분석 정보/악성코드 분석 정보

서명된 인증서를 활용하는 Blister 로더 악성코드 캠페인

2021. 12. 31. 16:15

"Blister" 로더는 합법적인 서명 인증서를 훔치거나 직접 기관에서 구매한 서명 인증서를 활용하여 정상 파일로 위장된다.

 

관련 인증 기관에서는 해당 활동을 공개하고, "Blister" 악성코드에 남용된 서명 인증서를 폐기하는 등의 조치를 취했다.

 

처음 유포되는 파일은 추가 파일을 드랍하고, 정상 프로세스에 로드되어 실행된다. 추가 파일은 자동 분석을 어렵게 하기 위해 10분간의 대기 상태 이후 동작하고, 내부 리소스 섹션에 저장된 페이로드를 복호화한다. 이후 정상 프로세스에 페이로드가 주입되어 실행되며 주입된 바이너리 코드는 "CobaltStrike" 또는 "BitRAT"로 사용자의 PC를 원격으로 제어한다.

 

[그림 1] Blister 로더 악성코드 실행 흐름도

 

    Blister Loader 파일을 "%AppData%" 경로에 드랍한다.

    정상 프로그램인 "rundll32.exe" 파일을 실행한다.

    "rundll32.exe"를 통해 로드 된 Blister Loader는 실행 시 로더 내부의 익스포트 함수를 호출하여 해당 함수가 실행된다.

    Blister Loader 내부에는 최종 페이로드의 암호화된 바이너리 코드가 저장되어 있으며 해당 바이너리 코드를 복호화한 후 오류 창을 띄우는 정상 프로그램 "WerFault.exe"에 코드를 주입하고, 내부 메모리에서 페이로드가 실행된다.

    페이로드는 주로 "CobaltStrike" 혹은 "BitRAT" 악성코드이며 감염된 PC를 원격으로 제어할 수 있다.

 

Analysis

"Blister" 악성코드의 특징으로는 합법적인 서명 인증서를 훔치거나 관련 기관에서 발급받아 드로퍼 및 로더 자체에 사용된다.

 

[그림 2] 드로퍼 및 로더에 사용된 자체 서명 인증서

 

드로퍼가 실행되면 "Blister" 로더인 DLL 파일을 드랍한다. 그 후, 드로퍼에서 정상적인 DLL 로드 프로그램인 "rundll32.exe" "Blister" 로더를 로드하고, 해당 악성코드의 익스포트 함수를 인자 값으로 하여 실행한다.

 

[그림 3] rundll32.exe를 이용한 Blister 로더 익스포트 함수 실행

 

실행된 "Blister" 로더 파일의 리소스 섹션에는 페이로드가 난독화되어 있다. 해당 페이로드의 바이너리 코드를 복호화하기 이전에 10분 간의 대기상태를 가진 후 복호화를 시작한다.

 

[그림 4] 페이로드 바이너리 코드 복호화

 

최종적으로 윈도우에서 지원하는 정상적인 오류 메시지 출력 프로그램 "WerFault.exe" 파일에 복호화된 페이로드를 주입한 후 실행시킨다. "WerFault.exe" 프로세스에서는 원래 동작해야 할 오류 메시지를 출력하지 않고, 인젝션된 페이로드만 실행된다.

 

페이로드는 알려진 바에 의하면 주로 "CobaltStrike" 또는 "BitRAT" 악성코드이며 실행 시 사용자의 PC를 원격으로 제어할 수 있다.

 

[그림 5] WerFault.exe에 주입된 페이로드 실행

 

"Blister" 로더 악성코드는 정상 파일로 위장하여 실행되므로 사용자가 악성코드를 실행시켰다는 사실을 인지하지 못한다. 또한, 최종적으로 다운로드되는 페이로드는 사용자의 PC를 원격으로 제어할 수 있기에 사용자는 보안에 신경 써서 감염을 예방할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.