분석 정보/악성코드 분석 정보

[악성코드 분석] CRAT 악성코드 분석 보고서

TACHYON & ISARC 2021. 1. 27. 16:53

 2020인천광역시 코로나바이러스 대응 긴급 조회라는 제목의 악성 한글 문서가 발견되었다. 해당 한글 문서는 코로나 19 바이러스와 관련된 내용으로 공공기관을 사칭하여 유포되었는데, 사용자가 정상 문서처럼 위장한 내용에 속아 악성 한글 문서를 실행한다면 문서에 삽입된 EPS(Encapsulated PostScript)를 통해 “CRAT” 악성코드를 다운로드하고 사용자의 정보를 탈취한다.

 

[그림  1]  악성 한글 문서

 

한글 프로그램에서는 그래픽 이미지를 화면에 표현하기 위해 EPS 파일을 사용한다. 공격자들은 한글 문서에 악성 EPS 파일을 삽입하고, EPS 파일이 9.21 이하 버전의 인터프리터(gbb.exe, gswin32c.exe)를 통해 실행되는 과정에서 발생하는 CVE-2017-8291 취약점을 이용하여 악성 동작을 수행한다.

 

이와 관련하여 한글과컴퓨터에서는 2017년 한글 프로그램에서 EPS 파일을 통해 악성코드가 실행되는 문제를 방지하기 위해 보안 업데이트를 배포 및 공지하였다. 해당 업데이트를 적용한 한글 프로그램에서는 악성 EPS 파일이 동작하지 않지만, 보안 업데이트를 적용하지 않은 경우에는 악성코드에 의한 추가적인 피해가 발생할 수 있다.

 

[그림  2]  실행 과정

 

취약한 HWP 문서

취약한 한글 프로그램에서 공격자들은 EPS 내부에 악성 스크립트를 삽입하여 악성 동작을 수행한다.

 

[그림  3]  악성  EPS

 

EPS 내부 스크립트가 실행되면 취약점을 통해 Shellcode가 실행된다.

 

   [그림  4]  쉘코드 실행

 

Shellcode system 함수를 호출하여 Powershell 명령을 통해 공격자의 서버로 연결하여 “CRAT” 악성코드를 다운로드하고 실행한다.

 

[그림  5]  파일 다운로드

 

CRAT 악성코드

CRAT” 악성코드는 예전 Lazarus 해킹 그룹을 통해 유포 되었었다. “CRAT” 악성코드는 정보 탈취 및 파일 다운로드 등의 악성 행위를 수행한다. 최근 랜섬웨어 실행, 화면 캡쳐 등의 기능이 추가된 버전이 발견되었지만 유포 방식에 대해선 아직 알 수 없다.

 

또한 중복 실행 방지를 위해 생성하는 뮤텍스 이름을 "CRAT"으로 사용하는 특징을 가지고 있다.

 

[그림  6] CRAT Mutex

 

CRAT”은 윈도우 버전에 따라, 아래 [ 1]의 대상 프로세스에 인젝션한다.

현재 자신이 동작중인 프로세스와 대상 프로세스를 비교하여 인젝션 여부를 판단하고, 만약 인젝션이 되지 않았다면 대상 프로세스에 인젝션 한다.

 

[표  1]  인젝션 대상 프로세스

 

정보 탈취 동작

인젝션 된 코드일 경우 사용자의 컴퓨터 정보를 탈취한다. 정보 탈취를 위해 윈도우 시스템에 관한 정보에 대한 관리, 구성을 지원하는 “WMI” (윈도우 관리 도구)를 활용한다. 예를 들어, WMI 쿼리 언어인 “WQL”를 사용하면 아래 [그림 7]과 같이 윈도우 시스템에 대한 정보를 획득할 수 있다.

 

[그림  7] WMI Query  정보

 

따라서 "WQL"을 사용하여 다음 [ 2]과 같이 네트워크 장치, 디스플레이, 컴퓨터 시스템, 프로세서, 운영체제 및 설치된 백신제품 등 사용자의 컴퓨터 정보와 보안 제품에 대한 정보를 수집한다.

 

 [표  2]  정보 수집 목록

 

탈취한 정보를 Base64로 인코딩하고, 공격자의 서버로 연결한다.

 

추가 파일 다운로드

공격자의 서버와 연결된다면 추가 파일을 다운로드하여 실행한다. 하지만 분석시점에서는 연결이 되지 않아 종료된다.

 

[그림  8]  다운로드 파일 저장

 

CRAT” 악성코드는 정상적인 한글 문서로 위장하여 사용자의 실행을 유도하고 있으며, 사용자의 컴퓨터 정보를 탈취하고 있기 때문에 사용자의 주의가 필요하다. 사용자는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하고 꾸준히 업데이트 할 것을 권고한다.

 

CRAT” 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  9] TACHYON Endpoint Security 5.0  진단 및 치료 화면