설문조사 이어 전자책으로 위장! 에이싱크랫 주의

에이싱크랫(AsyncRAT) 악성코드는 과거 설문 조사 내용의 정상 문서 파일로 위장해 유포된 바 있다. 당시 에이싱크랫은 다양한 확장자(.chm, .wsf, .Ink)를 악용한 것으로 확인됐다. 그런데 최근 안랩은 전자책으로 위장한 에이싱크랫의 유포 사례를 발견했다. 관련 내용을 자세히 살펴보자.

[그림 1] 악성코드와 함께 유포되는 전자책

전자책으로 위장한 압축 파일의 내부에는 압축 파일 아이콘으로 위장한 악성 LNK 파일과 악성 파워셸(PowerShell) 스크립트를 포함한 텍스트 파일, 동영상 확장자로 위장한 추가 압축파일, 그리고 정상 전자책 파일이 존재한다. LNK 파일은 악성 명령어를 포함하고 있으며, 파워셸 스크립트를 포함한 RM.TXT 파일을 읽어와 실행한다.

[그림 2] 압축 파일 아이콘으로 위장한 악성 LNK

RM.TXT 파일은 악성 파워셸 스크립트를 은폐하기 위해 대부분 의미없는 문자열로 이루어져 있다. 실질적인 스크립트는 다운로더 악성코드를 포함한 폴더를 숨김 속성으로 변경하고, 난독화 된 스크립트를 실행한다.

[그림 3] 악성 파워셸 스크립트가 포함된 RM.TXT

난독화 된 스크립트는 시스템 내부에 존재하는 보안 제품을 탐색하고, 결과에 따라 동영상 확장자로 위장한 압축 파일 내부의 악성코드를 실행한다.

[그림 4] 복호화된 파워셸 스크립트 메인 로직

[그림 5] 동영상 파일로 위장한 압축 파일

[그림 6] Method1 함수 내용 일부

Method1 함수는 4.mkv의 압축을 해제한 뒤, “NTUSER.BAT{428f9636-1254-e23e3-ada2-03427pie23}.TM.VBS” 스크립트 파일을 실행하는 XML 파일을 “BitTorrent Certificate” 명으로 작업 스케줄러 등록을 시행한다.

실행된 VBS 파일은 시스템 정보를 “WindowsLogFile.txt”에 기록하고, 배치 파일(NTUSER.BAT{428f9636-1254-ee23-ada2-080027dede23}.TM.bat)을 통해 파워셸 스크립트를 실행한다.

[그림 7] 데이터 파일을 복호화해 실행하는 파워셸 코드 일부

실행된 파워쉘 스크립트(NTUSER.DAT{428f1209-1254-11ef-ada2-080027dede23}.TxR.1.ps1)는 난독화 된 PE파일인 blf파일(NTUSER.DAT{428f1209-1254-13ef-ada4-080027dede23}.TxR.blf, NTUSER.DAT{4280000a-1254-11ef-ada2-080007dede23}.TM.blf)을 로드해 에이싱크랫을 실행한다.

n   Method2

Method2 함수는 5.mkv 압축을 해제한 뒤, 압축 파일 내부에 존재하는 VBS 스크립트를 실행하는 작업 스케줄을 ‘BitTorrent’으로 등록한다. VBS 스크립트는 배치 파일을 통해 AutoHotKey 스크립트를 실행시키며, 최종적으로 에이싱크랫을 [그림 8]의 URL에서 다운로드 받아 실행한다.

[그림 8] AutoHotKey 스크립트

n   Method3

Method3 함수는 8.mkv 압축을 해제한 후, 압축 파일 내부에 존재하는 파워셸 스크립트를 실행하는 작업 스케줄을 ‘USER ID Converter’으로 등록한다. 파워셸 스크립트는 RM.TXT 파일과 동일한 방식으로 난독화돼 있으며, 최종적으로 동일한 경로에 존재하는 에이싱크랫을 직접 실행한다.

이 과정을 거쳐, 에이싱크랫이 최종적으로 실행된다. 에이싱크랫은 AntiVM, AntiAV, 지속성 유지와 같은 기능을 탑재했으며, 사용자의 정보를 유출한다. 또한, 공격자로부터 명령을 받아 다양한 악성 행위를 수행할 수 있다.

[그림 9] AsyncRAT 악성코드

에이싱크랫 악성코드는 과거부터 다양한 확장자 및 공격 방식을 악용해 꾸준히 유포돼 오고 있다. 특히, 정상 전자책을 위장한 유형은 피싱 메일 외에 자료 공유 사이트에서도 공유될 수 있어 사용자의 각별한 주의가 요구된다.

자세한 내용은 ASEC 블로그를 통해 확인할 수 있다.

▶ASEC 블로그 바로가기