김수키가 오토잇으로 제작한 원격 제어 악성코드 주의!
김수키는 초기 침투 이후 감염 대상 시스템을 제어하기 위해 원격 제어 악성코드를 설치한다. 원격 제어 악성코드를 설치한 이후에는 키로거, 정보 탈취형 악성코드를 설치해 최종적으로 조직의 내부 정보 또는 기술을 탈취한다. 최근 확인된 악성코드는 아마데이(Amadey), RftRAT으로, 오토잇(AutoIt) 언어로 제작된 점이 특징이다. 이번 글에서는 김수키가 이 두 악성코드를 사용해 공격을 전개한 과정을 자세히 알아보자.
올해 다수의 공격 사례에서 김수키가 아마데이 악성코드를 설치한 정황이 확인됐다. 아마데이는 C&C 서버로부터 추가 악성코드를 설치하는 다운로더 악성코드로, 감염 대상 시스템의 기본 정보를 전송하거나 스크린샷, 웹 브라우저 및 이메일 클라이언트에 저장된 계정 정보를 탈취하기도 한다. 특히 김수키가 사용하는 아마데이는 DGA를 지원하는데, DGA는 정해진 형태가 아닌 동적으로 C&C 서버 주소를 생성하는 알고리즘이다. 김수키는 날짜를 기반으로 C&C 서버 도메인을 생성해 이를 보조 C&C 서버로 활용한다.
[그림 1] 아마데이의 DGA 알고리즘
김수키는 드로퍼를 이용해 아마데이를 설치하는데, 이때 드로퍼는 DLL 포맷이다. 이 드로퍼는 [그림 2]와 같이 %PUBLIC% 경로에 이름이 무작위로 설정된 폴더를 숨김 속성으로 생성하고, 해당 폴더 내부에 존재하는 파일들을 드롭한다. 생성된 파일들 중에는 아마데이를 포함한 압축 파일도 존재하는데, 용량이 300MB 이상으로 매우 크다. 이는 보안 솔루션을 우회하기 위해 용량을 키운 것으로 추정된다.
[그림 2] Public 경로에 생성된 아마데이 관련 파일들
이후 “%ALLUSERSPROFILE%\Startup” 경로를 생성하고 시작 폴더에 등록한다. 여기에는 지속성 유지를 담당하는 “svc.vbs”라는 이름의 스크립트가 생성된다. Rundll32.exe 프로세스에 의해 로드 및 실행되는 아마데이는 svchost.exe 프로세스를 거쳐 최종적으로 iexplore.exe 프로세스에 인젝션된다.
[그림 3] C&C 서버에 전송되는 감염 시스템 정보
김수키가 사용한 드로퍼는 아마데이뿐만 아니라 C&C 서버로부터 명령을 전달받아 수행할 수 있는 백도어 악성코드인 RftRAT도 설치했다. 이번에 확인된 RftRAT은 모두 아마데이와 동일하게 VMP로 패킹돼 있으며, 용량도 300MB 이상이다.
이번 공격 사례의 특이점은 김수키가 최근 오토잇 언어를 이용해 악성코드를 제작하고 있다는 것이다. 김수키는 오토잇을 아마데이를 포팅 및 제작하거나 RftRAT을 인젝션하는 용도로 사용했다.
오토잇 언어로 포팅된 아마데이, 즉 오토잇 아마데이(AutoIt Amadey)는 정상 오토잇 실행 파일과 컴파일된 오토잇 스크립트를 감염 대상 시스템에 설치했다. 컴파일된 오토잇 스크립트는 용량이 100MB로, 안티바이러스의 분석을 방해한다. 또, 내부에는 [그림 5]와 같은 더미 데이터를 포함한다.
[그림 4] 공격에 사용된 컴파일된 오토잇 스크립트 파일
복호화된 오토잇 스크립트는 언어가 다르지만, 감염 대상 시스템 정보를 수집한 이후 C&C 서버에 전달할 때 나타나는 HTTP 요청 구조가 전형적인 아마데이와 동일하다.
[그림 5] 아마데이가 C&C 서버에 전송하는 HTTP 패킷 구조
이 외에, 오토잇 아마데이는 감염 대상 시스템에 설치된 안티바이러스 목록을 구할 때 국내 업체를 검사하는 루틴이 있으며, exe 포맷 외에도 dll, 파워쉘, vbs 및 js 포맷의 추가 페이로드를 다운로드 및 실행하는 기능도 지원한다.
[그림 6] 아마데이의 루틴이 구현된 스크립트
RftRAT 역시 이번 공격에서 오토잇 스크립트를 활용했다. [그림 8]과 같이, 안랩 ASD 로그에서는 RftRAT을 설치하는 드로퍼 DLL, “d015700.dll”의 실행 로그와 함께, 최종적으로 svchost.exe에 인젝션돼 동작하는 RftRAT이 정보 탈취형 악성코드를 생성하는 로그가 확인됐다. 참고로, 해당 시스템에는 이후 애플시드(AppleSeed) 악성코드가 추가로 설치된 정황이 확인됐다.
[그림 7] 김수키 그룹의 공격 로그
최근 사례에서 확인된 RftRAT은 김수키가 사용한 라이브러리 파일과 C&C 통신 및 명령 결과 전달에 사용하는 경로명, 그리고 ICMLuaUtil를 사용해 사용자 계정 컨트롤(User Account Control, UAC) 우회를 한다는 점 등을 고려했을 때, 과거 버전의 RftRAT과 동일한 것으로 추정된다.
[그림 8] 최신 버전과 유사한 과거 버전의 RftRAT 문자열
컴파일된 RftRAT 오토잇 스크립트는 아마데이 사례와 유사하지만, 실질적인 기능은 svchost.exe를 실행하고, 여기에 RftRAT을 인젝션하는 인젝터이다. 최종 페이로드인 RftRAT은 단독으로는 실행될 수 없으며, 매핑된 “A1CCA2EC-C09F-D33C-4317-7F71F0E2A976_0″이라는 이름의 파일에서 데이터를 읽어와야 한다. 인젝터 기능을 담당하는 오토잇 스크립트는 여기에 오토잇 실행 파일과 스크립트의 경로를 작성한다.
[그림 9] 파일 매핑 과정을 통해 전달받은 오토잇 관련 파일 경로
이렇게 전달받은 오토잇 실행 파일과 스크립트의 경로는 이후 UAC 우회 과정에서 사용된다. RftRAT은 CMSTPLUACOM 컴포넌트의 ICMLuaUtil 인터페이스를 이용해 UAC를 우회하고, 자신을 관리자 권한으로 실행시킨다. 관리자 권한으로 실행된 RftRAT은 감염 대상 시스템의 기본 정보를 수집한 후, 이를 C&C 서버에 전송한다.
[표 1] RftRAT이 C&C 서버에 전달하는 정보
[그림 10] RftRAT이 C&C 서버와 통신할 때 사용하는 패킷
이후 RftRAT은 C&C 서버로부터 명령을 전달받는다. 그런 다음, 전달받은 명령을 “%APPDATA%\asc\t1.pb” 경로에 작성하고, 이를 복호화한다. 복호화한 결과는 실제 명령으로, 이를 동일한 파일에 작성하고 다시 읽어와 사용한다. 참고로 명령과 실행 결과, 그리고 추가적으로 다운로드한 파일은 [표 2]의 경로에 생성된다.
[표 2] RftRAT의 C&C 통신 및 명령 과정에서 생성되는 파일들
[표 3] RftRAT의 명령
김수키는 제어 권한을 탈취한 이후에도 키로거, 웹 브라우저 계정 및 쿠키 정보 추출 툴 등 다양한 악성코드를 설치해 감염 대상 시스템의 정보를 탈취한다. 또는 수 년 전부터 꾸준히 사용해온 미미카츠(Mimikatz), RDP 래퍼(RDP Wrapper)를 설치하기도 한다. 최근에는 사용자의 로그온 기록을 모니터링하는 악성코드를 사용한 사례도 확인된다.
정리하면, 김수키는 지속적으로 국내 사용자를 겨냥한 스피어 피싱 공격을 수행하고 있다. 최근에는 국내 사용자를 대상으로 다양한 주제의 악성 LNK 파일을 유포하고 있어 각별한 주의가 필요하다.
김수키는 감염 대상 시스템을 제어하고 정보를 탈취하기 위해 여러 가지 새로운 악성코드를 제작하고 있으며, 최근에는 보안 제품을 우회하기 위해 악성코드 제작에 오토잇을 사용하기도 한다.
따라서 사용자는 메일 발신자를 신중하게 확인해야 하며, 출처가 불분명한 파일은 열람을 자제해야 한다. 또한, 운영체제(OS) 및 인터넷 브라우저 등의 프로그램에 대해 패치하고, 사용 중인 AhnLab V3를 최신 버전으로 업데이트해 악성코드에 감염되지 않도록 신경 써야 한다.
출처 : AhnLab
