ÆÄÀÏ ´Ù¿î·Îµå ¹× ½ÇÇà, ·¹Áö½ºÆ®¸® ¼öÁ¤ ¹× Á¦°Å, ȸé ĸó µî ´Ù¾çÇÑ µ¿ÀÛ ¼öÇà
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ºÏ¾Æ¸Þ¸®Ä«ÀÇ Á¦Á¶¾÷À» ´ë»óÀ¸·Î ¡®¾Èµ¥ ·Î´õ(Ande Loader)¡¯ ¾Ç¼ºÄڵ尡 À¯Æ÷µÇ´Â Ä·ÆäÀÎÀÌ ¹ß°ßµÆ´Ù. ÇØ´ç Ä·ÆäÀο¡¼ »ç¿ëµÈ ¾Èµ¥ ·Î´õ´Â Base64·Î ÀÎÄÚµùµÈ ÈÄ VBScript ÇüÅ·ΠÀ¯Æ÷µÆÀ¸¸ç, °ø°ÝÀÚÀÇ C&C ¼¹ö¿¡¼ ÃÖÁ¾ ÆäÀ̷εåÀÎ NjRATÀ» ´Ù¿î·Îµå ÈÄ ½ÇÇàÇÑ´Ù. ±× ÀÌÈÄ ½ÇÇàµÈ NjRATÀº »ç¿ëÀÚ PC¿¡¼ C&C ¼¹ö ¿¬°áÀ» ½ÃµµÇÏ°í ÆÄÀÏÀ» ´Ù¿î·ÎµåÇϰųª ¸í·É¿¡ µû¸¥ Ãß°¡ µ¿ÀÛÀ» ¼öÇàÇÑ´Ù.
¡ã¾Èµ¥ ·Î´õ¸¦ ÀÌ¿ëÇØ »ç¿ëÀÚ PC¿¡¼ ÃÖÁ¾ ÆäÀÌ·Îµå ´Ù¿î·Îµå ¹× ½ÇÇà È帧µµ[ÀÚ·á=À×Ä«ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ]
À×Ä«ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍÀÇ ºÐ¼®¿¡ µû¸£¸é °ø°ÝÀÚ´Â ¾Èµ¥ ·Î´õ¸¦ ÀÌ¿ëÇØ »ç¿ëÀÚ PC¿¡¼ ÃÖÁ¾ ÆäÀ̷ε带 ´Ù¿î·ÎµåÇÏ°í ½ÇÇàÇÑ´Ù. ±× È帧À» »ìÆ캸¸é ¸ÕÀú VBS ÆÄÀÏ ³»ºÎÀÇ PE µ¥ÀÌÅ͸¦ Baset64·Î µðÄÚµùÇØ ¾Èµ¥ ·Î´õ¸¦ È®º¸ÇÑ ÈÄ º°µµÀÇ µå·Ó °úÁ¤ ¾øÀÌ ½ÇÇàÇÑ´Ù. µÎ ¹ø°·Î ¾Èµ¥ ·Î´õ´Â Ãß°¡ ÆäÀ̷ε带 ½ÇÇàÇÏ´Â ·Î´õ·Î °ø°ÝÀÚ°¡ ¿î¿µÇÏ´Â C&C ¼¹ö¿¡¼ ¹ÙÀ̳ʸ® ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÑ´Ù. ±× ÀÌÈÄ ¾Èµ¥ ·Î´õ¿¡¼ ´Ù¿î·ÎµåÇÑ ÆÄÀÏÀ» Base64·Î µðÄÚµùÇϸç, µðÄÚµùÇÑ µ¥ÀÌÅÍ´Â NjRAT ¾Ç¼ºÄÚµå´Ù. ¸¶Áö¸·À¸·Î Á¤»ó ÇÁ·Î±×·¥ÀÎ .NET ÇÁ·¹ÀÓ¿öÅ©ÀÇ ±¸¼º¿ä¼Ò Áß 1°³¸¦ ¼±Á¤ÇØ ½ÇÇàÇÏ°í, À̹ÌÁö ½ºÀ§ÄªÀ» ÀÌ¿ëÇØ PE À̹ÌÁö¸¦ ÃÖÁ¾ ÆäÀ̷εå·Î ±³Ã¼ÇÑ ÈÄ ½ÇÇàÇÑ´Ù.
VBS ÆÄÀÏÀº ³»ºÎ¿¡ Base64·Î ÀÎÄÚµùµÈ PE µ¥ÀÌÅ͸¦ Æ÷ÇÔÇÏ°í ÀÖÀ¸¸ç, ÇØ´ç µ¥ÀÌÅ͸¦ µðÄÚµùÇÏ°í ½ÇÇàÇÏ´Â ¿ªÇÒÀ» ÇÑ´Ù. ½ºÅ©¸³Æ®´Â ÆÄ¿ö½©À» ÀÌ¿ëÇØ µðÄÚµùÇÑ ´ÙÀ½, ÆĶó¹ÌÅÍ Àü´Þ°ú ÇÔ²² ¡®VAI¡¯ ¸Þ¼µå¸¦ Á÷Á¢ È£ÃâÇØ PE¸¦ ½ÇÇàÇÑ´Ù.
¡ã³µ¶È ÇØÁ¦ ¹× ÆäÀÌ·Îµå ´Ù¿î·Îµå ÄÚµå[ÀÚ·á=À×Ä«ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ]
VBS¿¡¼ µðÄÚµùµÈ PE´Â .NET DLL Çü½ÄÀÇ ·Î´õ ¾Ç¼ºÄÚµåÀÎ ¾Èµ¥ ·Î´õ·Î À̹ÌÁö ½ºÀ§Äª ±â¹ýÀ» ÀÌ¿ëÇØ ÃÖÁ¾ ÆäÀ̷ε带 ½ÇÇàÇÏ°í, VBS ÆÄÀÏÀ» ÀÚµ¿ ½ÇÇàÇϵµ·Ï µî·ÏÇÑ´Ù. ¾Èµ¥ ·Î´õÀÇ VAI ÇÔ¼ö°¡ ½ÇÇàµÇ¸é ¸ÕÀú °ø°ÝÀÚÀÇ C&C ¼¹ö¿¡ Á¢¼ÓÇØ Base64·Î ÀÎÄÚµùµÈ ÃÖÁ¾ ÆäÀ̷ε带 ´Ù¿î·ÎµåÇÑ´Ù. À̶§ C&C ¼¹öÀÇ ÁÖ¼Ò´Â ³µ¶ÈµÅ ÀÌÀü ´Ü°è¿¡¼ VAI ÇÔ¼ö¸¦ È£ÃâÇÒ ¶§ ÆĶó¹ÌÅÍ·Î Àü´ÞµÈ´Ù. ¾Èµ¥ ·Î´õ´Â ÇØ´ç ÆĶó¹ÌÅÍÀÇ ³µ¶È¸¦ ÇØÁ¦ÇÑ ÈÄ ¼¹ö¿¡¼ ÆäÀ̷ε带 ´Ù¿î·Îµå ¹× µðÄÚµùÇÏ°í À̹ÌÁö ½ºÀ§ÄªÀ» ÀÌ¿ëÇØ ÃÖÁ¾ ÆäÀ̷ε带 ½ÇÇàÇÑ´Ù.
ÃÖÁ¾ ÆäÀ̷εåÀÇ ´Ù¿î·Îµå¿Í µðÄÚµùÀÌ ¿Ï·áµÇ¸é, ÀÎÁ§¼Ç ´ë»ó ÇÁ·Î¼¼½ºÀÎ AppLaunch.exe, aspnet_regbrowsers.exe, cvtres.exe, ilasm.exe, jsc.exe, MSBuild.exe, RegAsm.exe, RegSvcs.exe µî .NET ÇÁ·¹ÀÓ¿öÅ© ±¸¼º¿ä¼Ò Áß¿¡¼ À̹ÌÁö ½ºÀ§ÄªÀ» ¼öÇàÇÒ ´ë»ó ÇÁ·Î¼¼½º¸¦ ¹«ÀÛÀ§·Î ¼±ÅÃÇÑ´Ù.
±× ÀÌÈÄ ¡®CreateProcess¡¯·Î ´ë»ó ÇÁ·Î¼¼½º¸¦ »ý¼ºÇÏ°í, ¡®ZwUnmapViewOfSection¡¯À» ÀÌ¿ëÇØ Á¤»ó ÇÁ·Î¼¼½ºÀÇ ¸Þ¸ð¸® ¸ÅÇÎÀ» ÇØÁ¦ÇÑ´Ù. ¸ÅÇÎÀÌ ÇØÁ¦µÈ °ø°£¿¡´Â ¡®WriteProcessMemory¡¯·Î ±³Ã¼ÇÒ PE À̹ÌÁö¸¦ »ðÀÔÇÑ ÈÄ, ¡®SetThreadContext¡¯¸¦ ÀÌ¿ëÇØ ½º·¹µå¿¡¼ ½ÇÇàÇÒ ÁÖ¼Ò¸¦ ±³Ã¼µÈ À̹ÌÁöÀÇ EP(Entry Point)·Î ¼³Á¤ÇÑ´Ù. ¸¶Áö¸·À¸·Î ¡®ResumeThread¡¯¸¦ È£ÃâÇØ ½º·¹µå¸¦ ½ÃÀÛÇÑ´Ù.
À̹ÌÁö ½ºÀ§ÄªÀÌ ¼º°øÇϸé ÃÖÁ¾ ÆäÀ̷ε尡 Á¤»ó ÇÁ·Î¼¼½º·Î À§ÀåÇØ ½ÇÇàµÈ´Ù. À̹ÌÁö ½ºÀ§Äª Àü¡¤ÈÄÀÇ ¸Þ¸ð¸® ´ýÇÁ¸¦ ºñ±³ÇÑ °á°ú¸¦ ºÃÀ» ¶§ À̹ÌÁö ½ºÀ§Äª ´ë»ó ÇÁ·Î¼¼½º Áß ¡®cvtres.exe¡¯·Î Å×½ºÆ®¸¦ ÁøÇàÇßÀ¸¸ç, Å×½ºÆ® ÇÁ·Î¼¼½ºÀÇ ¸Þ¸ð¸®°¡ ´Ù¸¥ µ¥ÀÌÅÍ·Î º¯°æµÈ °ÍÀ» º¼ ¼ö ÀÖ´Ù.
¡ãÀ̹ÌÁö ½ºÀ§Äª Àü°ú ÈÄÀÇ ¸Þ¸ð¸® ´ýÇÁ ºñ±³[ÀÚ·á=À×Ä«ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ]
ÇÑÆí, ·Î´õ´Â VBS ÆÄÀÏÀ» ¡®%AppData%¡¯ °æ·Î¿¡ º¹»çÇÏ°í ÇØ´ç ÆÄÀÏÀ» ´Ù¸¥ 2°³ÀÇ ¹æ¹ýÀ¸·Î ÀÚµ¿ ½ÇÇàÀ» µî·ÏÇÑ´Ù. ù ¹ø° ¹æ¹ýÀº Run ·¹Áö½ºÆ®¸®¿¡ º¹»çµÈ VBS ÆÄÀÏÀÇ °æ·Î¸¦ µî·ÏÇÏ´Â °ÍÀÌ´Ù. µÎ ¹ø° ¹æ¹ýÀº ½ÃÀÛÇÁ·Î±×·¥ Æú´õ¿¡ ¹Ù·Î°¡±â¸¦ »ý¼ºÇÏ´Â °ÍÀ¸·Î ½Ã½ºÅÛ ½ÃÀÛ ½Ã ÆÄ¿ö½©À» ÀÌ¿ëÇØ º¹»çµÈ VBS ÆÄÀÏÀ» ½ÇÇàÇØ Áö¼Ó¼ºÀ» ȹµæÇÑ´Ù.
C&C ¼¹ö¿¡¼ ´Ù¿î·ÎµåÇÑ ÃÖÁ¾ ÆäÀ̷εå´Â NjRAT ¾Ç¼ºÄÚµå·Î ¸ÕÀú °¨¿°µÈ È£½ºÆ®¿¡¼ »ç¿ëÀÚÀÇ ÀÔ·ÂÀ» ±â·ÏÇÏ´Â Å°·Î±ë µ¿ÀÛÀ» ¼öÇàÇÑ´Ù. Å°·Î±ë µ¥ÀÌÅÍ´Â ·¹Áö½ºÆ®¸®¿¡ ¡®[kl]¡¯À̶ó´Â °ª À̸§À¸·Î ÀúÀåµÇ´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ±×¸®°í C&C ¼¹ö¿Í Åë½ÅÇØ ½Ã½ºÅÛ Á¤º¸¸¦ Àü¼ÛÇÏ°í ¸í·É¾î¸¦ ¼ö½ÅÇØ Ãß°¡ µ¿ÀÛÀ» ¼öÇàÇÑ´Ù. ¸í·É¾î´Â ¹®ÀÚ¿À» ºñ±³ÇØ ±¸ºÐµÇ¸ç ¸í·É¾î¿Í ±×¿¡ µû¸¥ µ¿ÀÛÀ¸·Î´Â ¡âÆÄÀÏ ´Ù¿î·Îµå ¹× ½ÇÇà(¸í·É¾î rn, up) ¡â·¹Áö½ºÆ®¸® ¼öÁ¤ ¶Ç´Â Á¦°Å(prof, Ret) ¡âȸé ĸó(CAP) ¡âÅ°·Î±ë µ¥ÀÌÅÍ Àü¼Û(kl) ¡âÅ°·Î±ë ·¹Áö½ºÆ®¸® Á¦°Å ¹× NjRAT Á¾·á(Un) ¡âC&C ¼¹ö ¼³Á¤(int, Ex, PLG) ¡âC&C ¼¹ö ¿¬°á Á¾·á(ll) µîÀÌ ÀÖ´Ù. ´Ü, ºÐ¼® ½ÃÁ¡¿¡¼ ¼¹ö°¡ ÀÀ´äÇÏÁö ¾Ê¾Æ Ãß°¡ÀûÀÎ µ¥ÀÌÅÍ ±³È¯°ú µ¿ÀÛÀº ¹ß»ýÇÏÁö ¾Ê¾Ò´Ù.
¾Èµ¥ ·Î´õ ¾Ç¼ºÄÚµå´Â °ø°ÝÀÚ°¡ Àǵµ¿Í ¸ñÀû¿¡ ¸Â°Ô ÃÖÁ¾ ÆäÀ̷εåÀÇ º¯°æÀÌ °¡´ÉÇÏ°í, À̹ÌÁö ½ºÀ§Äª ±â¹ýÀ» ÀÌ¿ëÇØ ¾Ç¼ºÄڵ带 Á¤»ó ÇÁ·Î¼¼½º·Î À§ÀåÇÒ ¼ö ÀÖ¾î ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù. µû¶ó¼ Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏÀÇ ´Ù¿î·Îµå¿Í ½ÇÇàÀ» Áö¾çÇÏ°í, º¸¾È ÇÁ·Î±×·¥°ú ¿î¿µÃ¼Á¦¸¦ Ç×»ó ÃֽŠ¹öÀüÀ¸·Î À¯ÁöÇÏ´Â °ÍÀÌ ÇÊ¿äÇÏ´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>