최근 다른 개발물들과 같이 악성코드, 공격 도구들도 오픈소스로 공개되는 정황이 종종 보인다. 이전에 경찰청 피싱 페이지 소스를 오픈소스로 공개했던 한 저장소에 2달전에 업로드 되었던 공격 도구를 발견해 분석해봤다.
해당 공격 도구는 2달 전에 오픈소스 플랫폼에 업로드되었다.
업로드 된 공격 도구는 NukeAMSI 라는 도구이다. NukeAMSI는 Windows 환경에 존재하는 AMSI(Antimalware Scan Interface)를 우회하는 Powershell 기반 도구이다. 즉, 해당 공격 도구는 Windows 환경을 대상으로 하고 있으며 보안 설정을 우회하고 추가적인 악성코드를 다운로드 한다.
추가 다운로드되는 악성코드는 "telegramget-stream.ps1" 이라는 이름을 가지고 있다. 공격자는 피해자에게 텔레그램 프로그램을 다운로드하는 것처럼 속이고 악성코드를 다운로드 및 실행하게끔 유도하는 공격 시나리오를 구상한 것으로 보여진다. 추가 다운로드 악성코드는 아래 그림과 같이 압축 파일이 base64 인코딩 된 내용을 가지고 있다. 파일 실행 시, base64 디코딩을 진행하고 압축을 해제 후 내부 파일을 실행시키는 형태이다.
이후 추가 다운로드 악성코드가 실행되고 나면 "telegramget" 이름의 파워쉘 악성코드가 나타난다.
telegramget 파일 내부에는 암호화 + base64 인코딩 된 악성코드 데이터를 변수로 가지고 있다. 해당 변수 값의 복호화를 통해 악성코드를 실행시키는 형태이다. 암호화는 xor 을 기반으로 자체적으로 정의된 함수를 통해 수행된 것으로 보여지며, 복호화는 같은 함수를 통해 수행된다.
* 복호화 key: VLSJEHYr
위 데이터는 악성코드의 쉘 코드 데이터이며 이란, 북한 등의 국가 배후 그룹이 사용했던 donut loader 이다. (오픈소스로 공개되어 있어, 여러 국가 배후 공격 그룹들이 사용했던 이력이 존재한다.) 위 데이터가 복호화 된 후에는 쉘코드 인젝션을 통해 악성코드를 실행한다. donut loader는 .NET 어셈블리 코드를 실행하기 위한 인젝션 역할의 악성코드이다.
* malpedia의 donut loader 관련 페이지 : https://malpedia.caad.fkie.fraunhofer.de/details/win.donut_injector
donut_injector (Malware Family)
New Actor for win.donut_injector Stealth Mango and Tangelo 1937CNALLANITE (Palmetto Fusion, Allanite)ALTDOSANDROMEDA SPIDERANTHROPOID SPIDER (Empire Monkey, CobaltGoblin)APT-C-12 (Sapphire Mushroom, Blue Mushroom, NuclearCrisis)APT-C-27 (GoldMouse, Golden
malpedia.caad.fkie.fraunhofer.de
더불어 쉘코드를 인젝션할 때는 첫 파워쉘 코드에서 함께 다운로드 하도록 유도하는 "telegramget.exe" 파일을 사용한다. telegramget.exe 파일은 쉘코드 로더로써 사용되는 것으로 보여진다. 현재는 주석처리 되어있지만, 피해자에게 해당 프로그램을 따로 다운로드하도록 유도하거나 주석을 해제하고 파워쉘 악성코드를 유포할 경우 함께 다운로드 되어 실행될 것으로 보여진다.
telegramget.exe는 아래와 같은 기능들을 포함하고 있다. 주요 행위는 피해자의 텔레그램 데이터 탈취이다.
- 피해자 PC 텔레그램 데이터 압축 후 C2 서버 전송
- 피해자 PC 텔레그램 다운로드 데이터 압축 후 C2 서버 전송
- C2 서버 통신
- 텔레그램 데이터 삭제
- 실행중인 텔레그램 종료
- 추가 파일 다운로드
위 기능과 함께 donut loader 인젝션을 통해 추가적인 악성행위를 수행하는 것으로 보여진다. telegramget.exe를 통해 donut loader를 실행시키면 아래 C2 서버에 통신을 시도하는 것을 볼 수 있다. 현재는 C2 서버가 활성화되지 않은 것으로 보이지만, 향후 C2 서버가 활성화 되면 피해자의 데이터를 탈취하거나 추가적인 악성코드 다운로드 경로로 사용될 것으로 보여진다.
* C2 서버는 아직까지 활성화되지 않은 것으로 보임
MITRE ATT&CK
T1027: Obfuscated Files or Information
T1041: Exfiltration Over C2 Channel
T1055.001: Process Injection: Dynamic-link Library Injection
T1059.001: Command and Scripting Interpreter: PowerShell
T1070: Indicator Removal
T1071: Application Layer Protocol
T1095: Non-Application Layer Protocol
T1105: Ingress Tool Transfer
T1132.001: Data Encoding: Standard Encoding
T1132.002: Data Encoding: Non-Standard Encoding
T1140: Deobfuscate/Decode Files or Information
T1204.002: User Execution: Malicious File
T1489: Service Stop
T1560: Archive Collected Data
T1562.001: Impair Defenses: Disable or Modify Tools
T1573: Encrypted Channel
T1588.001: Obtain Capabilities: Malware
'Analysis' 카테고리의 다른 글
| 102. Operation Salary (0) | 2025.04.08 |
|---|---|
| 101. 급여명세서 위장 스피어피싱 (to 공무원) (0) | 2025.02.21 |
| 100. Kimsuky's 종신안내장v02_곽성환d (0) | 2025.02.10 |
| 99. 한국방위산업학회 위장 공격 이메일 (0) | 2025.01.16 |
| 98. Kimsuky's RFA_질문지 및 자유아시아방송 인터뷰 질의서 (0) | 2024.12.30 |
