31. Lazarus's Ratankba

3일전, 바이러스 토탈 Lazarus 야라 룰에 새로운 악성코드가 잡혔다.

 

악성코드는 2017년도 활발히 유포되었던 Ratankba 라는 악성코드이다. 대부분 POS(Point Of Sale System)에서 금전 탈취나 피해자 PC에서 암호화폐 채굴과 정보 탈취를 목적으로 유포되었던 것으로 보인다.

 

기본적인 악성코드 정보는 아래와 같다.

악성코드 명	Ratankba
수행 행위	암호화폐 채굴, 정보 탈취

 

악성코드의 메인 함수에는 총 3개의 악성행위 수행 함수들이 존재한다. 각각의 함수들이 수행하는 대략적인 행위는 아래와 같다.

Copy_Winslui_sub_405560	본 파일을 %APPDATA%\Microsoft\Windows\시작 메뉴\프로그램\시작프로그램\Winslui.exe 로 복사 혹은 %USERPROFILE% 아래 복사
eye_watch_sub_405110	PC 정보 탈취 후 C2연결 및 정보 전송 후 명령 대기
delete_sub_405370	본파일 삭제 및 종료

 

첫 함수인 Copy_Winslui_sub_405560에서는 본 파일 카피본 저장을 시도한다. 피해 PC 윈도우 버전을 측정한 뒤에 해당 버전을 기반으로 윈도우 7 이상일 경우에는 %APPDATA% 아래 저장하고 윈도우 7 아래 버전에서는 %USERPROFILE% 아래에 저장한다.

본파일 카피

 

이후에는 C2서버에 연결하고 여러가지 행위를 수행한다. 기본적인 C2 정보와 파라미터별 수행 행위는 아래와 같다.

C2 : https://www[.]eye-waych[.]in/jscroll/board/list[.]jsp

파라미터	수행 행위
BaseInfo	기본 정보 탈취
What	피해 PC의 상태가 어떤지 확인 및 명령 전송, success와 killkill을 통해 완료 및 백도어 종료 명령 수행
CmdRes	kill 명령을 통해 종료 혹은 exec-%d 명령을 통해 새로운 DLL 삽입

 

정보 탈취는 아래와 같이 "cmd.exe /c" 뒤에 명령어를 붙임으로써 이루어진다.

명령어 수행 루틴

 

명령어 별 탈취하는 정보는 아래와 같다.

• cmd.exe /c hostname : 호스트명 탈취
• cmd.exe /c whoami : 권한 정보 탈취
• cmd.exe /c ver : 윈도우 버전 탈취
• cmd.exe /c ipconfig -all : ip정보 및 네트워크 정보 탈취
• cmd.exe /c ping www.google.com : 인터넷 연결 유무 확인
• cmd.exe /c query user : 로그온 된 사용자 목록 탈취
• cmd.exe /c net user : 컴퓨터에 등록된 사용자 계정 탈취
• cmd.exe /c net view : 컴퓨터 공유 리소스 탈취
• cmd.exe /c net view /domain : 작업 그룹 서버 목록 탈취
• cmd.exe /c reg query ~Internet Settings\ : 인터넷 기본 세팅 정보 탈취
• cmd.exe /c tasklist /svc : 현재 실행중인 프로세스 목록 탈취
• cmd.exe /c netstat -ano | find "TCP" : TCP 연결 목록 탈취

 

해당 정보들 탈취 및 백도어 연결을 모두 수행하고 나면 아래와 같이 흔적을 지우는 파일 내용을 생성하고 프로세스로 실행시켜 흔적을 삭제한다.

삭제

 

아래 URL은  참고할만한 URL이다. 2017년도 Ratankba가 유포되었을 때의 정보를 기반으로 MITRE에서 정리한 정보이다.
https://attack.mitre.org/software/S0241/

RATANKBA | MITRE ATT&CK™