MS 오피스 크랙 위장 악성코드 주의
안랩 분석팀이 최근 MS 오피스 크랙으로 위장한 RAT 및 코인마이너(CoinMiner)가 국내 사용자를 대상으로 유포되는 정황을 확인했다. 공격자는 올 1월, 한글 워드 프로세서 크랙으로 위장한 오르쿠스RAT(Orcus RAT) 악성코드를 유포한 이력이 있으며, 최근까지도 다운로더(DownLoader), 코인마이너, RAT, 프록시(Proxy), AntiAV 등 다양한 악성코드를 제작하는 것으로 알려졌다. MS 오피스 크랙 위장 악성코드의 유포 과정을 알아보자.
해당 악성코드의 공격 흐름을 먼저 살펴보면, 이전 사례와 유사하게 MS 오피스 크랙으로 위장해 웹 하드 또는 토렌트를 통해 유포되고 있다. 차이점이 있다면, 다운로드 주소를 구하는 과정과 악성코드를 업로드한 플랫폼이 추가됐으며, 새로운 다양한 악성코드가 확인됐다.
[그림 1] 공격 흐름
크랙으로 위장한 악성코드는 크랙을 함께 생성해 보여주기 때문에 사용자들은 일반적인 크랙 프로그램으로 생각할 수 있다.
[그림 2] 악성코드 실행 시 함께 설치되는 크랙 프로그램
크랙으로 위장한 악성코드는 닷넷(.NET)으로 개발돼 있으며, 최근에는 난독화된 것이 특징이다. 과거 난독화되기 이전에는 [그림 3]과 같은 형태를 가지며, 최초로 실행된 이후 텔레그램에 접속해 다운로드 주소를 구했다.
[그림 3] 텔레그램을 악용해 다운로드 주소를 구하는 루틴
최근 유포되는 악성코드는 2개의 텔레그램 주소와 하나의 마스토돈(Mastodon) 주소를 포함한다. 각각의 프로필에는 구글 드라이브의 주소에 사용되는 문자열이나 깃허브 주소가 포함돼 있다. 공격자는 본인의 채널에 “I prefer dangerous freedom over peaceful slavery.”라는 메시지와 연락 방법을 작성했다.
[그림 4] 공격자의 텔레그램 프로필
[그림 5] 공격자의 텔레그램 채널
깃허브 및 구글 드라이브에서 다운로드되는 데이터는 다음과 같이 베이스64(Base64)로 암호화된 문자열이다. 해당 문자열들을 복호화하면 파워쉘 명령이 확인되는데, 이를 통해 다양한 악성코드가 설치된다.
[그림 6] 베이스64로 암호화된 명령들
악성코드의 특징 중 하나는 설치 과정에서 “C:\ProgramData\KB5026372.exe” 경로에 파워쉘 프로그램을 복사해 사용하며, 깃허브 및 구글 드라이브에 업로드된 압축 파일을 다운로드해 “C:\ProgramData\Google\7z.exe” 경로에 설치한 7zip 프로그램으로 압축 해제한다는 점이다. 암호가 설정된 압축 파일의 비밀번호는 과거부터 지금까지 “x”다.
[그림 7] 7z와 파워쉘을 이용한 악성코드 설치
악성코드를 다운로드하고 지속성을 유지하는 기능은 “software_reporter_tool.exe”라는 이름으로 설치되는 “Updater” 악성코드가 담당한다. 해당 악성코드는 이 외에도 작업 스케줄러를 등록해 재부팅 이후에도 지속적으로 동작할 수 있도록 한다. 등록된 파워쉘은 Updater 악성코드를 다시 업데이트하고 추가 악성코드를 설치하는 기능을 담당한다.
[그림 8] 작업 스케줄러에 등록된 파워쉘 명령
과거 사례에서 공격자는 V3 제품의 설치 여부에 따라 오르쿠스 RAT과 XMRig 중 하나를 선택해 설치했다. 오르쿠스 RAT은 시스템 정보 수집, 파일 / 레지스트리 / 프로세스 작업, 명령 실행과 같은 기본적인 원격 제어 기능뿐만 아니라 키로깅 및 웹캠을 이용한 정보 탈취 기능을 제공한다. 또한, HVNC, RDP를 통한 화면 제어 기능도 지원하기 때문에, 공격자는 이를 이용해 감염 대상 시스템을 제어하고 정보를 탈취할 수 있다.
[그림 9] 공격에 사용된 오르쿠스 RAT
공격에 사용된 XMRig는 “stealth-targets” 옵션을 지원하며, 이는 지정한 프로세스가 실행 중인 경우 마이닝을 중지하는 기능이다. 공격자는 게임이나 하드웨어 모니터링 유틸리티, 그래픽 관련 업무용 프로그램과 같이 시스템의 자원을 많이 소모하는 프로그램이 실행 중인 경우 마이닝을 중지하도록 설정했다. “kill-targets” 옵션은 지정한 이름으로 실행 중인 프로세스를 종료하는 옵션으로, 각종 보안 프로그램의 설치 프로그램이나 시스템 자원을 소모하는 그리드 프로그램들이 대상이 됐다.
{
“algo”:“rx/0”,
“pool”:“minecraftrpgserver[.]com”,
“port”:27037,
“wallet”:“ZEPHs9eCMMza6HRoytdTWnUBP28xnRMhUK7z6smekMurCVVS57GPfqK5uewE7cgiqn4jBoJbi9teC9e6fraJaQoL2UhTMXNB1vs”,
“password”:“”,
“nicehash”:false,
“ssltls”:true,
“max-cpu”:20,
“idle-wait”:5,
“idle-cpu”:80,
“stealth-targets”: “MSIAfterburner.exe,HWiNFO32.exe,HWiNFO64.exe,HWMonitor_x32.exe,HWMonitor_x64.exe,HWMonitorPro_x32.exe,HWMonitorPro_x64.exe,NZXT CAM.exe,speedfan.exe,Core Temp.exe,OpenHardwareMonitor.exe,OCCT.exe,FurMark.exe,TslGame.exe,TslGame_SE.exe,GTA5.exe,GTA6.exe,fifazf.exe,fifa4zf.exe,fifa5zf.exe,FIFA21.exe,FIFA22.exe,FIFA23.exe,FIFA24.exe,FIFA25.exe,League of Legends.exe,LOSTARK.exe,VALORANT.exe,Overwatch.exe,suddenattack.exe,javaw.exe,SC2.exe,SC2_x64.exe,DNF.exe,BlackDesert64.exe,BNSR.exe,ProjectLH.exe,Wow.exe,AfterFX.exe,AFCStudio2.exe,cod.exe,RobloxPlayerBeta.exe,RobloxPlayer.exe,KartDrift-Win64-Shipping.exe,Adobe Premiere Pro.exe,EternalReturn.exe,destiny2.exe,blender.exe,Photoshop.exe,acad.exe,Diablo IV.exe,Cyphers.exe,r5apex.exe,dota2.exe,GameOverlayUI.exe,EOSOverlayRenderer-Win64-Shipping.exe,EpicOnlineServicesUserHelper.exe,obs64.exe,Lineage2M.exe,Q7-Win64-Shipping.exe,rojectN-Win64-Shipping.exe,ProjectER-Win64-Shipping.exe,DW9.exe,XSplit.Core.exe,XSplitVCam.exe,fczf.exe”,
“kill-targets”: “V3Lite_Setup.exe,V3Lite_Setup (1).exe,V3Lite_Setup (2).exe,openssl.exe,natsvc.exe,smmgr.exe,v_service.exe,v_member.exe,akdanhall-installer-build-433.msi,akdanhall-installer-build-433 (1).msi,akdanhall-installer-build-433 (2).msi”,
“stealth-fullscreen”: false
}
3Proxy는 프록시 서버 기능이 구현된 오픈 소스 툴로, 악성코드는 3306 포트를 방화벽 규칙에 추가하고, 정상 프로세스에 3Proxy를 인젝션한다. 인젝션돼 실행되는 3Proxy는 3306 포트를 오픈하는데, 이에 따라 공격자는 감염 대상 시스템을 프록시로 사용할 수 있다.
[그림 10] 3Proxy의 설정 파일
이 외에도 외부에서 추가 페이로드를 다운로드해 실행할 수 있는 PureCrypter와 보안 제품을 방해하는 AntiAV 악성코드가 있다. 악성코드는 특정 보안 프로그램이 실행될 때, 설치 폴더 내의 구성 파일을 지속적으로 수정하는 방식으로 정상적인 실행을 막는다.
[그림 11] AntiAV 악성코드에 의해 정상적으로 동작하지 못하는 국내 보안 프로그램
이처럼 크랙으로 위장한 악성코드 유포 사례는 과거부터 꾸준히 발견되고 있다. 공격자는 윈도우, MS 오피스, 한글 워드 프로세서의 크랙으로 위장한 악성코드를 유포하고, 지속성 유지를 위해 작업 스케줄러에 악성코드 설치 명령을 등록함에 따라, 작업 스케줄러를 제거하지 못한 시스템에서는 지속적으로 악성코드가 설치되고 있다.
공격자는 파일 진단을 우회하기 위해 한 주에 수차례 이상 새로운 악성코드를 유포하고 있으며, 이는 최근까지도 지속되고 있다. 이에 따라, 과거 시점의 악성코드가 제거됐다고 해도 등록된 작업 스케줄러가 새로운 악성코드를 주기적으로 설치하기 때문에, 감염되는 시스템은 계속 증가하고 있다.
자료 공유 사이트에서 다운로드한 실행 파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드할 것을 권장한다. 또한, V3 제품을 최신 버전으로 업데이트해 이런 악성코드 감염을 사전에 차단해야 한다. 이미 감염된 시스템의 경우, V3 제품을 설치해 작업 스케줄러를 치료해야 한다.
출처 : AhnLab