Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Carbanak 그룹의 Bateleur JScript Backdoor 분석
작성일 2017-08-17 조회 1115

 

개요
Script/JS.Backdoor.Bateleur.104008은 외부 공격 서버와 C&C 통신을 주기로적으로 하며 악성 행위를 하는 악성 코드이다.


해당 악성코드는 워드의 매크로 기능을 이용하여 캡션에 숨겨놓은 악성 페이로드를 실행한다.
해당 페이로드는 %TMP% 에 debug.txt 로 저장되고, 스케줄러에 등록되어 JScript 로 실행 된다.


악성 행위로는 C&C 서버로 부터 받은 명령에 따라 다수의 기능을 수행 할 수 있다.
실행 중인 프로세스 나열, PowerShell 스크립트 실행, EXE 및 DLL 로딩, 패스워드 추출하기 외 다수
사용가능한 명령 모음 : get_information, get_process_list, kill_process, uninstall, update, exe, wexe, dll, cmd, powershell, apowershell, wpowershell, get_screen, get_passwords


Carbanak 그룹에서 사용하는 하는 것으로 알려졌으며, 실행 파일 형태가 아닌 jscript 형태의 백도어를 통해 다수의 강력한 기능을 할수 있으므로 주의가 필요하다.

 

분석
Outlook.com 계정을 이용하여 유인물로 위장한 악의적인 메일을 발송한다.

 

[그림 1. 악의적인 메일, 참고 proofpoint]

 

해당 메일에 포함된 첨부파일을 확인해보면 아래와 같은 특징이 존재한다.
- 워드 파일을로 위장 및 암호화 되어있는 파일을 풀기 위해 필요하다며 매크로 실행을 유도

 

[그림 2. 악의적인 doc 문서]

 

매크로는 캡션 UserForm1.Label1.Caption 을 통해 악의적인 페이로드를 로드한다.
캡션에는 가려진 JScript 페이로드가 존재하며, %TMP% 에 debug.txt 로 저장되고, 스케줄러에 등록되어 JScript 로 지속적으로 실행 된다.

 

[그림 3. debug.txt 내역]

 

매크로로 실행되는 내역은 아래와 같다.

- 1. schtasks /create /f /tn ""GoogleUpdateTaskMachineCorefh5evfbce5bhfd37"" /tr ""wscript.exe //b /e:jscript %TMP%debug.txt "" /sc ONCE /st ""05:00"" /sd ""12/12/1990""
- 2. 3초 대기
- 3. schtasks /Run /I /TN ""GoogleUpdateTaskMachineCorefh5evfbce5bhfd37""
- 4. 10초 대기
- 5. schtasks /Delete /F /TN ""GoogleUpdateTaskMachineCorefh5evfbce5bhfd37""

 

[그림4. 매크로 내역]

 

JScript에는 안티 샌드박스, 난독화, 시스템 정보 검색, 프로세스 목록 표시, PowerShell 스크립트 실행, EXE 및 DLL 로드, 스크린샷, 파일 제거 등의 다수의 기능이 존재한다.

 

해당 악성코드는 지속적으로 발전하고 있으므로, 신뢰하지 못하는 메일의 첨부파일은 다운로드 및 실행하지 않는 기본 수칙을 지켜야 한다.

 

대응방안
1) Sniper IPS 에서는 아래와 같은 패턴으로 대응 가능하다.

[IPS 패턴블럭] : 3630, Script/JS.Backdoor.Bateleur.104008
[IPS 패턴블럭] : 3631, Script/JS.Backdoor.Bateleur.104008.A

 

2) Sniper APTX 에서는 아래와 같이 해당 파일에 대해 악성으로 판단하여 대응 가능하다.

 


3) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 

참조
https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor

 

첨부파일 첨부파일이 없습니다.
태그   Bateleur  JScript Backdoor  Carbanak  FIN7