광고 페이지 악용한 프록시재킹 공격 주의
안랩은 최근 프리웨어 소프트웨어 사이트의 광고 페이지를 통해 프록시웨어(Proxyware)가 설치되는 것을 확인했다. 이 프록시웨어는 ‘넷링크 커넥트(Netlink Connect)’라는 인증서로 서명됐지만, 분석 결과 과거 프록시재킹(Proxyjacking) 공격 캠페인에서 악용된 디지털 펄스(Digitalpulse) 프록시웨어와 동일한 것으로 밝혀졌다. 정상 프로그램이 설치되는 과정에서 광고 페이지를 통해 ‘토클리커(AutoClicker)’는 위장 프로그램이 설치될 수 있으며, 최종적으로 설치되는 프록시웨어는 사용자의 네트워크 대역폭을 탈취한다. 관련 사례를 좀 더 자세히 살펴보자.
1. 프록시재킹 공격
먼저, 프록시재킹 공격이란 사용자의 동의 없이 프록시웨어를 설치해 감염 대상 시스템의 인터넷 대역폭 일부를 외부에 공유하는 방식으로 공격자들이 수익을 얻는 공격 방식이다. 프록시웨어란 설치된 시스템에서 현재 사용 가능한 인터넷 대역폭 일부를 외부에 공유하는 프로그램으로, 일반적으로 이를 설치하는 사용자는 대역폭을 제공하는 대신 일정한 금액을 받는다. 만약 공격자가 사용자의 동의 없이 감염 대상 시스템에 프록시웨어를 몰래 설치할 경우, 감염된 시스템은 비자발적으로 네트워크 대역폭을 탈취당하게 되며, 수익은 공격자에게 돌아가게 된다. 이는 크립토재킹 공격과 유사한데, 프록시웨어 대신 코인 마이너를 설치해 감염 대상 시스템의 자원으로 암호화폐를 채굴한다는 점이 크립토재킹과 다르다.
프록시재킹 공격은 다른 여러 보안 업체들에 의해서도 보고되고 있다. 프록시재킹 공격 사례에서 악용되는 프록시웨어로는 IPRoyal, Peer2Profit, Traffmonetizer, Proxyrack, PacketStream 등이 있다. 이 외에도 2023년에는 레벨블루(LevelBlue)사에서 디지털 펄스라는 이름의 프록시웨어를 설치하는 프록시재킹 공격 캠페인을 소개하기도 했는데, 최소 40만 대 이상의 윈도우 시스템을 감염시킨 것으로 알려졌다.
이번에 확인된 프록시재킹 공격에서도 디지털 펄스 프록시웨어가 설치됐다. 다만, 이번에는 “넷링크 커넥트”라는 이름으로 서명된 점이 과거와 조금 다르다.
2. 광고 페이지를 통한 유포
현재 공격 사례에서 악성코드는 프리웨어인 특정 유튜브 다운로더 프로그램의 홈페이지를 거쳐 설치됐다. [그림 1]과 같은 다운로드 페이지에 처음 접속한 후 웹 페이지를 클릭하면 광고 페이지가 팝업되며, 랜덤한 확률로 여러 PUP 및 악성코드, 광고 페이지로 리다이렉트된다.
[그림 1] 악성코드 유포에 사용된 프리웨어 웹 페이지
악성코드는 [그림 2]의 좌측 다운로드 페이지에서 다운로드되거나 우측의 루마C2(LummaC2)를 유포하는 페이지로 리다이렉트되기도 한다.
[그림 2] 악성코드를 유포하는 팝업 페이지
참고로 루마C2는 클립보드에 악성코드 다운로드 명령을 저장한 후 사용자로 하여금 실행하도록 하는 피싱 기법이다. 실행 창에서는 CAPCHA와 관련된 내용만 보이지만, 실제로는 mshta를 이용해 외부에서 악성 자바스크립트를 다운로드하고 실행하는 명령이다. 이전 사레에서는 피싱 메일의 첨부 파일로 유포됐지만, 이번 사례에서는 광고 페이지를 통해 유포되는 것으로 확인됐다.
[그림 3] 클립보드에 저장된 루마C2를 설치하는 실제 명령
3. 악성코드 분석
위와 같은 광고 페이지에서 유포된 파일을 사용자가 별도 검증 없이 실행할 경우 최종적으로 사용자의 인지 없이 프록시웨어가 시스템에 설치된다.
[그림 4] 악성코드 설치 흐름도
3.1. 분석 방해 기법
최초 유포 파일은 [그림 5]의 좌측 이미지와 같은 아이콘으로 위장하며, 설치 시 자동 클릭 기능을 제공하는 GUI 프로그램으로 위장한 오토클리커를 설치한다.
[그림 5] 최초 유포 파일 및 실행 결과
하지만 “AutoClicker.exe”는 내부에 프록시웨어를 다운로드하는 루틴이 삽입된 다운로더 악성코드이다. 오토클리커는 사용하는 문자열들을 암호화해 가지고 있으며, 함수 이름도 정상적인 목적으로 위장한다.
[그림 6] 암호화된 문자열들과 정상적인 목적으로 위장한 함수명들
이 외에도 실행되면 먼저 다양한 Anti VM 및 Anti Sandbox 기법들을 사용해 현재 환경이 분석 환경인지 검사한다.
[표 1] 분석 방해 기법
여러 가지 분석 방해 기법들 중 가장 눈에 띄는 부분은 웹 브라우저의 히스토리 파일을 검사해 일정 크기 이하일 때는 악성 루틴이 실행되지 않도록 한다는 점이다. 크로미움(Chromium) 기반 웹 브라우저나 인터넷 익스플로러는 0.5MB, 모질라 파이어폭스(Mozilla Firefox)의 경우 5.5MB 이상인지 검사한다.
[그림 7] 웹 브라우저 히스토리 파일 크기 검사
3.2. 프록시웨어 설치
여기까지의 과정이 끝나면 오토클리커는 “%TEMP%\t.ps1” 경로에 파워쉘(PowerShell) 스크립트를 생성하고 실행하는데, [그림 8]과 같이 노드JS(NodeJS)를 설치하고 악성 자바스크립트를 다운로드한 후 작업 스케줄러에 등록하는 기능을 담당한다.
[그림 8] 다운로더 기능을 담당하는 파워쉘 스크립트
“FastDiskCleanup”이라는 이름으로 등록된 작업은 노드JS를 이용해 다운로드한 자바스크립트 악성코드를 실행하는 기능을 담당한다.
[그림 9] “FastDiskCleanup”이라는 이름으로 등록된 작업
노드JS를 통해 자바스크립트가 실행되면 C&C 서버에 접속해 시스템의 기본적인 정보들을 전송한 후응답에 따라 추가 명령을 실행한다. 다운로드된 응답은 최종적으로 프록시웨어를 설치하는 파워쉘 명령이다.
[그림 10] C&C 서버에 전송하는 데이터 구조
파워쉘 명령은 깃허브에서 프록시웨어를 “C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Performance\NTService.exe”와 같은 경로에 다운로드한 후 “Network Perfomance”라는 이름으로 작업 스케줄러에 등록된다.
[그림 11] 프록시웨어를 설치하는 루틴
최종적으로 설치된 프록시웨어는 과거 공격 사례에서도 알려진 디지털 펄스이다. 바이너리 자체는 실질적으로 동일하지만 과거 사례와 비교하면, “넷링크 커넥트”라는 이름의 인증서로 서명됐다는 점이 다르다.
최종적으로 설치된 프록시웨어는 과거 공격 사례에서도 알려진 디지털 펄스이다. 바이너리 자체는 실질적으로 동일하지만 과거 사례와 비교하면, “넷링크 커넥트”라는 이름의 인증서로 서명된 점이 다르다.
4. 결론
이처럼 최근 프리웨어 소프트웨어 사이트의 광고 페이지를 통해 디지털 펄스 프록시웨어가 유포되고 있다. 이번 사례에서도 인증서 외에, 과거와 동일한 프록시웨어가 사용된 것을 확인할 수 있었다. 또한, 프록시웨어 악성코드는 시스템의 리소스를 이용해 수익을 얻는다는 점에서 코인 마이너와 유사하다.
따라서 사용자는 공식 홈페이지가 아닌 광고 및 팝업과 같은 의심스러운 웹 사이트나 자료 공유 사이트에서 실행 파일을 설치하는 행위를 주의해야 한다. 또한, 이미 감염된 시스템의 경우 AhnLab V3 제품을 설치해 추가 악성코드 감염을 차단해야 한다.
출처 : AhnLab
