소프트웨어 설치 파일로 위장한 Sainbox RAT

최근 중국 해킹그룹 Silver Fox가 Gh0st RAT의 변종인 Sainbox RAT 악성코드를 소프트웨어 설치 파일로 위장해 유포하는 캠페인이 발견됐다. 2024년 6월에 등장한 Silver Fox는 의료 소프트웨어 DICOM에 ValleyRAT 페이로드를 심어 의료 시설을 공격했으며 2025년 2월에는 취약한 드라이버를 활용한 BYOVD(Bring-Your-Own-Vulnerable-Driver) 공격을 사용한 정황도 발견됐다. 이번에 발생한 피싱 캠페인에서는 Sainbox RAT을 MSI 파일 형식의 소프트웨어 설치 프로그램으로 위장해 유포하며 실제 소프트웨어 설치를 진행해 사용자를 속이고 백그라운드에서 악성코드를 실행한다.

 

DLL Side-Loading

최초 유포 파일인 MSI 파일을 실행하면 정상 소프트웨어 설치 파일과 함께 Sainbox RAT 악성코드 로드에 사용될 shine.exe, libcef.dll 및 1.txt 파일을 추가로 드롭하고 이 중에서 shine.exe를 실행한다. shine.exe가 실행될 때 libcef.dll로 위장한 악성 DLL이 사이드 로딩을 이용해 로드되며 해당 DLL의 익스포트 함수 cef_api_hash가 호출된다.

-       파일 드롭 경로: C:\Program Files\MonKeyDu\{소프트웨어 이름}\

-       lbcef.dll: CEF(Chromium Embedded Framework)의 핵심 라이브러리

 

[그림 1] libcef.dll 로드

 

 

DLL Manual Loading

익스포트 함수 cef_api_hash는 현재 프로세스의 실행 파일을 Run 레지스트리에 등록하고 함께 드롭된 1.txt 파일의 쉘 코드를 메모리에 복사한 후 실행한다. 쉘 코드는 1.txt에 함께 포함된 DLL 형태의 Sainbox RAT 페이로드를 메모리에 매핑하고 해당 DLL의 익스포트 함수를 호출함으로써 실행한다.

 

[그림 2] cef_api_hash 함수

 

Sainbox RAT 페이로드는 PE 파일의 시그니처인 MZ가 제거돼 있으며 로드하는 과정에서 시그니처가 제거된 상태 그대로 메모리에 헤더를 복사하고 섹션 헤더에 따라 섹션 데이터를 각 RVA에 매핑한다. PE 시그니처가 없으면 윈도우 OS에서 파일의 포맷을 파악하지 못해 정상적인 방법으로 실행할 수 없지만 메모리에 수동으로 PE 이미지를 로드한 후 EP와 익스포트 함수를 호출해 실행할 수 있다.

 

[그림 3] MZ가 제거된 PE 이미지

 

 

Sainbox RAT

Sainbox RAT은 먼저 현재 실행 중인 프로세스 목록을 검사해 cmd.exe가 존재하지 않으면 BAT 스크립트 파일을 드롭 및 실행한다. 해당 BAT 파일은 tasklist 및 find 명령어를 이용해 프로세스 목록에서 shine.exe를 검색하고 존재하지 않으면 shine.exe를 실행하는 동작을 무한 반복한다. 또한 .data 섹션의 특정 flag 값을 만족하면 shine.exe 파일을 시스템 폴더에 복사한 후 복사된 파일을 윈도우 서비스로 등록한다. 단 해당 파일 실행에 필요한 libcef.dll 및 1.txt 파일은 복사하지 않으며 파일의 복사 과정에서도 경로 값 설정 오류로 실제 시스템 폴더가 아닌 %SystemRoot%라는 이름의 폴더를 생성하고 해당 경로에 복사해 서비스가 제대로 실행되지 않았다.

-       BAT 드롭 경로: %AppData%\{8자리 랜덤문자열}.bat

-       파일 복사 경로: %SystemRoot%\System32\sainbox.exe

 

[그림 4] BAT 스크립트

 

이후 새로운 스레드를 생성해 공격자가 운영하는 C&C 서버에 연결하고 명령어를 수신해 정보 수집, 프로세스 종료 및 키로깅 등을 포함한 [표 1]의 동작을 수행한다.

 

[표 1] 서버 명령어 목록

 

명령 코드 0x5A를 수신한 경우 현재 프로세스의 액세스 토큰을 수정해 드라이버에 대한 권한을 설정한 후 드라이버로 동작하는 QAssist라는 이름의 서비스를 제거한다. 드라이버 로드 권한 SeLoadDriverPrivilege의 LUID(로컬 고유 식별자)와 AdjustTokenPrivileges 함수를 이용해 현재 프로세스에 해당 권한을 부여한다. 이후 ZwUnloadDriver 함수로 드라이버를 언로드하고 레지스트리에서 QAssist 드라이버의 서비스를 제거한다. QAssist 서비스의 드라이버 파일(.sys)은 Sainbox RAT의 .data 섹션에 저장돼 있으나 해당 드라이버를 드롭 및 로드하는 동작은 확인되지 않았다.

 

[그림 5] QAssist 드라이버 언로드

 

Silver Fox의 캠페인에서 Sainbox RAT은 인기있는 소프트웨어 설치 파일로 위장해 유포되며 악성코드와 함께 실제 정상적인 설치 파일을 실행해 사용자를 속일 수 있도록 제작돼 주의가 필요하다. 따라서, 출처가 불분명한 파일의 다운로드 및 실행을 지양하고 보안 프로그램과 OS를 항상 최신버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 6.0 진단 및 치료 화면