세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
여러 단계의 복잡한 공격 실시하는 베타봇 변종 등장
  |  입력 : 2018-06-19 17:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
MS 오피스의 17년 된 취약점 익스플로잇 하는 문서로 시작
다양한 난독화 기술 보유...다양한 OLE 객체 사용해


[보안뉴스 문가용 기자] 베타봇(Betabot)이라는 트로이목마가 등장했다. 공격은 다단계로 이루어지는데, 초기 단계에서는 악성 마이크로소프트의 문서가 활용된다. 이 문서는 17년된 취약점을 익스플로잇 하는 것으로 알려져 있다.

[이미지 = iclickart]


베타봇은 원래 뱅킹 트로이목마였다. 그러던 것이 비밀번호 탈취기로 변모했고, 그 다음에는 랜섬웨어 등의 악성 프로그램을 퍼트리는 봇넷이 되어버렸다. 현재 온라인 암시장에서 활발히 거래되고 있으며(가격은 약 120달러), 2017년 초반에는 크래킹된 버전이 돌아다니기도 했다.

최근 발견된 베타봇 공격은 워드 문서에서부터 시작한다. 이 문서는 CVE-2017-11882라는 취약점을 익스플로잇하는데, 이는 2000년 11월 마이크로소프트의 이퀘이젼 에디터(Equation Editor, EQNEDT32.EXE)가 처음 생기면서 나타난 취약점이다. 즉 17년 전부터 존재해왔던 것인데, 발견된 건 작년의 일이다. 2017년 후반에서야 패치가 발표됐다.

이번 베타봇 공격자는 특수하게 조작한 RTF 파일에 OLE 객체를 엠베드시켰다. 이렇게 함으로써 피해자의 시스템에서 명령을 실행할 수 있도록 한 것이다. 엠베드된 객체들은 inteldriverupd1.sct, task.bat, decoy.doc, exe.exe, 2nd.bat이며, 정상적인 소프트웨어인 것과 같은 활동 패턴을 보여 피해자의 신뢰를 산다.

이 중 inteldriverupd1.sct 파일은 윈도우 스크립트 요소(Windows Script Component)를 활용해 새로운 객체를 만들고, 그 다음으로 task.bat 스크립트를 실행시켜 block.txt 파일이 temp 디렉토리에 존재하는지 확인한다. 만약 이 파일이 없으면 하나 생성하고, 2nd.bat를 실행시킨 후 스스로를 삭제한다.

2nd.bat 파일은 스크립트로, 주요 실행 파일을 실행시킨다. 그런 후에 워드의 프로세스를 삭제하고 Resiliency 디렉토리를 레지스트리에서 제거해 자취를 감추고 문서 복구를 방지한다. Decoy.doc은 감염 후 사용자에게 보여줄 화면에 출력되는 내용을 담고 있다.

이 공격은 hxxp://goog[.]com/newbuild/t.php?stats=send&thread=0라는 곳으로 연결이 되어 있었다.

exe.exe 파일은 C#으로 작성되었으며, 다단계의 난독화 기술을 가지고 있다. 첫 번째는 딥시(DeepSea)라는 알고리즘이고, 그 다음은 간단한 XOR 및 모듈로(Modulo)다. 이러한 난독화 기술들을 뚫고 해독 과정이 지나가면 새로운 파일이 하나 나타나는데, 여기에는 많은 이미지들이 엠베드 되어 있다. 이 이미지들은 공격의 다음 단계들에서 여러 자원으로서 활용된다.

다음으로는 닷넷(.Net) 파일도 있었다. 암호화된 문자열을 포함하고 있는데, 또 다른 파일을 복호화 해서 멀웨어 환경설정과 관련된 정보를 사전에 저장하는 기능을 가지고 있다. 이 과정에서 위에서 언급된 이미지들을 활용한다.

이렇게 공격이 실행되는 동안 이 멀웨어는 사전에서 여러 환경설정 정보를 검색, 확인하고 알맞은 함수를 불러들인다. 이 함수는 다른 무엇보다 1) 가상환경 여부를 확인하고, 2) 스스로를 시작 메뉴에 복사하는 기능을 수행하는 것들이다.

공격의 마지막 단계에서는 베타봇의 새로운 변종이 나타난다. 디버깅 방지 기능과 가상화 방지 기능을 포함하고 있으며, 특정 도메인과 통신을 시작한다. 전문가들은 이것이 추적을 위한 것이라고 보고 있다. 이 추적 기능을 활용해 트래픽을 우회시키는 것이 발견되기도 했는데, 이를 통해 추가 수익을 거두고자 하는 것이라고 한다.

이 베타봇 멀웨어와 통신을 하고 있는 C&C 서버는 onedriveservice[.]com이었다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)