AhnLab MDS가 저작권 침해 사칭한 악성코드를 탐지하는 방법은?

올해 8월 28일, 안랩은 국내와 대만에서 불특정 다수를 대상으로 저작권 침해를 사칭한 닷넷(.Net) 다운로더 악성코드가 유포된 정황을 확인했다. 이 악성코드는 샌드박스 기반 보안 솔루션 탐지를 우회하기 위해 가상 환경을 탐지하는 코드를 포함하며, 메인봇(MainBot)을 다운로드하는 것으로 알려졌다. 이번 글에서는 해당 악성코드의 실행 과정과 AhnLab MDS가 이를 탐지하는 방법에 대해 알아본다.

 

 

확인된 악성코드는 저작권 관련 내용을 파일명으로 사용했으며, PDF 아이콘으로 위장해 마치 진짜 PDF 문서인 것처럼 사용자를 속였다.

[표 1] 악성코드가 유포된 파일명

 

[그림 1] 악성코드가 사용한 PDF 아이콘 이미지

 

또한, 공격자의 구글 공유 Docs 페이지에서 텔레그램 토큰, 챗 ID, 메인봇 다운로드 주소 등 기본적인 구성(Config) 정보를 전달받는 방식으로 C&C 서버와 통신한다.

[그림 2] 악성코드가 구성 정보를 저장하기 위한 코드

 

​[그림 3] BASE64로 인코딩된 구글 Docs의 공유 문서 주소

 

Ÿ BASE64 디코딩 URL: hxxps://docs.google.com/document/export?format=txt&id=10bTqbc6WMebYNQEZy86Uy_3YnIynx3VNnFD-wF1EH6E&includes_info_params=true&usp=sharing&cros_files=false&inspectorResult=%7B%22pc%22%3A1%2C%22lplc%22%3A12%7D&showMarkups=true

* id: 구성 정보가 저장된 공격자의 구글 Docs 고유 ID

 

해당 악성코드는 [그림 2]와 같이 공격자의 공유 문서 페이지를 파싱해 공격자 텔레그램 서버 정보를 획득한 뒤 전달받은 메시지를 바탕으로 감염 대상 PC에 메인봇 설치 및 실행, 파일명 변경, 종료 등의 명령을 전달한다.

 

또, 내부에는 샌드박스 기반의 악성코드 탐지 솔루션 장비를 회피하기 위해 가상 환경을 검사하는 다음 6가지 조건을 포함한다.

  • Ÿ 동작 환경에 안티바이러스(Anti-Virus)가 0개인지 확인한다.
  • Ÿ “SELECT * FROM WmiMonitorBasicDisplayParams” WMI 쿼리를 수행해 해당 PC의 모든 모니터에 대한 기본 디스플레이 파라미터 정보가 0개인지 확인한다.(모니터의 물리적 연결 여부 확인을 위한 용도)
  • Ÿ Win32_Keyboard WMI 클래스를 사용해 USB 키보드 정보가 존재하는지 확인한다.(키보드의 물리적인 USB 연결 여부 확인을 위한 용도)
  • Ÿ 램이 4GB보다 작은 지 확인한다.
  • Ÿ 디스크 용량이 128GB보다 작은 지 확인한다.
  • Ÿ HKLM\SOFTWARE\WOW6432Node\Clients\StartMenuInternet의 하위 키가 없는지, 그리고 “IEXPLORE.EXE” 혹은 “Microsoft Edge” 1개만 존재하는지 확인한다.

 

[그림 4] 가상 환경 검사 코드

 

위 6가지 중 3가지 이상 부합할 경우 가상 환경으로 인지된다. 악성코드는 공격자 텔레그램 서버에 아래 문자열을 전달하고, 호스트에서 Sleep 함수를 5초마다 호출해 공격자 서버로부터 [HWID]-SKIP VM 명령을 전달받을 때까지 무한 대기한다.

[그림 5] 5초마다 호출되는 -SKIP VM 명령 검사 코드

[VM 탐지 시 텔레그램 서버를 통해 전달받는 문자열]

 

이후 [HWID]-SKIP VM 문자열을 텔레그램 서버를 통해 전달받으면 해당 PC에 메인봇을 다운로드해 설치한다.

 

AhnLab MDS는 샌드박스 환경에서 이런 유형의 악성코드를 “Execution/MDP.Event.M11291” 진단명으로 탐지한다.

 

[그림 6] AhnLab MDS를 이용한 악성코드 탐지 화면 (1)

 

[​그림 7] AhnLab MDS를 이용한 악성코드 탐지 화면 (2)

 

​최근 공격자들은 보안 제품의 탐지를 회피하기 위해 Anti-VM 기법을 악성코드에 추가하는 것뿐만 아니라 이번 사례와 같이 텔레그램, 구글 Docs 등의 정상적인 서버를 이용해 명령 제어를 수행하기도 한다. 이 방식은 정상적인 서버와 통신하며 명령 행위를 수행하기 때문에 네트워크 솔루션으로도 탐지하기 어렵다. 따라서 보안 담당자는 네트워크 솔루션, APT 솔루션 이외에도 EDR 제품을 통해 엔드포인트에서 발생하는 비정상적인 행위를 모니터링해 기업의 보안 사고를 예방해야 한다.

출처 : AhnLab

02-553-2331
견적 요청
카카오톡 문의