HCrypt 변종을 사용하는 Water Basilisk 캠페인

최근 파일 난독화 프로그램인 "HCrypt"의 변종을 사용하는 Water Basilisk 캠페인이 발견됐다. 해당 캠페인의 공격자들은 공격 과정에 사용할 스크립트 및 악성코드를 "HCrypt"로 난독화했으며, 사용자 PC에 정보 탈취 또는 조작을 위한 목적의 악성코드를 설치한다.

 

Water Basilisk 캠페인에서 사용자 PC에 최종 페이로드를 실행하기 위한 흐름도는 [그림 1]과 같다.

 

[그림 1] Water Basilisk 캠페인 흐름도

 

1. ISO 파일 내부에는 VBS로 작성된 스크립트 파일이 존재한다.

2. VBS 스크립트 파일을 실행하면 공격자의 C&C 서버에서 파일 다운로드를 위한 파워쉘 스크립트를 다운로드 및 실행한다.

3. 파워쉘 스크립트는 공격자의 C&C 서버에서 최종 페이로드 실행을 위한 VBS 스크립트를 다운로드한다.

4. 이전 단계에서 다운로드한 VBS 스크립트를 사용자 PC에서 실행해 PC를 조작하거나 정보를 탈취한다.

 

1. HCrypt

“HCrypt”는 스크립트 등의 난독화를 지원해주는 프로그램으로 VB스크립트, 자바스크립트 및 Stealer 악성코드 등을 난독화하거나 [그림 2]와 같이 생성할 수 있다.

 

[그림  2] HCrypt  조작 화면 및 예시

 

현재 최신 버전인 v8.1이 199 달러에 판매 중이며, “NjRat” 외 8종의 RAT 악성코드의 암호화를 지원한다.

 

[그림 3] HCrypt 판매 글

 

2. 분석

Water Basilisk 캠페인에서는 [그림 4]와 같이 ISO 파일로 유포되며 파일 내부에는 추가 파일 다운로드를 위한 스크립트가 있다.

 

[그림 4] 스크립트가 포함된 ISO 파일

 

파일 내부의 스크립트는 난독화됐으며, 다음 단계의 스크립트를 다운로드 한 후 실행한다. 그러나 분석 시점에서는 공격자가 운영하는 C&C 서버와 연결되지 않았다.

 

[그림 5] 난독화된 스크립트 - 1단계

 

정상적으로 다운로드하면 [그림 6]의 파워쉘 스크립트를 실행해 최종 페이로드가 포함된 스크립트를 다운로드한다.

 

[그림 6] 난독화된 스크립트 - 2단계

 

다운로드한 스크립트에 있는 최종 페이로드는 [그림 7]과 같이 난독화됐다.

 

[그림 7] 난독화된 최종 페이로드

 

또한, 최종 페이로드 실행을 위해 스크립트의 난독화를 해제하고 ASP.NET 브라우저 등록 도구인 aspnet- regbrowsers.exe 프로세스에 최종 페이로드를 인젝션한다.

 

[그림 8] 최종 페이로드 실행

 

3. 최종 페이로드

Water Basilisk 캠페인에서 사용하는 최종 페이로드는 HCrypt로 생성 가능한 “NjRat” 등의 악성코드와 코인 스틸러가 있다. 이번 캠페인에서 사용된 악성코드 중 코인 스틸러는 [그림 9]와 같이 비트코인, 이더리움 및 모네로 코인을 탈취한다.

 

[그림 9] HCrypt로 생성한 코인 스틸러 악성코드

 

최근 “HCrypt”와 같은 암호화 도구를 사용해 악성코드를 생성 및 배포하는 캠페인이 발견되고 있어 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림 10] TACHYON Internet Security 5.0 진단 및 치료 화면