3대 국내 사용자 타깃 악성코드 ♥ Amadey 봇의 은밀한 관계

'GandCrab' 랜섬웨어, 암호화폐 거래소 대상 공격 악성코드, 스팸 메일로 유입된 'Ammyy' 원격제어 백도어와 'Clop' 랜섬웨어까지... 이들의 공통점은 모두 국내 기업 및 사용자를 주 타깃으로 하는 악성코드라는 점이다. 

 

'GandCrab' 랜섬웨어는 '이력서'와 같은 스팸 메일이나 국문으로 된 피싱 다운로드 페이지를 이용하여 주로 유포되었고, V3 제품 무력화 시도 등 국내 사용자와 제품을 공격하였다. 암호화폐 거래소 공격 악성코드는 국내 주요 거래소를 대상으로 이메일 첨부파일을 이용하여 유포되었고, 이메일 계정을 포함한 정보와 코인 탈취 등의 기능을 수행하였다. 'Ammyy' 백도어는 국내 대기업을 포함하여 무차별적 스팸 메일로 대량 유포되었으며, 원격 제어를 통해 시스템을 장악 및 내부 정보를 탈취한 다음에 'Clop' 랜섬웨어를 시스템에 연결된 내 다수의 PC에 설치하였다.

이렇듯 올 2019년 상반기를 돌아보면 유독 국내 사용자를 및 사용자를 타깃으로 하는 악성코드가 기승을 부렸고 이 중에서 ‘Ammyy’ 백도어와 ‘Clop’ 랜섬웨어 공격은 현재도 활발히 진행중이다. 안랩 ASEC은 이들 악성코드를 계속해서 추적하고 분석하고 있는 과정에서 특별한 연결고리를 확인하였다. 언뜻 보면 서로 연관이 없을 것 같은 공격들 사이에 우연히 공통점이 발견된 것이다. 바로 유포와 실행 중에 ‘Amadey’ 봇을 이용한 점이다.

‘Amadey’는 러시아에서 만들어진 것으로 알려진 봇의 일종으로, 불법 포럼 등을 통해 고가로 거래되고 있다. 주 목적은 시스템 내부 정보 전송, 추가 파일 다운로드 및 실행으로 기능 및 핵심이 되는 실행 파일(PE)의 코드 흐름은 간단한 편이다. 봇 관리와 수집된 내부 정보 및 추가 파일은 공격자가 운영하는 C&C 서버 웹 화면을 통해 관리할 수 있다. 

 

[그림 1] Amadey 봇 실행 파일 코드 일부

Amadey 봇 관리자(공격자) 웹 화면 

유출 된 C&C 서버 소스 일부 – 파일 다운로드 관리 

추가 파일 관리 화면 - [Figure 3] 소스의 웹 화면 

즉, ‘Amadey’는 기본적인 정보 유출과 함께 추가 다운로드 할 파일을 실시간으로 교체할 수 있는 맞춤형 봇으로 사용될 수 있는 악성코드이다. 앞서 언급한 국내 타깃 공격에서 ‘Amadey’를 이용한 정황이 확인되었다. 특이한 점은 모든 공격 시도 때마다 이용한 것은 아니고 일부 시도에서 순간적으로 포착되었다. 이제부터 그 순간의 흔적을 확인해보자.

 #1 GandCrab 랜섬웨어 공격 

 

지난 4월 15일 유포된 ‘Amadey’는 총 3개의 파일을 추가로 다운받아 실행하였고, 이 파일은 정보 유출 유형 외 ‘GandCrab’ 랜섬웨어가 포함되어 있었다. ‘GandCrab’ 유포에 ‘Amadey’를 이용한 것이다. 유포 정황뿐만 아니라 실행 파일 코드 측면에서도 그 외형이 동일하였다. 이는 파일을 만들 때 사용하는 빌더가 동일했다는 것으로, 악성코드 제작자 혹은 유포자가 ‘GandCrab’와 ‘Amadey’를 동일한 빌더를 이용해 외형을 패킹했음을 의미한다. 
 

패킹된 GandCrab 코드(좌) 와 Amadey 코드(우) 

 #2 암호화폐 거래소 대상 악성코드 공격 

 

지난 3월 29일 국내 암호화폐 거래소 PC에서 발견된 악성 파일 ‘Crypto Market Predictor for Desktop v2.13.exe’은 정보 유출과 코인 탈취 기능과 동시에 ‘Amadey’를 이용하여 추가 파일을 다운로드 받았다. 추가로 다운 받은 파일은 또 다른 정보 유출 목적으로 이용되었다. 실행 과정과 추가 파일 유포를 위해 ‘Amadey’를 이용한 사례이다.

 #3 Ammyy 백도어 및 Clop 랜섬웨어 공격 

 

최근에 가장 이슈가 되고 있는 ‘Ammyy’ 원격제어 백도어 파일 또한 ‘Amadey’를 이용하여 유포된 흔적이 발견되었다. ‘Ammyy’ 백도어는 공격 대상 시스템에 침투한 이후 잠복기간동안 추가 악성 파일을 이용하여 내부 시스템 정보를 완전히 탈취한 뒤 ‘Clop’ 랜섬웨어를 설치한다. 스팸 메일로 유입된 엑셀 파일은 매크로를 통해 ‘Amadey’ 봇을 다운로드 받았고, 해당 봇은 ‘Ammyy 다운로더’를 다운받았다. 이후 다운로더가 ‘Ammyy’ 백도어 파일을 추가로 다운받는다.
 
이 사례가 독특한 점은 기존까지 모든 ‘Ammyy 다운로더’ 파일은 워드 또는 엑셀 파일을 통해 즉시(또는 인코딩 된 형태)로 시스템에 생성되었기 때문이다. 엑셀의 매크로 코드가 접속하는 주소에 파일이 기존 ‘Ammyy 다운로더’ 방식에서 ‘Amadey’로 변경된 것이다. 그리고 ‘Amadey’가 ‘Ammyy 다운로더’를 다운받도록 하였다. 동일한 접속 주소는 해당 행위가 기록되기 약 2시간 전에는 ‘Amadey’가 아닌 ‘Ammyy 다운로더’를 유포하고 있었다. 

 

Amadey로 파일 교체 

왜 굳이 단계를 추가하여 파일을 다운받도록 했는지 이유는 알 수 없지만, 분명한 사실은 공격자가 Amadey를 이용하였다는 사실이고, 엑셀 파일이 접속하는 주소에 바이너리가 교체되었다는 점이다. 

 

지금까지 내용을 종합해보면 국내 기업 또는 사용자를 타깃으로 하는 공격 주체는 ‘Amadey’ 봇을 이용하고 있다. 그 이유는 명확하지 않으며 다만 실시간 감염된 PC의 정보 파악 및 추가 다운로드 파일의 교체 등 ‘Amadey’의 기능 자체를 이용하기 위한 것으로 추정된다. 향후에도 이러한 흐름 및 동향에 변화가 있을지 확인해볼 필요가 있다.