Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

악성코드 정보

앞 내용 보기 다음 내용 보기
악성코드 정보글 잘쓰는 것도 해킹 기법중 하나다? 국세청 사칭으로 전파되는 RAT - 2
작성일 2019-05-30 조회 1620

 

* 1편에 이어서 작성되는 포스팅입니다.

글 잘쓰는 것도 해킹 기법중 하나다? 국세청 사칭으로 전파되는 RAT - 1

http://www.wins21.co.kr/blog/blog-write.html?t=31&d=48&num=1425

 

 

 

 

 

[ 국세청을 사칭한 스팸메일로 유포되는 Ammyy RAT 실행 프로세스 ]

 

파일명 : TaxInvoice_033600.htm
Hash : 3de9ccaeafd0089e6c32523f8cf7139655444ec0c9ce1a7f1238219ddfa9557c
C2 : hxxp://losabetos[.]com.sv/eTaxInvoice_8466345.xls

 

웹 페이지를 통해 xls파일 다운로드 유도

 

파일명 : eTaxInvoice_8466345.xls
Hash : be3e8f4518163790fa9dccafd510ed752617b28dfe0a8833ec38b493d6630dc2
C2 : hxxp://66[.]42[.]45[.]55/m4 

 

파일을 오픈하면 1차 악성코드 100.exe를 다운로드

 

파일명 : 100.exe (m4)
Hash : 2527295523f67e0a87c7e6049f2b7954f494b33e18254618ae02528e1f9b1d4b
C2 : hxxp://172[.]104[.]104[.]166/01.dat

 

이어서 01.dat를 다운로드 ( Ammyy 악성코드 버전 )

 

파일명 : 01.dat
Hash : 22640706d3b06bfdabeceb6205daf5ccc79d707fdeb89189749fbdc63b918db9
특이사항 : Ammyy 암호화 버전

 

다운로드 이후 100.exe.를 통해 복호화 진행 및 실행

 

파일명 : wsus
Hash : e0c1c2ab82ff668a2310652b46a340738b2e7c2cdec90d197ec57b874b0de6dc
C2 : hxxp://79[.]141[.]168[.]132
특이사항 : Ammyy 복호화 버전

 

* RAT 악성행위 진행 * 

 

 

 

 

1. htm 첨부파일 → Excel 파일 다운로드

 

메일 첨부파일로 전송되는 'TaxInvoice_033600.htm' 파일은 웹 페이지로 연결하는 듯 보이지만 실제 행위는 악성 C2에서 엑셀 파일을 다운로드 할 수 있도록 사용자들을 유도합니다. 

 

2

 

 

이런 단순한 방식의 스크립트의 가장 큰 장점은 그 어떤 안티바이러스도 악성으로 탐지하지 않는 다는 장점이 있습니다. 또한, htm 파일을 악성이라고 의심하는 사람이 그리 많지 않다는 것을 고려한다면 좋은 사회공학적 해킹 방식이라고 할 수 있겠습니다.

 

 

 

 

2. Excel 파일 → 100.exe 다운로드

 

엑셀 스크립트 안에는 악성 C2와 함께 다운로드 할 파일 이름과 경로, 시작 명령어가 함께 작성되어 있습니다. 

 

 

 

3. 100.exe 실행 → 01.dat 다운로드 및 복호화

 

100.exe의 역할은 실제로 RAT로 사용되는 Ammyy를 다운로드 하는 역할을 하고 있습니다. 직접 악성행위를 진행하는 코드라기 보다는 다운로더의 의미에 가깝습니다. 100.exe 실행하면 내부에 존재하는 악성 C2에 접속을 하여 Ammyy 악성코드를 다운로드 하게 됩니다.  

* 다운로드 경로는 C:ProgramDataNuGets emplate_[Random-6byte].TMPTMPZIP7

 

 

 

01.dat는 암호화된 악성코드로 100.exe 내부에 있는 Key에 의해 복호화를 진행하여 실행하게 됩니다. 

 

 

 

암호화 된 파일을 다운로드하여 내부에서 복호화 하는 방식은 다운로드 시 안티 바이러스나 방화벽에서 탐지하지 못하고 정상적으로 엔드포인트까지 들어올 수 있게 됩니다.

 

 

 

 

4. 01.dat 복호화 → Ammyy RAT 실행

 

100.exe 내부의 키를 활용하여 다운로드 된 01.dat를 복호화 하면 정상적인 MZ(응용프로그램)으로 변환이 됩니다. 1byte씩 단독적으로 복호화하기 때문에 복호화 파일과 암호화 파일의 크기가 동일합니다.

 

[그림] 좌, 암호화 된 Ammyy (01.dat) / 우, 복호화 된 Ammyy (wsus)

 

 

복호화된 파일이 저장되는 경로는 아래와 같습니다 . (ProgramData - NuGets)

 

 

 

파일이 실행되면 서비스를 등록하여 재 시작마다 파일을 실행하게 됩니다. RAT는 다른 악성코드와는 다르게 지속적으로 악성 행위자와 통신을 해야 하기 때문에 이러한 명령어 설정은 필수겠죠.

 

 

 

 

기존 스팸메일로 유포되는 Ammyy 랑 다른점은 기존 Ammyy RAT는 그룹 사용자 아니면 악성 행위를 종료하는 프로세스를 가지고 있었으나, 이번 Ammyy는 그룹 사용자 장사(?)가 잘 되지 않았는지 그룹 사용자를 판단하는 코드를 제거하고 유포하였습니다.

 

 

 

 

 

정상적으로 감염이 완료가 되면, 감염 단말의 ID, OS 등 다양한 정보를 악성 C2에 전송하므로서, 악성 RAT로 활동할 수 있는 초석을 닦에 되었습니다. 단, 한 번의 클릭 실수로.

 

 

 

 

 

 

항상 스팸메일 관련한 블로그 포스팅을 작성하면서 느끼는 것이지만 한 번의 작은 실수에 비해 돌아오는 책임은 너무나도 막대하다는 생각이 듭니다. 하지만, 그 부분을 집요하게 파고 들어오는 공격자 덕분에 한 시도 긴장을 늦출수는 없을 것입니다.

 

보안에 대한 작은 관심과 습관이 이런 사건 사고를 막을 수 있다고 생각합니다. 언제나 신뢰하지 못하는 메일의 첨부파일이나 링크는 클릭하지 마시고, 안티 바이러스를 항상 최신 버전으로 유지하시길 바랍니다.

 

 

 

 

Wins APTX 는 아래와 같이 탐지합니다.

 

 

 

 

 

 

 

첨부파일 첨부파일이 없습니다.
태그 Ammyy  스팸메일  RAT  국세청  작가의삶