62. andariel's DLRAT

얼마 전, Andariel 그룹의 DLRAT 이라는 악성코드가 유포된 것을 확인하였다. 해당 악성코드는 TALOS 측에서 Operation Blacksmith 라는 명칭을 사용한 분석 보고서에서 확인하였는데, D lang 을 사용해 작성된 악성코드라고해서 분석해보았다.

https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/

Operation Blacksmith: Lazarus targets organizations worldwide using novel Telegram-based malware written in DLang

 

sha256 : e615ea30dd37644526060689544c1a1d263b6bb77fe3084aa7883669c1fde12f

 

해당 악성코드는 난독화/가상화 등이 적용되어 있지 않아서 분석에 많은 까다로움은 없다. 하지만, 사용하는 대부분의 문자열들을 base64 디코딩을 통해 가져오는 특성이 있다.

또한, 해당 악성코드는 RAT의 한 종류로 피해자 PC의 정보를 염탐하거나 추가적인 악성코드 드롭을 위해 사용된다.

 

악성행위는 MyApp 이라는 메인함수로 시작된다. 해당 함수 내 두 개의 악성행위 함수가 존재한다. 두 개의 함수 내에서 base64 디코딩등을 통해 악성행위를 수행한다.

MyApp

악성행위 메인 함수

 

MyApp 이 메인함수가 되는 이유는 아래 D lang 공식 사이트에 나타난 것처럼 D lang 에서는 메인 함수를 MyApp 으로 사용하기 때문인 것 같다. 아마 함수명을 변경할 수도 있어 보이는데 디폴트인 MyApp을 그대로 사용한 것을 보면 악성코드 제작자가 D lang에 완벽히 능숙하다고는 볼 수 없어보인다.

https://dlang.org/spec/module.html

Modules - D Programming Language

 

악성 메인함수에서는 가장 먼저 http/https 의 웹 연결을 위한 준비를 수행한다.

웹 연결 준비

 

이후 "23wfow02rofw391ng23" 문자열이 등장하는데, TALOS에 의하면 해당 문자열은 이전에 Lazarus 그룹에서도 C2 서버에서 악성코드를 추가로 내려받기 위해 사용했던 경로라고한다.

C2 활용 문자열

 

또한, 정보 탈취등을 위해 사용되는 "system32", "windows" 등의 문자열도 복호화한다.

정보 탈취 대상 폴더 문자열

 

이후 연결을 위해 C2 서버 주소를 복호화한다.

C2 서버 복호화

 

이후 피해자 PC의 시스템 정보, mac 정보 등을 탈취하기 위해 whoami, mac 등을 탈취한다.

피해자 PC 정보 탈취

 

탈취된 정보는 아래와 같이 "SynUnst.ini" 라는 파일에 저장된다. 파일명을 ini로 설정함으로써 피해자에게 정상적인 파일로 속이고자 한 것으로 보여진다.

SynUnst.ini

 

피해자 정보를 모두 탈취한 뒤에는 C2 서버와 연결을 시도한다. C2 서버와 정상적인 연결 뒤에는 피해자 정보를 C2 서버로 전송하거나 추가적인 악성코드를 C2 서버로부터 다운로드 받는 등의 행위로 2차 악성행위를 이어나간다.

C2 서버 연결

 

 * 현재 C2 서버와 연결 자체는 가능하지만 접속시 Not Found를 출력함

C2 서버