라자루스 그룹의 신종 악성코드, 어떻게 유포되나
북한의 지형 지속적 위협(APT) 그룹인 라자루스(Lazarus)는 최근 여러 해외 보안 업체들이 주목하고 있는 위협 그룹 중 하나다. 라자루스는 과거 금융 분야를 주요 공격 타깃으로 삼았었으나 최근에는 방위산업체까지 대상을 넓혔다. 안랩은 ASEC 블로그를 통해 꾸준히 라자루스 그룹에 관한 분석 내용을 소개해 왔다.
이번 글에서는 라자루스 그룹이 유포하고 있는 신종 악성코드에 대해 자세히 살펴본다.
안랩이 최근 라자루스로부터 공격받은 피해 시스템을 분석해 본 결과 하나의 공통점을 발견했다. 그것은 바로 특정 프로세스(inisafecrosswebexsvc.exe)에 의해 악성 행위가 발생되었다는 점이다.
안랩은 해당 프로세스에 대해 자세히 알아보았고, 그 결과 다음과 같은 내용을 확인할 수 있었다.
• inisafecrosswebexsvc.exe는 특정 보안 업체의 실행 파일이다.
• inisafecrosswebexsvc.exe는 정상 서명된 파일이다.
• 정상 파일과 같은 해시값을 가진다(MD5:4541efd1c54b53a3d11532cb885b2202).
• 침해 시점 이전부터 시스템에 설치되어 있었으며 변조의 흔적은 발견되지 않았다.
• 시스템 부팅 시 iniclientsvc_x64.exe에 의해 실행된다. 침해사고가 발생한 당일에도 같은 방식으로 실행됐다.
확인된 inisafecrosswebexsvc.exe 파일은 변조되지 않은 정상 파일이었다. 그런데 어떻게 악의적인 행위를 실행할 수 있었을까? 안랩이 프로세스 실행 이력과 SCSKAppLink.dll의 코드를 확인해 본 결과, 악성코드인 SCSKAppLink.dll이 inisafecrosswebexsvc.exe에 인젝션되어 동작한 것을 확인했다.
SCSKAppLink.dll에는 인젝션된 호스트 프로세스에 따라 분기하는 코드가 포함되어 있었다. 분기 코드에는 inisafecrosswebexsvc.exe 프로세스에 인젝션되어 동작하는 경우 hxxps://materic.or.kr/include/main/main_top.asp?prd_fld=racket에 접속해 추가 악성코드를 다운로드하고 실행하도록 작성되어 있다. 그외 나머지 분기에는 svchost.exe, rundll32.exe, notepad.exe 에 인젝션 여부를 판단하도록 되어 있다. 그러나, 해당 분기문에는 실행 코드가 포함되지 않은 것으로 보아 완성된 악성코드는 아닌 것으로 추정할 수 있다.
SCSKAppLink.dll이 인젝션된 inisafecrosswebexsvc.exe는 악성코드 배포지에 접속한 뒤, 인터넷 임시 폴더 경로에 다운로더 악성코드 'main_top[1].htm 파일'을 다운로드하고 이를 SCSKAppLink.dll로 복사했다.
• 다운로드 경로 : c:\users\<사용자>\appdata\local\microsoft\windows\inetcache\ie\zlvrxmk3\main_top[1].htm
• 복사된 경로 : C:\Users\Public\SCSKAppLink.dll
[그림 1] SCSKAppLink.dll 의 호스트 프로세스에 따른 분기 코드
[그림 2] SCSKAppLink.dll 코드 (호스트가 inisafecrosswebexsvc.exe인 경우 접근하는 C2 주소)
안랩은 SCSKAppLink.dll을 라자루스 공격 그룹이 제작한 악성코드로 판단하고, 관련 악성코드를 지속적으로 추적하고 있다.
출처 : AhnLab
