▶ AsyncRAT : Async (비동기) + RAT (원격 접속 도구) = 비동기 원격 접속 도구 악성코드
[참고자료]
https://devlog-wjdrbs96.tistory.com/163
AsyncRAT 악성코드가 chm 을 이용하여 유포되는 전체 동작 과정
먼저, chm 파일을 실행하게 되면 기존 유형과 달리 빈 화면의 도움말 창이 생성된다.
이때 사용자 모르게 실행되는 악성 스크립트의 내용은 아래와 같으며, 이전 유형에 비해 비교적 간단한 형태인 것을 알 수 있다. 해당 스크립트는 mshta 를 이용하여 “hxxps://2023foco.com[.]br/plmckv.hta” 주소에 존재하는 악성 명령어가 실행된다.
해당 주소에는 악성 VBScript 가 존재하며 명령어의 일부는 아래 그림과 같다. 악성 VBScript 는 탐지를 우회하기 위해 문자열이 쪼개진 형태이며 파워쉘 명령어를 실행하는 기능을 수행한다. 실행되는 파워쉘 명령어는 2가지로, 아래 URL 에서 각각 vbs 및 hta 파일을 다운로드 후 실행한다.
- hxxp://2023foco.com[.]br/vvvvv.txt (C:\ProgramData\v.vbs)
- hxxps://2023foco.com[.]br/serverhta.hta (C:\ProgramData\v.hta)
1. v.vbs 파일
▶ 이 파일은 아래 이미지와 같이 알아보기 힘든 형태로 난독화되어 있다.
▶ 난독화 해제 : 파워쉘 명령어를 확인할 수 있으며 파워쉘 명령어는 스크립트 내 인코딩된 형태로 존재하는 닷넷 DLL 을 로드한다. 해당 DLL 은 Loader 파일로 인자로 전달되는 URL 에서 악성 데이터를 받아 메모리상에 로드한다.
로드된 DLL 은 리버스된 악성 URL 을 인자로 받아 해당 URL 에서 추가 데이터를 다운로드 후, “C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe” 프로세스에 로드하여 실행한다.
Loader 에 의해 다운로드되어 실행되는 데이터가 실제 악성 행위를 수행하며, 깃허브에 공개된 오픈 소스 RAT 악성코드 AsyncRAT 이다. 해당 악성코드는 C2 로부터 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있으며 기본적으로 Anti-VM, 키로깅, 원격 쉘 등의 기능이 존재한다. 추가로, C2 및 port 등 악성 행위에 필요한 문자열을 모두 암호화한 형태로 가지고 있으며 아래 이미지와 같이 복호화하여 사용한다.
2. v.hta
▶ v.hta 는 추가 명령어 실행 및 시작 프로그램 생성 기능을 수행.
첫번째 기능인 추가 명령어 실행은 파워쉘 명령어를 통해 아래 url 에서 받아온다.
- hxxps://2023foco.com[.]br/2.txt
추가 명령어는 아래와 같이 파워쉘 명령어로, 2개의 URL 에서 각각 데이터를 받아온 후 하나의 데이터를 실행하는 기능을 수행한다.
▶ 이때 전달되는 인자 : “C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell_ise.exe” 경로 + 나머지 하나의 데이터
현재 첫번째 URL 접속이 불가능하여 정확한 과정은 알 수 없지만, 받아오는 데이터는 Loader 로 추정. Loader 를 통해 인자로 전달된 정상 프로세스에 나머지 데이터가 인젝션되어 실행되는 것으로 추정되며, 이는 행위 탐지를 우회하기 위해 악성코드들이 자주 사용하는 방식이다.
- 다운로드 URL
hxxps://2023foco.com[.]br/printa.txt (Infostealer) / hxxps://2023foco.com[.]br/runpe.jpg (Loader 추정)
인젝션되어 실행되는 것으로 추정되는 데이터는 정보유출형 악성코드로 확인되었다. 해당 악성코드에는 사용자 PC 화면을 캡처하여 아래 이미지와 같이 SMTP 를 통해 공격자에게 전송하는 기능이 존재한다.
v.hta 의 두번째 기능으로 시작 프로그램 생성이 존재.
아래 경로에 LNK 파일을 생성하며, LNK 파일은 v.vbs 파일을 실행하도록 설정한다. 사용자의 의심을 피하기 위해 바로가기 아이콘에 정상 파일 (C:\Program Files (x86)\Internet Explorer\iexplore.exe) 의 아이콘을 사용.
- LNK 파일 생성 경로
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Viual Frontal Hotel.lnk
윈도우 도움말 파일(*.chm) 로 유포 중인 AsyncRAT 동작 방식 요약
- chm 파일 실행 → 빈 화면의 도움말 창 생성
- 악성 VBScript 를 통해 두가지 파워쉘 명령어 실행
- v.vbs 다운로드 후 실행
- 난독화 해제
- 인코딩된 형태로 존재하는 닷넷 DLL을 로드
- 로드된 DLL은 리버스된 악성 URL을 인자로 받아 추가 데이터 다운로드 후, 실행
- Loader에 의해 다운로드 되어 실행된 데이터가 실제 악성 행위를 실행 → AsyncRAT 악성코드는 C2로 부터 공격자의 명령을 받아 다양한 악성 행위 수행 가능
- v.hta 다운로드 후 실행
- 추가 명령어 실행 ▶ 파워쉘 명령어를 실행하여 행위 탐지를 우회하기 위한 악성코드와 정보유출형 악성코드 등을 실행
- 시작 프로그램 생성 ▶ 아래 경로에 LNK 파일을 생성하여 v.vbs 파일을 실행하도록 설정
- v.vbs 다운로드 후 실행
'Project > 2023 정보보호 소학회 세미나' 카테고리의 다른 글
'코로나 확진 안내문으로 사칭한 악성 도움말 파일 국내 유포' 분석 (0) | 2023.02.19 |
---|---|
'윈도우 도움말 파일(*.chm)로 유포되는 APT 공격' 분석 (0) | 2023.02.19 |
윈도우 도움말 파일로 유포되는 악성코드 (0) | 2023.02.19 |