분석 정보/악성코드 분석 정보

[악성코드 분석]Slack, Github을 이용해 통신하는 SLUB 백도어 감염 주의

TACHYON & ISARC 2019. 5. 2. 17:55

Slack, Github을 이용해 통신하는 SLUB 백도어 감염 주의

1. 개요

얼마 전 해외 보안 업체 Trend Micro 에서 팀 협력 도구 Slack 과 분산 버전 관리 툴 Github 을 이용하여 통신하는 백도어를 발견하였고, 두 서비스의 이름을 합쳐 SLUB 백도어라 명명했다. 해당 악성 파일은 시스템에 특정 백신이 실행 중이면 백도어 실행 없이 스스로 종료되거나, Github 으로부터 수행할 명령을 수신받고 Slack 채널로 결과를 전송하는 등, 탐지 회피 기능을 가지고 있기 때문에 주의가 필요하다.

 

 


2. 분석 정보

2-1. 파일 정보

구분 내용
파일명 [임의의 파일명].exe
파일크키 78,848 bytes
진단명 Trojan-Downloader/W32.SLUB.78848
악성동작 파일 다운로드
구분 내용
파일명 Windows-RT-KB2937636.dll
파일크키 856,576 bytes
진단명 Backdoor/W32.SLUB.856576
악성동작 백도어

 

2-2. 유포 경로

SLUB 은 피해자와 관련된 사이트의 취약점을 사전에 공격하여, 해당 사이트에 접속하는 이들을 감염시키는 워터링 홀 공격을 이용하여 유포되고 있다고 알려져 있다.


2-3. 실행 과정

SLUB 백도어는 가장 먼저 워터링 홀 공격을 통해 다운로더가 실행된다. 다운로더는 DLL 확장자의 백도어를 다운로드한 후, 시스템에서 특정 백신 프로그램의 실행 여부를 확인한다. 만약 백신이 실행 중이라면 추가 악성 행위 없이 종료되며, 그렇지 않으면 백도어를 실행한다. 실행된 백도어는 Run 레지스트리에 자신을 추가하여 재부팅 후 재시작되도록 설정한다. 이후 Github의 특정 주소에 접속하여 공격자가 업로드한 것으로 추정되는 명령을 읽어 수행하며, 명령 수행 결과를 Slack 통해 전달한다.

 

 


3. 악성 동작

3-1. 백신 프로세스 실행 여부 확인

피해자가 워터링 홀 공격을 받은 사이트에 접속하면, 가장 먼저 다운로더 파일을 실행하게 된다. 다운로더는 시스템에 [표 1]에 해당하는 백신 프로그램이 실행 중이라면 백도어 다운로드 후 프로세스 생성을 하지 않고 스스로 종료하여 악성 행위 탐지를 회피한다.

 

구분 내용
백신 프로그램 명  “V3Tray.exe”, “AYAgent.aye”, “navapsvc.exe”, “ashServ.exe”, “avgemc.exe”, “bdagent.exe”, “ZhuDongFangYu.exe” 

[표 1] 실행 여부 확인 대상 백신 프로그램


3-2. 백도어 파일 다운로드 및 실행

위 백신 프로그램이 실행되고 있지 않다면 “ProgramData\update” 폴더를 생성하고 SLUB 백도어를 다운로드하여 “Windows-RT-KB2937636.dll” 라는 이름으로 생성한다. 이후 rundll32.exe 를 이용하여 백도어 내부의 Export 함수를 실행한다.

[그림 1] rundll32.exe를 이용하여 SLUB 백도어 실행

 


3-3. 시스템 재부팅 시 자동 실행 등록

백도어가 실행되면 먼저 Run 레지스트리의 “Microsoft Setup Initializazion” 값에 자기 자신을 등록하여 시스템 재부팅 시에도 실행될 수 있도록 설정한다.

 

[그림 2] Run 레지스트리에 백도어 등록

 


3-4. Github을 이용한 명령 전달 및 수행

이후 공격자가 개설한 것으로 추정되는 Github 의 특정 주소에 접속하여 지속적으로 명령어를 읽는다. 명령어는 “^”와 “$” 문자열로 감싸진 명령만 수행하며, 적절한 명령어와 옵션을 전달받으면 [표 2]와 같이 기능을 수행한다. 명령을 수행한 후에는 이에 대한 결과를 공격자가 개설한 것으로 추측되는 Slack 채널로 전송한다. 

명령어 기능
exec cmd.exe를 이용하여 명령 실행.
dnexec 파일 다운로드 후 실행.
update 파일 다운로드 후 현재 백도어와 교체.
destroy bat 파일 생성 후 실행하여 자신과 관련된 파일, 레지스트리 삭제.
capture 스크린샷을 찍어 Slack 채널로 전송.
file 파일 리스트 확인, 복사, 삭제, 업로드 수행.
dir 폴더 생성 및 삭제.
proc
프로세스 리스트 확인, 강제 종료.
drive 시스템 드라이브 정보 확인.
reg 레지스트리 쿼리, 읽기, 쓰기 수행.
tmout 악성 행위 없이 대기.

[표 2] 백도어 수행 명령어 및 기능

 

 

 

[그림 3] 쪼개진 문자열을 합쳐 “slack.com” 으로 명령 수행 결과 전송

 

 


4. 결론

이번에 분석한 SLUB 는 악성 패킷을 탐지되지 않기 위해 정상 웹 서비스를 이용하여 공격자와 통신하는 방법을 사용하고 있다. 이는 많은 조직에서 업무를 위해 정상 웹 서비스 패킷을 검사하지 않는다는 사실을 이용한 것이며, 최근 점점 더 많은 악성 파일이 이와 같은 방법을 사용하고 있다. 이처럼 정상 웹 서비스를 이용한 공격을 탐지하기 위해 시스템 관리자가 올바른 사내 정책을 적용하고 지속적인 관심을 가져야 할 것이다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 4] TACHYON Internet Security 5.0 진단 및 치료 화면