3~4번의 비주얼 베이직 스크립트 활용 통해 최종 페이로드 심어

[이미지 = iclickart]

드로퍼를 제일 처음 발견한 건 포티가드 랩스(FortiGuard Labs)다. 백신 엔진에서 ‘의심스러운 파일’로 탐지가 된 샘플을 확보하게 되면서 우연히 찾아냈다고 한다. “그렇다고 이 드로퍼가 탐지율이 높은 건 아닙니다. 바이러스토탈(VirusTotal)에서도 꽤나 낮은 탐지율을 기록했습니다. 따라서 백신을 설치했다고 해서 이 공격을 쉽게 막을 수 있는 건 아닙니다.”

포티가드 랩스가 확보한 샘플의 경우 제일 처음 자바스크립트 코드를 사용해 감염을 시작한다. 이 안에는 인코딩 된 데이터가 숨어 있다. “이 데이터를 디코딩 했을 때, 비주얼 베이직 스크립트(VBS)로 만들어진 코드를 추출할 수 있었습니다.” 샘플을 분석한 크리스 나바렛(Chris Navarrete)과 샤오펭 장(Xiaopeng Zhang)의 설명이다. 추출을 통해 등장하는 파일 이름은 A6p.vbs다. 원격 서버로부터 추가 스크립트인 Microsoft.vbs를 가져오는 기능을 발휘한다.

“Microsoft.vbs가 실행되면 WScript.Shell이라는 객체가 새롭게 생성됩니다. 동시에 OS 환경과 하드코드 된 데이터가 수집됩니다. 그러고 나서는 또 다른 비주얼 베이직 스크립트가 새롭게 만들어지는데, 이름이 GXxdZDvzyH.vbs입니다. 이 마지막 스크립트는 VBS 인터프리터를 호출함으로써 생성되는데, 이 때 //B라는 매개변수가 활용됩니다. 이렇게 함으로써 경고 메시지가 뜨지 않도록 하는 겁니다.”

GXxdZDvzyH.vbs가 실행되면, 명령행을 통해 여러 가지 파워셸 명령이 실행된다. 주로 윈도우에 기본적으로 탑재된 정책을 해제하기 위한 것이다. “자동으로 파워셸 스크립트가 실행되지 않도록 하는 규칙들이 있습니다. 그걸 취소시키는 겁니다. 그런 후에는 파워셸 명령을 실행해 최종 페이로드 중 하나인 리벤지랫을 로딩시킵니다.

리벤지랫
무려 4단계의 VBS 감염 사슬을 건너 시스템에 심겨지는 리벤지랫은 꽤나 유명한 멀웨어로 APT33과 같은 공격 단체들이 과거에 사용하기도 했었다. 리벤지랫은 두 개의 C&C 서버와 연결한 상태에서 피해자의 정보를 빼내 전송한다. 이 때 전송되는 데이터는 주요 문자열 명령, 명령 실행에 필요한 데이터 필드, 데이터를 각기 분리해 내는 세퍼레이터, 최종 문자열 등 여러 부분으로 구성된 패킷 형태를 취하고 있다.

내용의 측면에서 이 패킷은 시스템의 지문 정보(digital fingerprinting)를 포함하고 있다. 세퍼레이터에 의해 총 15개의 블록으로 나뉘어져 있는데 대부분은 베이스64(base64)로 인코딩 되어 있다. IP주소, 시스템 이름, 사용자 이름, 웹캠 유무, 윈도우 시스템 정보, CPU 정보, 메모리 총 용량, 설치된 백신과 방화벽 종류, 가장 위에 열려 있는 창, 시스템 디폴트 언어 등의 내용이 담겨 있다.

그 외에도 이번 공격에 연루된 것으로 보이는 리벤지랫에는 this.data()라는 함수가 포함되어 있기도 했다. C&C에서 온 명령들을 처리하는 역할을 담당하고 있었다. “뿐만 아니라 몇 가지 매직 스트링(magic string)을 숨기고 있기도 합니다. 그 중 눈에 띄는 건 P라는 명령어였습니다. 가장 위에 열려 있는 창의 ‘타이틀 값’을 요청하는 명령어입니다. 그 외에 IE와 LP라는 명령어들도 주의를 요합니다. 시스템 레지스트리를 조작하라는 내용의 명령이거든요. UNV 명령을 통하여 공격자들은 악성 어셈블리 언어를 전송할 수 있게 됩니다.”

WSH랫
공격에 따라 리벤지랫이 아니라 WSH랫 1.6 버전이 심겨지는 경우도 있었다. “WSH랫은 올해 여름에 처음 발견된 멀웨어로, 은행들을 겨냥한 키로깅 공격을 주로 했습니다. VBS를 기반으로 한 후디니 웜(Houdini Worm)과 쌍둥이 수준으로 비슷합니다. 후디니 웜은 2013년부터 사이버 공간에서 나타나는 악성 멀웨어로, 표적 공격과 살포 공격 모두에 활용될 만큼 뛰어난 유연성을 보여줍니다.”

이번에 발견된 WSH랫의 경우 총 29개의 함수를 내포하고 있는 것으로 나타났다. 시스템 내에서 공격 지속성을 확보하는 것에서부터 데이터를 빼돌리는 것까지 다양한 기능을 발휘한다. “하지만 가장 주력이 되는 기능은 크롬, 모질라 등 인기가 높은 유명 브라우저로부터 정보를 훔치는 것입니다. 꽤나 최근에 발표된 버전들도 익스플로잇 할 수 있을 정도로 최신화 되어 있는 상태였습니다.” 그 외에 disconnect, reboot, shutdown, execute, kill-process, sleep과 같은 명령을 지원하기도 한다.

WSH랫은 실행과 동시에 보안과 관련된 내용부터 확인한다. 현재 사용자가 가지고 있는 권한을 확인한 후 그 결과에 따라 상태를 유지하거나 더 높은 권한을 취득하기 위한 공격을 시작한다. 그런 후 두 번째 보안 점검을 실시해 현재 사용자의 보안 컨텍스트를 해제시킨다. 또한 제대로 형식을 갖춘 HTTP 요청을 생성해 피해자 컴퓨터에 대한 정보를 수집하기도 한다. 그 다음에는 사용자 에이전트(User-Agent) 헤더를 사용해 수집된 정보를 빼돌린다.

공격 지속성 확보를 위해서 레지스트를 손본다. 그런 다음에는 스스로를 윈도우 시작 프로그램 폴더에 복사해 윈도우 재부팅 시 자동으로 시작되도록 만든다. “최초 드로퍼와 연결되는 C&C 서버들은 아쉽게도 이번 분석 기간 동안 오프라인 상태였습니다. 따라서 공격자와 캠페인에 대한 보다 깊은 정보는 얻어낼 수가 없었습니다.”

3줄 요약

1. 처음 발견된 드로퍼, 두 가지 원격 접근 트로이목마를 심음.

2. 하나는 리벤지랫으로, 정보를 탈취하는 것을 가장 주요 목표로 하고 있음.

3. 두 번째는 WSH랫으로, 역시 정보 탈취형 멀웨어이나 후디니 웜과 거의 동일함.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=84573&page=1&mkind=1&kind=]​