막 스크립트는 VBS 인터프리터를 호출함으로써 생성되는데, 이 때 //B라는 매개변수가 활용됩니다. 이렇게 함으로써 경고 메시지가 뜨지 않도록 하는 겁니다.”

GXxdZDvzyH.vbs가 실행되면, 명령행을 통해 여러 가지 파워셸 명령이 실행된다. 주로 윈도우에 기본적으로 탑재된 정책을 해제하기 위한 것이다. “자동으로 파워셸 스크립트가 실행되지 않도록 하는 규칙들이 있습니다. 그걸 취소시키는 겁니다. 그런 후에는 파워셸 명령을 실행해 최종 페이로드 중 하나인 리벤지랫을 로딩시킵니다.

리벤지랫
무려 4단계의 VBS 감염 사슬을 건너 시스템에 심겨지는 리벤지랫은 꽤나 유명한 멀웨어로 APT33과 같은 공격 단체들이 과거에 사용하기도 했었다. 리벤지랫은 두 개의 C&C 서버와 연결한 상태에서 피해자의 정보를 빼내 전송한다. 이 때 전송되는 데이터는 주요 문자열 명령, 명령 실행에 필요한 데이터 필드, 데이터를 각기 분리해 내는 세퍼레이터, 최종 문자열 등 여러 부분으로 구성된 패킷 형태를 취하고 있다.

내용의 측면에서 이 패킷은 시스템의 지문 정보(digital fingerprinting)를 포함하고 있다. 세퍼레이터에 의해 총 15개의 블록으로 나뉘어져 있는데 대부분은 베이스64(base64)로 인코딩 되어 있다. IP주소, 시스템 이름, 사용자 이름, 웹캠 유무, 윈도우 시스템 정보, CPU 정보, 메모리 총 용량, 설치된 백신과 방화벽 종류, 가장 위에 열려 있는 창, 시스템 디폴트 언어 등의 내용이 담겨 있다.

그 외에도 이번 공격에 연루된 것으로 보이는 리벤지랫에는 this.data()라는 함수가 포함되어 있기도 했다. C&C에서 온 명령들을 처리하는 역할을 담당하고 있었다. “뿐만 아니라 몇 가지 매직 스트링(magic string)을 숨기고 있기도 합니다. 그 중 눈에 띄는 건 P라는 명령어였습니다. 가장 위에 열려 있는 창의 ‘타이틀 값’을 요청하는 명령어입니다. 그 외에 IE와 LP라는 명령어들도 주의를 요합니다. 시스템 레지스트리를 조작하라는 내용의 명령이거든요. UNV 명령을 통하여 공격자들은 악성 어셈블리 언어를 전송할 수 있게 됩니다.”

WSH랫
공격에 따라 리벤지랫이 아니라 WSH랫 1.6 버전이 심겨지는 경우도 있었다. “WSH랫은 올해 여름에 처음 발견된 멀웨어로, 은행들을 겨냥한 키로깅 공격을 주로 했습니다. VBS를 기반으로 한 후디니 웜(Houdini Worm)과 쌍둥이 수준으로 비슷합니다. 후디니 웜은 2013년부터 사이버 공간에서 나타나는 악성 멀웨어로, 표적 공격과 살포 공격 모두에 활용될 만큼 뛰어난 유연성을 보여줍니다.”

이번에 발견된 WSH랫의 경우 총 29개의 함수를 내포하고 있는 것으로 나타났다. 시스템 내에서 공격 지속성을 확보하는 것에서부터 데이터를 빼돌리는 것까지 다양한 기능을 발휘한다. “하지만 가장 주력이 되는 기능은 크롬, 모질라 등 인기가 높은 유명 브라우저로부터 정보를 훔치는 것입니다. 꽤나 최근에 발표된 버전들도 익스플로잇 할 수 있을 정도로 최신화 되어 있는 상태였습니다.” 그 외에 disconnect, reboot, shutdown, execute, kill-process, sleep과 같은 명령을 지원하기도 한다.

WSH랫은 실행과 동시에 보안과 관련된 내용부터 확인한다. 현재 사용자가 가지고 있는 권한을 확인한 후 그 결과에 따라 상태를 유지하거나 더 높은 권한을 취득하기 위한 공격을 시작한다. 그런 후 두 번째 보안 점검을 실시해 현재 사용자의 보안 컨텍스트를 해제시킨다. 또한 제대로 형식을 갖춘 HTTP 요청을 생성해 피해자 컴퓨터에 대한 정보를 수집하기도 한다. 그 다음에는 사용자 에이전트(User-Agent) 헤더를 사용해 수집된 정보를 빼돌린다.

공격 지속성 확보를 위해서 레지스트를 손본다. 그런 다음에는 스스로를 윈도우 시작 프로그램 폴더에 복사해 윈도우 재부팅 시 자동으로 시작되도록 만든다. “최초 드로퍼와 연결되는 C&C 서버들은 아쉽게도 이번 분석 기간 동안 오프라인 상태였습니다. 따라서 공격자와 캠페인에 대한 보다 깊은 정보는 얻어낼 수가 없었습니다.”

3줄 요약
1. 처음 발견된 드로퍼, 두 가지 원격 접근 트로이목마를 심음.
2. 하나는 리벤지랫으로, 정보를 탈취하는 것을 가장 주요 목표로 하고 있음.
3. 두 번째는 WSH랫으로, 역시 정보 탈취형 멀웨어이나 후디니 웜과 거의 동일함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제