“평범한 사진인 줄 알았는데 해킹”…‘RoKRAT’, 스테가노그래피·파일리스 공격으로 진화

RoKRAT LNK 파일, 다단계 셸코드·스테가노그래피로 변신
파일리스·스테가노그래피 기법, 시그니처 기반 보안 솔루션 탐지 방해

[보안뉴스 여이레 기자] 악성코드 ‘RoKRAT’이 다단계 암호화된 셸코드 삽입과 함께 사진 파일 내에 악성코드를 은닉하는 스테가노그래피를 결합해 탐지를 회피하는 방식으로 진화했다.

지니언스 시큐리티 센터(GSC)는 최근 북한 해커조직인 APT37 그룹이 사용하는 악성파일 RoKRAT의 새로운 진화 형태를 발견하고 심층 분석 결과를 공개했다.

GSC에 따르면 공격자는 바로가기(LNK) 파일 내부에 정상 문서와 함께 악성 셸코드, 파워쉘 명령, 배치파일을 은닉해 공격에 활용한다.

공격 흐름은 ‘ttf03.bat’ → ‘ttf02.dat’ → ‘ttf01.dat’ 순서로 파워쉘을 통해 분리된 데이터를 XOR 키로 복호화해 셸코드를 실행한다. 셸코드는 다시 ‘mspaint.exe’(Windows 그림판, 32비트 호환 경로인 SysWOW64 내 존재 시)를 대상으로 메모리 인젝션 방식으로 로드된다.

윈도우 11에서 ‘mspaint.exe’가 UWP 앱으로 전환돼 해당 방식이 실패할 수 있는 가능성이 생기자 ‘notepad.exe’로 프로세스 타깃을 변경하는 변종도 확인됐다. 주목할 점은 셸코드 내부에 ‘InjectShellcode’라는 디버깅용 PDB 문자열이 남아있다는 점으로, 악성코드 분석 방해를 위한 의도로 분석된다.

▲사진 화면 및 셸코드 모습 [자료: GSC]

변종 중 일부는 ‘mpr.dll’이라는 위장 로더 형태로도 유포됐다. 이 모듈은 악성 JPEG 이미지 파일을 다운로드해 내부에 악성코드를 XOR 키로 다중 복호화하는 스테가노그래피 기법을 사용한다. 이미지 파일 외형을 유지하면서 내부에 악성 코드가 숨겨져 있어 탐지를 어렵게 한다.

이처럼 파일리스(Fileless) 공격과 스테가노그래피 기법은 전통적인 시그니처 기반 보안 솔루션을 통한 탐지를 어렵게 만든다.

RoKRAT은 감염된 단말에서 컴퓨터 정보와 스크린샷, 문서 파일 등을 수집해 피클라우드, 얀덱스,드롭박스 등 무료 클라우드 저장소를 C2 서버로 악용해 은밀히 데이터를 유출한다. 공격에 쓰인 토큰과 이를 통해 확인된 가입자 이메일 등 일부 단서도 드러났다.

이에 대해 지니언스는 EDR 솔루션 중심의 실시간 이상행위 탐지 및 시각화 관제 체계 도입을 강하게 권고하고 있다. EDR 시스템은 악성 셸코드 실행, 외부 클라우드 C2 통신 시도 등 비정상 행위를 신속히 식별할 수 있어 사이버 위협에 대한 대응 역량을 높이는 데 필수적이다.

또한 악성코드의 전반적 흐름을 가시적으로 분석해 공격의 전모 및 영향 범위를 명확히 파악하도록 도와 SOC 보안 분석가의 대응력을 향상시킨다.

한편, RoKRAT는 앞서 안랩 시큐리티 인텔리전스 센터(ASEC)에 의해 한글(HWP) 문서를 이용해 백도어 악성코드를 유포하는 방식이 발견되는 등 지속적으로 진화하고 있다.

[여이레 기자(gore@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다