2024-03-29 07:50 (금)
신종 파일리스 멀웨어 ‘JS_POWMET’…APAC 지역서 가장 많이 감염돼
상태바
신종 파일리스 멀웨어 ‘JS_POWMET’…APAC 지역서 가장 많이 감염돼
  • 길민권 기자
  • 승인 2017.08.16 23:05
이 기사를 공유합니다

이 멀웨어가 시스템에 다운로드 될 때쯤이면 레지스트리가 이미 변경 되어 있어

▲ JS_POWMET 감염 다이어그램. 트렌드마이크로 블로그 이미지
▲ JS_POWMET 감염 다이어그램. 트렌드마이크로 블로그 이미지
사이버 범죄자들이 흔적을 남기지 않는 공격에 집중하기 시작한 이후로 최근의 SOREBRECT 랜섬웨어와 같은 파일리스 멀웨어가 보다 일반적인 공격 방법이 될 것이라고 보안전문가들은 전망하고 있다.

트렌드마이크로 측은 “이러한 파일리스 멀웨어들 중 대부분은 사용자 시스템에 들어간 때만 파일리스 일 뿐, 사실상 페이로드를 실행하게 되면 정체가 밝혀지기 마련이다. 완전한 파일리스 멀웨어 공격은 아주 드물게 나타나긴 하지만, 자동시작 레지스트리를 통해 들어오는 ‘JS_POWMET’라고 불리는 새로운 트로이목마에 대해 알아두는 것이 중요하다”며 “이러한 멀웨어는 완벽한 파일리스 감염 경로를 이용하기 때문에 샌드박스를 활용한 분석이 더 어려울 뿐만 아니라, 안티 멀웨어 엔지니어들이 이를 검사하는 것도 더 어렵다”고 설명했다.

트렌드마이크로의 ‘스마트 프로텍션 네트워크(SPN)’ 보고서에 따르면 APAC 지역이 약 90%의 감염률을 보이며 JS_POWMET에 가장 많은 영향을 받는 것으로 나타났다.

아직 정확한 진입 경로는 확실되지 않았지만 트로이목마는 악성 사이트를 방문하는 사용자 혹은 다른 멀웨어에 의해 드랍되는 파일로 다운로드 될 가능성이 있다. 이 멀웨어에 대한 확실한 점은 멀웨어가 시스템에 다운로드 될 때쯤이면 레지스트리가 이미 변경이 되어 있다는 것이다.

JS_POWMET은 자동시작(autostart) 레지스트리 항목을 통해 다운로드 된다.

다음은 “regsvr32” 에서 사용하는 매개 변수에 대한 설명이다.

1. /s = silent option for regsvr32
2. /n = tells regsvr32 not to use DllRegisterServer
3. /u = Unregister server/object
4. /I = used for passing an optional parameter (ie. URL) to DLLinstall
5. scrobj.dll = Microsoft’s Script Component Runtime

이 방법에서는 regsvr32를 매개 변수로 사용해 URL에 있는 regsvr32 파일(악성 자바스크립트가 있는 XML)을 가져올 수 있다. 이 루틴을 통해 regsvr32는 시스템 및 머신에 XML 파일을 저장 하지 않고 임의의 스크립트를 실행할 수 있게 된다. 특히 시스템이 시작될 때마다 C&C 서버에서 자동으로 악성 파일을 다운로드 할 수 있다.

JS_POWMET이 실행되면 TROJ_PSINJECT라고 하는 다른 파일을 다운로드한다. 이 파일은 파워쉘의 프로세스에서 실행되는 파워쉘 스크립트다. TROJ_PSINJECT는 다음의 웹사이트에 연결된다.
-hxxps://bogerando[.]ru/favicon

▲ TROJ_PSINJECT 코드의 난독화 과정. 트렌드마이크로 블로그 이미지
▲ TROJ_PSINJECT 코드의 난독화 과정. 트렌드마이크로 블로그 이미지
이렇게 하면 TROJ_PSINJECT가 favicon(이하 파비콘)이라는 정상 파일을 다운로드 할 수 있다. 파비콘 파일은 복호화된 후 ReflectivePELoader를 사용해 프로세스에 주입 되는데, 이는 EXE/DLL 파일을 주입하기 위해 사용된다.

멀웨어 코드를 난독화하기 위해 다음의 기술들을 사용한다. 초기단계에 멀웨어는 Base64 스트링을 보유하고 있는데, 이는 디코딩이 된 후 RC4 키(멀웨어 코드 안에 하드코딩 됨) 를 이용해 복호화된다. 복호화된 스트링은 GZIP 으로 압축된 스트링으로써 멀웨어에 의해 복호화된다. 이러한 단계를 거치고 나면 ReflectivePELoader 기능이 다운로드 된 파일의 복호화를 위해 쓰이게 된다.

파비콘 또한 앞서 언급된 RC4 키를 이용해 복호화 되는데, 이로 인해 BKDR_ANDROM 으로 알려진 악성 DLL 파일이 생성된다. 다시 말하면, 이 과정은 파일이 없이 진행되는 부분이다. 파일은 컴퓨터에 저장되지 않고 powershell.exe 프로세스에 주입된다. 이러한 모든 루틴은 파워쉘 명령을 사용해 멀웨어에 의해 실행된다.

BKDR_ANDROM은 powershell.exe가 시스템에서 실행중인 것으로 확인되면 종료된다. 또한 다음 데이터를 수집한다.

△Root Volume Serial Number △Operating System Version △Local IP Address △Administrator privileges

멀웨어는 레지스트리를 시스템에 추가해 시스템이 시작할 때 항상 멀웨어가 실행되도록 만든다. 자동 시작(autostart) 레지스트리 항목은 Base64로 인코딩 된 파워쉘 명령을 디코딩 할 수 있다. 이 명령은 BKDR_ANDROM의 코드가 되는 암호화된 바이너리 데이터 (멀웨어에 의해 추가된 레지스트리에도 있음)를 복호화 하는데 사용된다. 복호화 과정이 끝나면 악성 코드가 실행된다. 이 경우 마지막 페이로드는 BKDR_ANDROM의 일반적인 루틴으로 구성되지만 향후 악성 프로그램 작성자가 다른 멀웨어를 페이로드로 사용할 수도 있다.

트렌드마이크로는 “JS_POWMET와 나머지 다운로드 된 파일들은 상대적으로 적은 영향력을 가지고 있지만 이 멀웨어를 통해 사이버 범죄자들이 탐지와 분석을 회피하기 위해 사용하는 기법의 방향을 보여 주기도한다”며 “또한 파일리스 멀웨어와 같은 비교적 드문 감염 방법 조차도 계속해서 진화하고 있음을 보여준다. 기업과 개인사용자는 명백히 눈에 띄는 멀웨어 뿐만 아니라 은밀하게 시스템을 파고 들어오는 멀웨어가 있다는 사실도 항상 염두에 두어야 한다”고 말한다.

또 “파일리스 멀웨어의 영향을 완화하기 위한 보다 효과적인 방법 중 하나는 컨테이너 기반의 시스템을 통해 네트워크의 가장 중요한 부분으로부터 엔드포인트를 분리시킴으로써 중요 인프라에 대한 접근을 제한 하는 것”이라며 “이 특정 멀웨어 같은 경우에는 IT 전문가들이 파워쉘 자체를 비활성화해 JS_POWMET 및 다양한 페이로드의 영향을 완화할 수 있다”고 설명했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★