악성 파일 정보

[악성코드 분석] WSH RAT 악성코드 분석 보고서

자바 스크립트로 동작하는 WSH RAT 주의

 

지난 해에 등장한 ‘WSH RAT’이 최근 다시 모습이 나타나고 있다. 해당 악성코드는 PDF Reader Installer 을 가장한 파일로, 자바 스크립트 파일을 드롭하여 악성 동작을 수행한다. 악성 동작이 수행될 때, 정상 Installer 파일도 함께 실행하여 사용자가 눈치채지 못하게 하기에 큰 주의가 필요하다.

 

해당 악성코드가 실행되면, 정상 PDF Reader Installer을 드롭하고 실행한다.

 

[그림  1]  정상  Installer

 

[그림  2]  설치된 정상 PDF Reader

 

 

정상 Install 파일의 화면을 띄우고, 악성 자바 스크립트 파일을 드롭 및 실행한다. 해당 스크립트 파일은 난독화 되어있어 일반 사용자는 파일 내용을 확인하기 힘들도록 한다. 아래의 빨간색 상자는 인코딩된 메인 코드이다.

 

[그림 3]  난독화된  js  파일 일부

 

인코딩된 메인 코드를 base64로 디코딩하면 다음과 같은 스크립트를 확인할 수 있다.

 

[그림  4]  디코딩된 스크립트

 

JXjkcYI’라는 이름의 변수에 필요한 문자열을 16진수로 저장하고 있어, 아래의 이미지와 같이 변환하면 주요한 문자열을 확인할 수 있다.

 

[그림  5] ( 좌 ) 16 진수 , ( 우 )  문자

 

아래의 이미지는 스크립트에 포함하고 있는 악성 동작 중 서버와 연결하는 부분이며, 해당 코드가 실행되면 원격지에 사용자 정보를 송신한다.

 

[그림  6]  서버 송신스크립트 코드

 

[그림  7]  사용자  PC  정보 탈취

  

그리고, C2 서버와 통신을 시도하지만, 현 시점에서는 해당 C2서버에 연결되지 않는다.

 

[그림  8] C2 서버 연결

 

그 외에도 스크립트 내에 다양한 악성 동작을 함수로 정의하고 있다. 아래의 이미지에 보이는 코드는 ‘disableSecurity’ 함수로 WMI에 연결하여 레지스트리 값을 변경한다. 변경된 레지스트리는 사용자 계정을 관리자 모드로 실행 및 승격하고, Windows defender 사용을 중지하는 동작을 수행한다.

 

[그림  9] ‘disableSecurity’  함수

 

이번 보고서에서 알아본 ‘WSH RAT’은 정상 프로그램을 가장하여 악성 동작이 이루어지며, 스크립트내에 여러 악성코드를 포함하고 있어 서버와 연결된다면 추가적인 피해가 발생할 수 있다. 악성코드의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

[그림  10] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

 

 

 

댓글

댓글쓰기