러시아를 표적으로 하는 Konni RAT 악성코드 변종 등장

"Konni RAT"은 2014년에 처음으로 등장하여 2017년 7월경, 북한 정부가 미사일 시험 발사 이후 "Konni RAT" 악성코드 공격을 받은 사례가 있다.

 

최근 해당 악성코드의 변종이 러시아를 공격 타겟으로 하여 매크로가 적용된 문서 파일이 유포되고 있다. 또한, 현재 러시아 외에도 한국, 일본, 네팔, 몽골, 베트남 등에서 피해사례가 등장하고 있어 주의해야 한다.

 

"Konni RAT"은 백신 프로그램 탐지 우회하기 위한 기법들이 적용되었으며 문서 파일에 JS 파일 및 Powershell 실행 파일을 숨겨두어 실행되도록 했다. 최종적으로 서비스에서 실행되는 페이로드는 사용자 PC의 정보를 탈취하고, 공격자의 서버에서 명령을 받아 원격으로 제어한다.

 

[그림 1] Konni RAT 공격 흐름도

 

1. 파일 드랍 (문서 파일)

이전에 유포된 "Konni RAT"은 문서 파일의 매크로를 통해 페이로드를 실행하지만 최근 등장한 "Konni RAT" 변종은 악성 동작을 바로 수행하는 대신 문서 내부에서 특정 문자열을 검색하여 "y.js"라는 이름으로 파일을 드랍하고, 실행함으로써 백신 프로그램 탐지 우회를 시도한다.

 

실행된 "y.js" 파일은 문서 파일 내부에서 문자열 검색을 통해 이후에 실행될 "yy.js" 및 "y.ps1" 파일을 드랍한 후 실행한다.

 

[그림 2] 매크로가 포함된 문서 파일

 

[그림 3] 문서 내부에 저장된 y.js, yy.js 및 y.ps1 파일

 

2. 파일 다운로드 및 실행

"y.ps1" 파일은 공격자의 서버에서 페이로드와 페이로드 실행 준비를 위한 파일들을 다운로드하고, "yy.js" 파일은 "y.ps1"에서 페이로드 실행을 준비하기 위해 다운로드 된 "Check.bat"을 실행한다.

 

아래는 "y.ps1"을 통해 공격자의 서버에서 다운로드 하는 파일의 동작 정보이다.

 

[표 1] 다운로드 된 파일 동작

 

3. 정보 탈취 및 백도어

정상적인 "xmlprov.dll"은 MS에서 제공되는 기본 프로그램으로 PC의 네트워킹을 위한 XML 설정 파일을 관리하는 서비스로 등록되어 실행된다.

 

"Konni RAT"은 정상 "xmlprov.dll" 파일을 악성 파일로 변경하여 악성 동작과 함께 정상 서비스의 동작도 수행한다. 이로 인해 사용자가 감염되었다는 사실을 알아차리지 못하게 한다.

 

"xmlprov.ini" 파일은 암호화 된 파일로 "xmlprov.dll"에서 실행되고, 복호화하여 사용된다. 해당 파일은 명령 프롬프트를 이용하여 사용자의 PC 정보와 실행중인 프로세스 목록을 수집한 파일을 생성하고, 압축한다. 이후, 공격자의 서버와 연결하여 해당 압축 파일을 전송하고, 명령을 받아 사용자의 PC를 제어한다.

 

분석 시점에서 공격자의 서버가 닫혀 연결되지 않았기 때문에 "xmlprov.ini" 파일의 공격자 명령 수행 루틴을 복호화할 수 없었다.

 

[그림 4] Xmlprov 서비스 등록

 

"Konni RAT"은 최근 러시아뿐만 아니라 한국을 대상으로 한 피해사례가 존재하기에 주의하여야 한다. 또한, 암호화 된 파일을 이용해 정보 탈취 및 원격 PC 제어 동작을 수행하여 백신 프로그램 탐지를 우회하고, 정상 서비스로 위장한 페이로드가 실제 정상 서비스의 동작을 수행하여 사용자가 감염 사실을 알아차리지 못한다는 점에서 사용자는 보안에 신경 써서 감염을 예방할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화 면