온라인상에 텍스트나 소스코드 데이터를 저장해서 공유할 수 있는 Pastebin (페이스트빈) 서비스를 이용한 악성코드가 발견되었다. Pastebin 서비스에 Raw 데이터 텍스트 스트링을 올려두면 부여되는 고유한 URL을 통해 접속할 수 있는 점을 이용하였다. 

악성코드는 성인물로 위장하여 ‘2.zip’ 압축 파일명으로 유포되었다. 실행된 악성코드는 단독으로 동작하거나 실행되지 않고 여러 개의 Visual Basic 스크립트 파일과 EXE 실행 파일을 만들거나 메모리에 로드하여 최종 파일을 생성한다. 이 과정에서 악성코드는 Pastebin 도메인의 각기 다른 4개 URL에 접속하여 해당 주소의 텍스트 데이터를 받아 악성코드를 로딩하는 데 이용한다. 최종 실행되는 파일은 ‘njRAT’ 이름을 가진 원격 제어 (Remote Access) 기능의 백도어이다. 다음은 최초 유포 파일로부터 최종 원격 제어 악성코드가 실행되기까지의 과정을 도식화한 것이다.

Pastebin을 통해 받아오는 Raw 데이터 텍스트 스트링은 다양한 목적과 형태로 되어있다. 인코딩된 또 다른 스크립트를 포함한 Visual Basic 스크립트 파일, 다른 Pastebin 주소로 연결하여 텍스트 스트링을 받아오는 Visual Basic 스크립트 파일, 그리고 인코딩된 PE 파일 바이너리가 확인되었다. 이렇게 외부 리소스를 이용해 악성코드 데이터를 받아오는 것은 최초 유포 파일의 용량을 크게 줄임과 동시에 백신의 개별 파일 시그니처 탐지 또는 이상 행위 탐지를 우회하기 위한 것으로 보인다. 또한 중간에 리소스 파일이 문제가 있을 때 이를 교체하기도 쉽다.

여기서 가장 마지막으로 Pastebin에 접속해 받아오는 스트링은 인코딩된 Base64 데이터로, 위 그림에서 (10) 파일에 해당한다. 이를 호출한 (9) 파일은 다음과 같이 텍스트 스트링을 디코딩한 후 바이트 배열로 변환하고 Invoke 메소드를 통해 .NET PE 파일의 EntryPoint를 호출한다. 그리고 이 모든 과정은 로컬에 생성된 (8) 파일의 프로세스 메모리 내에서 동작한다.

실행된 PE 파일은 파일 내 난독화된 스트링 오브젝트를 이용해 악성 기능을 수행하는 핵심적인 실행 파일을 또다시 메모리상에 로드한다. 이 파일은 원격 제어 기능을 수행하는 파일이며 다음과 같은 기능을 포함하고 있다. 또한, 아래 기능은 njRAT 원격 제어 백도어 악성코드와 그 기능이 같다. 공격자는 악성코드 제작 프로그램을 이용하여 다수의 사용자를 원격 제어할 목적으로 악성코드를 유포한 것으로 보인다.
  • 일정 간격을 두고 공격자 C&C 서버(regeditcrypter.myq-see.com:4969)와 지속된 메시지 통신 
  • DDoS 공격 - ARME Attack, Slowloris Attack
  • 비트코인과 관련한 현재 동작중인 프로세스를 찾고 있으면 코인 탈취, 지갑 주소를 포함하고 있음
  • Lime 랜섬웨어, 랜섬웨어 지갑 주소는 위 지갑 주소와 동일
  • USB 자체 전파
  • 각종 안티 분석
  • 토렌트 프로그램의 시드 - uTorrent.exe, BitTorrent.exe
  • 시스템 제어 – 전원, 작업관리자, 장치 제어
  • 시스템 정보 탈취

현재 안랩 제품에서는 Pastebin을 이용한 원격제어 유형의 악성코드를 다음 이름으로 진단하고 있다.
  • 파일 진단: Trojan/Win32.Executor (2018.03.24.08)
  • 행위 진단: Malware/MDP.Create


Posted by 분석팀