보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

국내 기업 노린 두 악성코드의 연결고리

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-04-01

최근 비슷한 시기에 국내 기업 사용자를 노린 두 개의 악성코드가 확인됐다. 안랩은 지난 1분기 기업 사용자를 대상으로 유포된 악성 이메일을 추적하던 중 클롭 랜섬웨어와 Flawed Ammyy RAT 악성코드가 연관된 정황을 포착했다. 이 글에서는 안랩 시큐리티대응센터(AhnLab Security Emergency-response Center, 이하 ASEC)가 추적, 분석한 Flawed Ammyy RAT과 클롭 랜섬웨어의 유포 방식 및 공격 기법을 면밀히 살펴보고, 이들 두 악성코드 사이에 어떠한 연결고리가 존재하는지 그 연관 관계에 대해 자세히 알아본다.

 

해킹 툴 Flawed Ammyy RAT 공격 개요

먼저 원격제어 기능을 가진 해킹 툴 Flawed Ammyy RAT(Remote Access Tool)의 공격 방식을 살펴보자. 공격자는 스팸 메일을 이용한 악성코드 유포 방식을 사용했다. [그림 1]과 같이 메일의 내용만 보면 다운로드나 실행을 유도하지 않는 일반적인 내용의 메일로 보여 해당 메일을 수신한 사용자는 별 다른 의심없이 메일의 첨부 파일을 열어볼 소지가 있다. 

 

사용자가 첨부된 악성 엑셀 문서를 다운받은 후 실행하면 [그림 2]와 같은 화면이 나타난다. 공격자는 사회공학적 기법을 이용하여 매크로 설정이 꺼져 있는 마이크로소프트 오피스(Microsoft Office) 프로그램에서 사용자가 화면 상단의 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도했다. 

 

 

[그림 1] 스팸 메일 사례 

 

 

또한 해당 문서에는 일반적인 악성 문서 파일과 달리 VBA(Visual Basic for Application)를 이용한 악성 매크로 대신 XLM을 이용한 매크로가 포함되어 있다. XML은 엑셀 프로그램의 이전 버전인 4.0 버전에서 사용하는 매크로다. 이와 같이 이번 공격에 사용된 방식은 보안 프로그램의 탐지 회피를 위해 엑셀 프로그램의 초기 버전에서 이용하는 매크로 제작 방식을 사용했다는 점이 특징이다.

 

 

[그림 2] 매크로를 활성화시키기 위해 사용되는 사회공학적 기법

 

 

엑셀 파일 하단의 숨겨진 워크 시트를 해제하면 [그림 3]과 같은 명령을 확인할 수 있는데, 이는 msiexec.exe를 이용해 악성 서버에서 msi 파일을 다운로드하고 실행하는 방식이다.

 

 

[그림 3] XML을 이용한 다운로드 방식

 

 

서버로부터 다운로드된 악성 msi 파일은 내부에 exe 파일을 포함하고 있는데, 해당 exe 파일은 실제 악성 백도어 역할을 담당하는 또 다른 exe 파일을 다운로드하는 기능을 수행한다. 또한 파일을 실행시키기 전 현재 실행 중인 프로세스를 검사하여 백신 프로그램이 실행 중인 경우에는 해당 백신 프로그램의 프로세스를 종료한다.

 

이후 특정 url에서 인코딩된 형태의 파일이 다운로드되며, 최종적으로 디코딩 과정을 거치면 exe 형태의 악성코드가 생성된다. 한편 다운로더는 악성코드 설치 이후 자가 삭제되는데, 이때 설치된 악성코드가 실제 악성 행위를 담당하는 해킹 툴인 ‘Flawed Ammyy RAT’이다.

 

 

[그림 4] 악성코드 공격 흐름도

 

 

[그림 4]는 Flawed Ammyy RAT이 다운로드되기까지의 일련의 과정을 나타낸 것이다. 공격자는 다수의 백신 프로그램에서 오피스 문서 파일의 VBA 매크로가 주요 분석 대상이라는 점을 이용하여 XLM을 사용한 공격 방식을 통해 백신 프로그램의 탐지를 효과적으로 우회했다.

 

한편 Flawed Ammyy RAT은 원격 데스크탑 프로그램인 Ammyy Admin의 유출된 소스 코드를 기반으로 제작되었다. Ammyy Admin 프로그램은 파일 전송이나 화면 캡쳐와 같은 원격 컴퓨터에 대한 제어 기능을 포함하고 있다. 공격자는 해당 소스 코드를 기반으로 악성 행위를 수행할 수 있도록 코드를 추가, 수정하여 RAT 악성코드를 제작한 것으로 보인다.

 

Ammyy와 클롭 랜섬웨어의 연관성 

Flawed Ammyy RAT은 악성코드 본체뿐만 아니라 다운로더 또한 유효한 서명을 포함한다. 유효하지 않은 서명을 포함한 여타 악성코드와는 달리, 악성코드 바이너리가 여러 유효한 인증서를 통해 서명되어 유포되는 것은 Flawed Ammyy RAT만의 특징적인 점이라고 볼 수 있다. 그런데 국내 기업을 대상으로 유포된 클롭 랜섬웨어에서도 이와 같은 특징이 발견되었다. 

 

안랩은 Flawed Ammyy RAT과 클롭 랜섬웨어의 인증서를 함께 분석하던 중 두 악성코드가 동일한 인증서로 서명된 경우가 존재하는 사실을 확인했다. [그림 5]는 동일한 인증서 ‘MAN TURBO (UK) LIMITED’로 서명된 Flawed Ammyy RAT과 클롭 랜섬웨어의 속성 화면이다.

 

 

[그림 5] 동일한 인증서 

 

 

또한 Flawed Ammyy RAT과 클롭 랜섬웨어는 일반 사용자가 아닌 기업 사용자를 대상으로 유포된다는 공통점이 존재한다. 클롭 랜섬웨어는 다수의 일반 사용자들을 대상으로 하는 대부분의 랜섬웨어들과 달리 기업을 공격 대상으로 하는데, 유포 방식 및 감염 방식은 아직 확인되지 않았다. 다만 공격자는 중앙 관리 서버에 침투한 후 관리 서버에 연결된 시스템에 악성코드를 삽입 및 감염시킨다는 사실만 알려져 있다.

 

 

[그림 6] WORKGROUP 문자열을 검사하는 루틴

 

 

한편 Flawed Ammyy의 다운로더에 최근 변화가 포착됐다. 백신 프로그램의 프로세스 검사 루틴 이후에 기업 사용자 환경을 탐지하는 루틴이 포함된 것이다. [그림 6]과 같이 ‘net user /domain’ 명령을 수행하고, 그 결과에 WORKGROUP 문자열이 출력되는지 검사한다. 일반 개인 사용자의 경우 별다른 설정이 없기 때문에 WORKGROUP 문자열이 출력되지만 기업 사용자의 경우 각 환경에 맞게 설정된 그룹명이 출력될 수 있다. 공격자는 WORKGROUP 문자열이 출력되는 일반 개인 사용자의 경우 Flawed Ammyy RAT 악성코드를 다운로드 및 설치하는 악성 행위를 수행하지 않고 종료하도록 했다.

 

클롭 랜섬웨어 동작 방식

이번에는 클롭 랜섬웨어의 공격 방식 및 암호화 과정을 살펴보자. 클롭 랜섬웨어는 [그림 7]과 같이 시스템 서비스로 등록되어 실행되며, 서비스로 실행되지 않는 경우에는 정상적으로 동작하지 않는다.

 

 

[그림 7] 클롭 랜섬웨어의 실행 방법

 

 

또한 파일 암호화를 진행하기 전 일부 프로세스를 강제로 종료시키는데, 이는 암호화를 진행하는 과정에서 보다 많은 대상을 암호화하기 위한 것으로 추정된다. 클롭 랜섬웨어의 특징적인 점은 암호화 진행 시 일부 경로와 파일을 암호화 대상에서 제외하는 점이다. 암호화 경로나 파일명에 특정 문자열을 포함하고 있으면 암호화 대상에서 제외된다. 

 

공격자의 공개키는 파일 내부에 포함되어 있으며, 해당 공개키는 파일 암호화 시 사용된다. 또한 파일 암호화 진행 시 AES 알고리즘이 이용되는데 사용자 PC에서 생성한 대칭키로 대상 파일을 암호화한다. 이때 [그림 8]과 같이 클롭 랜섬웨어의 시그니처인 Clop^_-를 내부에 삽입하고 공격자의 공개키로 사용한 대칭키를 암호화하여 시그니처의 뒷부분에 사용한다.

 

 

[그림 8] 암호화된 파일의 시그니처

 

 

최종적으로 암호화된 파일은 [그림 9]와 같이 파일명이 ‘[원본파일명].Clop’으로 변경된다.

 

 

[그림 9] 암호화된 파일

 

지금까지 살펴본 내용 및 두 악성코드의 연관성을 통해 현재 유포 방식 및 감염 방식이 확인되지 않은 클롭 랜섬웨어의 감염 벡터 중 하나로 Flawed Ammyy RAT이 사용되었음을 추정할 수 있다. Flawed Ammyy RAT은 원격제어를 통해 정보 유출 및 악성코드 설치를 위한 명령 수행이 가능하기 때문이다.

 

Ammyy와 클롭 랜섬웨어, 어떤 ‘연결고리’ 있나

Flawed Ammyy RAT과 클롭 랜섬웨어는 활동 시기가 겹치는 점, 국내 사용자를 직접적인 대상으로 하는 점, 백신 프로그램을 우회하는 루틴을 포함하는 점, 그리고 여러 유효한 인증서를 통해 변형을 포함하는 다수의 악성코드들을 서명하고 유포하였다는 점 등 다수의 공통점이 존재한다. 뿐만 아니라 두 악성코드가 동일한 서명을 공유하고 있고, 공격 대상 또한 기업 사용자라는 점으로 미루어 동일한 공격자가 제작한 것으로 추정할 수 있다.

 

기업 사용자를 주요 공격 대상으로 삼는 Flawed Ammyy RAT, 클롭 랜섬웨어와 같은 악성코드 피해를 최소화하기 위해서는 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다. 또한 사내에서 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 및 확인되지 않은 웹 페이지 방문은 삼가는 등 각별한 주의가 필요하다.

 

Ammyy 해킹 툴과 클롭 랜섬웨어에 관한 보다 상세한 내용은 최근 발표된 ASEC Report(2019년 1분기 보고서)에서 확인할 수 있다. 

[ASEC Report] 2019 1분기 보고서 전문 보기

  • AhnLab 로고
  • 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.