보안 프로그램인 줄 알았는데 함정이었다! 트롤에이전트 설치 주의
안랩 분석팀이 최근 국내 건설 관련 협회 홈페이지에서 보안 프로그램 설치 시 악성코드가 다운로드되는 정황을 확인했다. 해당 홈페이지에서 제공하는 서비스를 이용하려면 로그인이 필요한데, 이때 특정 보안 프로그램을 설치해야만 로그인이 가능하다. 이 중 악성코드가 포함돼 있는 것이 있으며, 다운로드 시 보안 프로그램과 함께 백도어 악성코드 및 인포스틸러 악성코드가 설치된다. 이번 공격 주체는 김수키(Kimsuky) 위협 그룹으로 추정된다. 해당 악성코드의 유포 과정을 자세히 살펴보자.
해당 업체 홈페이지에서는 로그인을 시도할 때 [그림 1]과 같이 보안 프로그램 설치를 요구한다. 올해1월 중순에는 보안 프로그램 중 “NX_PRNMAN”에서 악성코드를 포함한 설치 파일이 다운로드된 것으로 확인됐다.
안랩이 내부적으로 테스트한 결과, 변조된 설치 파일은 특정 시간대에만 홈페이지에 업로드되며, 해당 시간에 다운로드한 사용자만 공격에 노출됐다. 안랩이 확보한 악성코드에 감염된 설치 파일은 3천 건 이상으로 집계됐다.
[그림 1] 국내 특정 홈페이지 로그인 과정
설치 파일은 VMProtect로 패킹돼 있으며, 국내 방산 업체인 “D2Innovation” 사의 유효한 인증서로 서명돼 있다. 이는 유효한 인증서를 도용함으로써 웹 브라우저의 다운로드 검증 단계 혹은 파일 실행 단계에서 AV(Anti-Virus) 제품의 탐지를 회피하려고 한 것으로 보인다.
[그림 2] 악성코드가 포함된 설치 파일의 서명 정보
악성 설치 파일은 정상적인 악성코드뿐만 아니라 보안 프로그램을 함께 설치한다. 악성코드는 백그라운드에서 실행되기 때문에 사용자는 악성코드가 설치됐는지 인지하는 데 어려움이 있다. “NX_PRNMAN” 설치 파일을 실행하면 정상적인 설치 파일이 다운로드되는 동시에 “%APPDATA%” 경로에 악성코드가 생성되고, rundll32.exe 프로세스에 의해 실행된다.
[그림 3] 악성 NX_PRNMAN 설치 파일의 프로세스 트리
참고로 작년 12월에는 “TrustPKI” 보안 프로그램에서 최초로 악성코드가 발견됐다. 해당 설치 파일 역시 “D2Innovation” 사의 유효한 인증서로 서명돼 있다.
[그림 4] 악성 TrustPKI 설치 파일의 프로세스 트리
[그림 5] 2023년부터 최근까지 확인된 서명 정보
악성 설치 파일뿐만 아니라 설치 과정에서 생성되는 실제 악성코드 대부분은 VMProtect로 패킹돼 있으며, 고(Go) 언어로 제작됐다. 악성 설치 파일들이 %APPDATA% 경로에 생성하는 대표적인 악성코드는 감염 대상 시스템의 정보를 탈취하는 인포스틸러 악성코드다. 이 악성코드는 DLL(Dynamic Link Library) 포맷이기 때문에 rundll32.exe에 의해 실행된다.
바이너리에 포함된 고 언어의 소스 코드 정보를 살펴보면, 공격자가 “트롤(Troll)”이라는 이름으로 악성코드를 제작한 것을 확인할 수 있다. 트롤에이전트(TrollAgent) 인포스틸러는 시스템 정보 외에도 크롬 및 파이어폭스 웹 브라우저에 저장된 자격 증명 정보, 쿠키, 북마크, 히스토리, 확장 등 웹 브라우저 관련 다수의 정보를 탈취하는 기능을 제공한다.
[그림 6] 트롤 인포스틸러의 소스 코드 정보
대부분의 악성 설치 파일은 트롤 인포스틸러를 설치하지만, 백도어 악성코드도 함께 설치한다. 공격자는 고 언어로 개발한 백도어 악성코드를 많이 사용한 것으로 알려졌다.
[그림 7] 백도어 악성코드의 명령 분기문 (C++)
[그림 8] 고 언어로 개발한 백도어 악성코드
따라서 사용자가 로그인을 위한 보안 프로그램을 설치할 때 보안 프로그램과 함께 악성코드가 설치될 수 있다. 악성코드는 감염 대상 시스템에 저장된 사용자 정보를 탈취하고, C&C 서버로부터 공격자의 명령을 전달받아 다양한 악성 행위를 수행할 수 있다.
사용자들은 V3를 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단하는 것이 안전하다.
출처 : AhnLab