링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

AsyncRAT 새로운 감염 체인 마스크 해제

작성자: 락샤 마투르 & 비네쉬 다차나무티

“Asynchronous Remote Access Trojan”의 약자인 AsyncRAT는 컴퓨터 시스템의 보안을 손상시키고 민감한 정보를 훔치도록 설계된 정교한 악성 코드입니다. AsyncRAT가 다른 맬웨어 변종과 차별화되는 점은 은밀한 특성을 갖고 있어 사이버 보안 세계에서 강력한 적입니다.

McAfee Labs는 최근 AsyncRAT 캠페인이 악성 HTML 파일을 통해 배포되는 것을 관찰했습니다. 이 전체 감염 전략은 바이러스 백신 탐지 조치를 우회하기 위해 PowerShell, Windows 스크립트 파일(WSF), VBScript(VBS) 등을 포함한 다양한 파일 형식을 사용합니다.

그림 1 – 지난 한 달 동안의 AsyncRAT 확산

기술적 분석

수신자는 사악한 웹 링크가 포함된 스팸 이메일을 받았습니다. 이 링크에 액세스하면 HTML 파일 다운로드가 트리거됩니다. 이 HTML 파일에는 ISO 파일이 포함되어 있으며 이 ISO 이미지 파일에는 WSF(Windows Script File)가 포함되어 있습니다. 이후 WSF 파일은 다양한 URL과 연결을 설정하고 PowerShell, VBS(VBScript) 및 BAT와 같은 형식의 여러 파일을 실행합니다. 이러한 실행 파일은 합법적인 Microsoft .NET 유틸리티인 RegSvcs.exe에 프로세스 주입을 수행하는 데 사용됩니다. RegSvcs.exe를 조작하면 공격자는 신뢰할 수 있는 시스템 응용 프로그램 내에서 자신의 활동을 은밀하게 숨길 수 있습니다.

감염 사슬

그림 2 – 감염 사슬

1단계: HTML 및 WSF 파일 분석

이 시퀀스는 이메일 내에서 발견된 악성 URL로 시작되며, 이는 HTML 파일 다운로드를 시작합니다. 이 HTML 파일 안에는 ISO 파일이 포함되어 있습니다. 추가 JavaScript는 ISO 이미지 파일을 추출하는 데 사용됩니다.

그림 3 – HTML 파일의 내용

그림 4 – HTML 실행 시 추출된 ISO 파일

ISO 파일에는 “FXM_20231606_9854298542_098.wsf”라는 레이블이 붙은 WSF 스크립트가 있습니다. 이 파일에는 특정 “” 그리고 “” 태그(그림 5에 표시되고 빨간색으로 강조 표시됨). 이 태그는 “hxxp://45.12.253.107:222/f” URL에 대한 연결을 설정하는 역할을 합니다.[.]txt”를 사용하여 PowerShell 파일을 가져옵니다.

그림 5 – WSF 파일의 내용

2단계: PowerShell 파일 분석

URL “hxxp://45.12.253.107:222/f[.]txt”는 PowerShell 코드가 포함된 텍스트 파일을 검색합니다.

그림 6 – 첫 번째 PowerShell 파일의 내용

이후 초기 PowerShell 코드는 다른 URL “hxxp://45.12.253.107:222/j”에 대한 연결을 설정합니다.[.]jpg’를 선택하고 두 번째 PowerShell 파일을 검색합니다.

그림 7 – 두 번째 PowerShell 파일의 내용

PowerShell 스크립트는 2개의 PowerShell 파일, 1개의 VBS 파일 및 1개의 BAT 파일을 포함하여 4개의 파일을 ProgramData 폴더에 삭제합니다. 이 4개 파일의 내용은 이 PowerShell 스크립트에 포함되어 있습니다. 그런 다음 그림 8에 설명된 대로 ProgramData 디렉터리에 “xral”이라는 폴더를 생성하여 이러한 파일을 쓰고 추출합니다.

그림 8 – 두 번째 PowerShell은 4개의 파일을 생성하고 다음을 사용하여 해당 파일에 콘텐츠를 작성합니다. [IO.File]::WriteAllText 명령

그림 9 – “ProgramData/xral” 폴더에서 추출된 파일

3단계: ProgramData 폴더에 삭제된 파일 분석

그런 다음 PowerShell 스크립트는 지속성을 달성하기 위해 예약된 작업을 설정하는 “xral.ps1″을 실행합니다. 또한 ” xral.vbs ” 파일의 실행을 시작합니다.

그림 10 – VBS 파일의 내용

VBS 스크립트는 계속해서 “1.bat” 파일을 실행하고, 이 파일은 최종 PowerShell 스크립트인 “hrlm.ps1″을 실행합니다.

간단히 말해서 두 번째 powershell 이후 실행은 다음과 같습니다.

xral.ps1 -> xral.vbs -> 1.bat -> hrlm.ps1

다양한 파일 형식의 다양한 실행은 정적 및 동작 기반 바이러스 백신 탐지를 모두 우회하기 위해 전략적으로 사용됩니다.

4단계: 최종 PowerShell 파일 분석

그림 11 – 최종 PowerShell 파일의 내용

앞의 그림에 표시된 것처럼 이 PowerShell 파일에는 16진수 형식의 PE(Portable Executable) 파일이 포함되어 있습니다. 이 파일은 합법적인 프로세스에 삽입하기 위한 것입니다. 빨간색으로 강조 표시된 두 번째 상자에서는 공격자가 프로세스 이름을 난독화했음이 분명하며, 이는 교체 작업을 수행한 후에 공개됩니다. 이제 이 PE 파일은 “C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe”에 삽입하기 위한 것이 분명해졌습니다. 프로세스 주입은 PowerShell 파일의 Reflection Assembly 로드 기능을 통해 수행되며, 이를 통해 PowerShell 내에서 .NET 데이터에 액세스하고 호출할 수 있습니다.

프로세스 주입 후 RegSvcs 유틸리티는 추가 매개변수 없이 시작되고 실행됩니다.

5단계: 감염된 RegSvcs.exe 분석

PowerShell이 ​​RegSvcs에 악성 코드를 성공적으로 삽입하면 손상된 RegSvcs.exe가 실행되고 AsyncRAT 서버가 이에 대한 연결을 설정합니다. 감염된 RegSvcs.exe 실행의 아티팩트가 그림 12에 나와 있습니다.

그림 12 – RegSvcs의 AsyncRAT 서버 문자열

추가 분석을 통해 이 샘플에 키로깅 기능이 있다는 사실이 밝혀졌습니다. 복제 후 시스템에서 수행된 모든 활동을 기록하고, 이 정보를 기록 보관 목적으로 TEMP 폴더 내의 “log.tmp” 파일에 저장했습니다.

그림 13 – 모든 키 입력을 기록하는 %temp% 폴더에 생성된 로그 파일

또한 이 샘플은 자격 증명 및 브라우저 관련 데이터를 도용하는 데 적극적으로 관여했습니다. 또한 비트코인, 이더리움 및 유사 자산과 관련된 데이터를 포함하여 암호화폐 관련 정보 검색을 시도했습니다. 불법적으로 획득한 데이터가 TCP를 통해 IP 주소 45로 전송되고 있었습니다.[.]포트 8808의 12.253.107.

그림 14 – RegSvcs.exe의 TCP 정보

요약

감염 체인은 스팸 이메일에 포함된 악성 URL로 시작되어 ISO가 포함된 HTML 파일을 다운로드하게 됩니다. ISO 파일 내에서 WSF 스크립트는 외부 URL에 연결하고 PowerShell 스크립트를 다운로드합니다. 그러면 일련의 비 PE 파일 실행이 시작되고 궁극적으로 16진수로 인코딩된 PE 파일이 합법적인 “RegSvcs.exe”에 삽입됩니다. 이 손상된 프로세스는 AsyncRAT 서버에 연결됩니다. 악성코드는 키로깅 기능을 보여주고, 사용자 활동을 기록하고, 자격 증명, 브라우저 데이터, 암호화 관련 정보를 훔칩니다. 데이터는 TCP를 통해 IP 주소와 포트로 유출됩니다. 이 복잡한 체인은 다양한 파일 유형과 난독화 방법을 활용하여 탐지를 피함으로써 궁극적으로 공격자가 원격 제어 권한을 얻고 데이터를 훔치는 데 성공합니다.

침해 지표(IOC)

파일 SHA256/URL
HTML 83c96c9853245a32042e45995ffa41393eeb9891e80ebcfb09de8fae8b5055a3
ISO 97f91122e541b38492ca2a7c781bb9f6b0a2e98e5b048ec291d98c273a6c3d62
WSF ac6c6e196c9245cefbed223a3b02d16dd806523bba4e74ab1bcf55813cc5702a
PS1 0159bd243221ef7c5f392bb43643a5f73660c03dc2f74e8ba50e4aaed6c6f531
PS1 f123c1df7d17d51115950734309644e05f3a74a5565c822f17c1ca22d62c3d99
PS1 19402c43b620b96c53b03b5bcfeaa0e645f0eff0bc6e9d1c78747fafbbaf1807
VBS 34cb840b44befdd236610f103ec1d0f914528f1f256d9ab375ad43ee2887d8ce
박쥐 1c3d5dea254506c5f7c714c0b05f6e2241a25373225a6a77929e4607eb934d08
PS1 83b29151a192f868362c0ecffe5c5fabe280c8baac335c79e8950fdd439e69ac
URL hxxp://45.12.253[.]107:222/f[.]txt
hxxp://45.12.253[.]107:222/j[.]jpg

AsyncRAT 새로운 감염 체인 마스크 해제

McAfee+ 소개

디지털 라이프를 위한 신원 도용 방지 및 개인 정보 보호

Leave A Reply

Your email address will not be published.