분석 정보/악성코드 분석 정보

Powershell을 통해 실행되는 DoubleBack 악성코드

알 수 없는 사용자 2021. 6. 10. 15:21

미국의 전자 제품 회사의 임원으로 위장한 피싱 메일이 발견되었다. 공격자는 피싱 메일에 악성 파일을 다운로드 할 수 있는 링크를 포함하여 사용자로 하여금 악성 파일을 다운로드 하도록 유도하였다.

 

다운로드 한 Zip 파일은 가짜 PDF 파일과 다운로더 악성코드로 구성되었는데, 피싱 메일이 유포된 시기에 따라 다운로더 악성코드 파일이 변경되었다. 공격 초기에는 JavaScript 로 작성된 다운로더 악성코드가 유포되었지만, 이후 발견된 사례에서는 악성 Excel 파일이 유포된 것으로 알려졌다.

 

만약 사용자가 악성 JavaScript 혹은 Excel 파일을 실행하면 추가 파일을 다운로드하여 악성 행위를 수행한다.

 

[그림 1] 가짜 PDF 파일

 

악성 동작

사용자가 악성 Excel 파일 실행 시, Excel 파일 내부의 매크로를 통해 공격자의 서버로 연결한 뒤 추가 악성 파일을 다운로드하여 실행한다. 다운로드된 파일은 "Powershell Script" , 내부에는 인코딩된 "DoubleBack" 악성코드가 포함되어 있다.

 

실행된 "Powershell Script" 는 파일에 포함된 "DoubleBack" 악성코드를 레지스트리에 저장한다. 이후 레지스트리에 저장된 "DoubleBack" 악성코드를 디코딩하여 정상 msiexec.exe 프로세스에 인젝션하여 재실행한다. 다음 [그림 2]는 악성코드의 전체적인 실행 흐름이다.

 

[그림 2] 실행 흐름도

 

Excel 문서 실행 시 "해당 문서 파일이 Android 장치에서 생성되었기 때문에 문서를 확인하기 위해선 '콘텐츠 사용' 버튼을 클릭해야 한다" 라는 내용의 이미지를 보여주며, 버튼을 클릭하여 매크로를 실행하도록 유도한다.

 

[그림 3] 악성 Excel 문서

 

"콘텐츠 사용" 버튼 클릭 시 문서 내부에 삽입된 악성 매크로가 실행된다.

 

[그림 4] 삽입된 매크로

 

매크로는 Powershell 의 명령어를 통해 공격자의 서버로 연결하여 악성 "Powershell Script" 를 다운로드한다. 이후 다운로드한 "Powershell Script" IEX (Invoke-Expression)라는 명령을 통해 Powershell 프로세스에서 실행한다.

 

[그림 5] 파일 다운로드 및 실행

 

다운로드된 "Powershell Script" 는 다음 [그림 6]과 같이 인코딩되어 있으며, "DoubleBack" 악성코드가 포함되어 있다.

 

[그림 6] 포함된 DoubleBack 악성코드

 

실행된 "Powershell Script" 는 'HKLM\Software\Classes\CLSID\[임의의 Key]' 레지스트리 키를 생성하고 해당 경로에 "DoubleBack" 악성코드와 추가 데이터를 저장한다.

 

[그림 7] 레지스트리에 저장된 데이터

 

이후 저장된 악성코드를 디코딩 한 뒤, 실행 중인 Powershell 프로세스에 메모리를 할당하고 실행한다.

 

[그림 8] DoubleBack 실행

 

실행된 "DoubleBack" 악성코드는 현재 실행 중인 프로세스가 Powershell.exe 이라면 정상 msiexec.exe 프로세스에 인젝션하여 "DoubleBack" 악성코드를 재실행한다.

 

[그림 9] 정상 msiexec.exe 실행

 

재실행된 악성코드는 공격자의 서버로 연결을 시도한다. 그러나 현재 분석 시점에서는 연결되지 않는다.

 

[그림 10] C&C 연결

 

만약 공격자의 서버로 연결된다면 추가 데이터를 다운로드 받은 후 전달받은 데이터에 따라 프로세스 실행, 스크린샷 등의 악성행위를 수행한다.

 

[그림 11] 악성행위 코드 일부

 

"DoubleBack" 악성코드는 최초 실행하는 다운로더 파일 이외에는 감염 환경에 악성코드 파일을 생성하지 않으며, 실행 과정을 감추고 있어 감염여부를 파악하기 어렵다. 따라서 출처가 불분명한 메일에 첨부된 파일 실행을 지양해야 하며, 이후에도 발생할 수 있는 사이버 공격에 대비하여 보안 동향에 관심을 가질 필요가 있다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 12] TACHYON Internet Security 5.0 진단 및 치료 화면