[오늘의 보안] RecordBreaker 정보탈취 악성코드

<3줄 요약>

- 과거, 단순하게 악성코드 실행 파일 자체를 유포했다면, 정상 파일 포함하기 시작. 최근 정상 인스톨러를 다운로드 후 실행하는 샘플 등장
- MS 공식 홈페이지로부터 .NET 업데이트 설치 파일 다운받아 실행
- RAR 파일 내 'setup.exe'만 악성코드이고 파일 용량은 20MB ~ 50MB 정도임

 

RecordBreaker Stealer : 크랙 및 시리얼 등의 불법 프로그램 다운로드로 위장하여 유포되는 대표적인 악성코드

알 수 없는 웹 사이트로부터 다운로드한 파일이 암호 압축 파일이거나 내부에 setup, activate, install 등의 파일명을 가진 실행 파일이 존재하는 경우 악성코드

샌드박스 등의 분석 환경에서는 해당 파일이 정상 파일로 분류될 가능성 높음

 

 

 

https://asec.ahnlab.com/ko/54140/

.NET 설치 파일로 위장한 RecordBreaker 정보탈취 악성코드 - ASEC BLOG

크랙으로 위장하여 유포 중인 악성코드가 진화하고 있다.

과거에는 단순하게 악성코드 실행 파일 자체를 유포했다면, 압축 파일 내부에 정상 파일들을 포함하기 시작했고, 최근에는 정상 인스톨러를 다운로드 후 실행하는 샘플이 등장하였다.

일반적인 사용자 환경에서 악성코드를 실행할 경우 공격자의 서버로부터 암호화된 악성코드 파일을 다운로드 후 실행하며, 해당 악성코드는 정보 탈취 기능의 RecordBreaker Stealer (Raccoon Stealer V2)이다.

하지만 가상 환경에서는 악성코드가 아닌 MS 공식 홈페이지로부터 .NET 업데이트 설치 파일을 다운받아 실행 후 종료된다. 기존 .NET Framework 의 설치 여부에 따라 다음과 같은 윈도우가 출력될 수 있다.

따라서 샌드박스 등의 분석 환경에서는 해당 파일이 정상 파일로 분류될 가능성이 높다. 실제로 VirusTotal 상의 모든 샌드박스가 우회되어 .NET 설치 파일이 실행된 것을 확인할 수 있다.

유포되는 압축파일 내에 여러 정상 파일과 폴더를 함께 압축하여 사용자를 속이고 있다. 아래 그림은 유포 페이지로부터 다운로드된 RAR 파일을 압축 해제할 경우 생성되는 파일이며, “setup.exe” 파일만이 악성코드고 나머지는 악성코드의 실행과는 전혀 관련이 없는, 널리 사용되는 정상 파일이다.

본 샘플은 기존에 유포되던 것들과는 다르게 Rust로 작성되었다는 특징이 있다. 또한 이번 유포에서는 파일 용량을 크게 키우는 모습은 보이지 않는다. 파일 용량은 20MB ~ 50MB 정도이다. 이전에 유포되던 샘플들이 3GB까지 용량을 늘렸던 것에 비해서는 매우 작은 용량이다.

또한 여러 분석 방해 기법을 적용하였는데 확인된 기능은 다음과 같으며 대부분 가상 환경 탐지(Anti-VM)관련 기능이다.

• 디버깅 여부 검사
• 메모리상의 가상환경 관련 문자열 검사
• PC명, User명 검사
• 가상 환경 관련 드라이버(.sys) 존재 유무 검사
• 파일 / 폴더명 검사
• 실행 중인 프로세스 검사
• 시스템 정보(Disk 크기, 프로세서 정보, 메모리 크기 등)

가상환경이 아닐 경우 Powershell 명령어를 활용한 실행 지연 후 최종적으로 C2에서 암호화된 악성코드 파일을 다운로드한다.

“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -NoProfile -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBzACAANQA=

-enc Start-Sleep -s 5

표1. Powershell 명령어

C2 : http://89.185.85[.]117/bmlupdate.exe

C2로부터 다운로드된 파일은 파일은 XOR 암호화되어있으며 키는 ” Fm6L4G49fGoTN5Qg9vkEqN4THHncGzXRwaaSuzg2PZ8BXqnBHyx9Ppk2oDB3UEcY” 이다.

다운로드한 파일을 복호화하여 정상 프로세스(addinprocess32.exe)를 실행 후 인젝션한다. 복호화된 파일은 RecordStealer 악성코드이며, 별도의 패킹은 존재하지 않으나 코드영역 전체적으로 불필요한 API 호출 코드를 매우 많이 삽입하여 분석을 방해하고 있다.

MD5: 9fed0b55798d1ffd9b44820b3fec080c (Infostealer/Win.RecordStealer, 2023.06.02.03)

 

위에 명시된 가상 환경 검사에 탐지될 경우 다음 주소에서 정상 .NET 인스톨러 파일을 다운로드 후 실행한다.

hxxps://download,visualstudio,microsoft[,]com/download/pr/1f5af042-d0e4-4002-9c59-9ba66bcf15f6/124d2afe5c8f67dfa910da5f9e3db9c1/ndp472-kb4054531-web,exe

따라서 가상환경과 일반 환경에서 다음과 같은 프로세스 트리의 차이가 발생한다.

최종적으로 실행된 RecordBreaker Stealer는 서버에서 응답한 설정값에 따라 사용자의 각종 민감 정보를 탈취하여 C2로 전송 후 종료된다.

C2: 94.142.138[.]74

User-Agent: Zadanie

RecordBreaker Stealer에 대한 자세한 정보는 아래 포스팅에서 확인할 수 있다.

• 신종 정보탈취 악성코드, 크랙 위장 유포 중

공격자는 탐지를 우회하기 위해 꾸준히 새로운 변형을 제작하고 있다. Crack, Keygen 등의 불법 툴 사용을 지양해야 하며 개발사가 공식 배포하는 설치 파일을 사용해야 한다. 특히 알 수 없는 웹 사이트로부터 다운로드한 파일이 암호 압축 파일이거나 내부에 setup, activate, install 등의 파일명을 가진 실행 파일이 존재하는 경우 악성코드임을 의심해야 한다.

ASEC(AhnLab Security Emergency response Center) 에서는 자동화된 시스템을 통해 이러한 방식으로 유포되는 악성코드를 면밀히 모니터링 중이며 AhnLab TIP 서비스에서 관련 내용을 실시간으로 확인 가능하다.