CPU-Z 공급망 공격 분석

지난 4월, PC 하드웨어, 모니터링 정보를 한눈에 보여주어 많은 사람들이 이용하는 유틸리티 프로그램 CPU-Z 와 HWMonitor를 대상으로 한 공급망 공격이 발견되었다. 이 공격은 두 프로그램의 개발사인 CPUID의 홈페이지를 공격해 다운로드되는 ZIP 파일 내 악성 DLL파일을 추가했다. 사용자가 다운로드한 ZIP 파일 내 정상 파일을 실행하면 DLL Side Loading 에 의해 동봉된 악성 DLL이 로딩돼 추가 페이로드 다운로드, 정보 탈취, C2 명령어 실행과 같은 악성 행위를 실행한다

 

[ 그림 1] CPUID 공식 홈페이지

 

이 글에서는 공급망 공격을 당한 CPU-Z 파일에 포함된 STX RAT 멀웨어에 대한 분석 내용을 설명한다. 다음 이미지는 CPU-Z 프로그램의 정상 파일 cpuz_x64.exe 가 실행됨에 따라 악성 DLL 파일 CRYPTBASE.DLL 이 로딩된 후, 암호화된 STX RAT을 복호화 후 실행하는 흐름을 보여준다.

 

[그림 2] CPU-Z 공격 캠페인 흐름도

 

공격자가 조작한 CPU-Z 다운로드 파일인 cpu-z_2.19-en.zip 에는 본래 있어야 할 정상 실행 파일 외에 CRYPTBASE.dll 이라는 악성 DLL 파일이 포함됐다

 

[그림 3] 악성 DLL 파일이 추가된 ZIP 파일 내부

 

사용자가 정상 파일 cpuz_x32.exe 혹은 cpuz_x64.exe 파일을 실행하면 DLL 의존성에 따라 CRYPTBASE.dll 파일을 로딩해야 한다. 일반적인 상황이라면 System32 경로의 정상 CRYPTBASE.dll 파일이 로딩돼야 하지만, 공격자는 실행 파일과 동일한 경로의 DLL 파일이 우선적으로 로딩된다는 사실을 이용한 DLL Side Loading 기법을 사용해 악성 파일인 CRYTPBASE.dll 이 로딩되도록 만든다.

 

[그림 4] cpuz_x64.exe에 의해 로딩되는 악성 DLL 파일

 

CRYPTBASE.dll

로딩된 CRYPTBASE.dll 은 파일 내 암호화된 데이터를 복호화, STX RAT Loader 를 실행하는 스레드를 생성한다. 이때 LoadLibrary() API를 사용하는 일반적인 DLL 로딩 방식이 아닌 직접 메모리에 실행 가능한 형태로 로딩하는 Reflective DLL Loading 방식을 사용해 안티 바이러스 엔진의 탐지를 어렵게 한다.

 

[그림 5] Reflective DLL Loading 방식으로 STX RAT Loader 로딩

 

STX RAT Loader 를 로딩하는 스레드를 생성한 후에는 CPU-Z 프로그램의 정상적인 기능을 보장하기 위해 System32 폴더 내 정상 CRYPTBASE.dll 파일을 로딩한다.

 

[그림 6] System32 폴더 내 정상 DLL 로딩

 

STX RAT Loader

CRYPTBASE.dll 에 의해 로딩된 STX RAT Loader 는 .data 섹션의 암호화된 데이터를 XXTEA, Zlib 알고리즘으로 복호화한다. 복호화된 데이터는 거의 유사한 코드를 가진 또 다른 STX RAT Loader 다. 이러한 과정을 3번 반복해 3개의 STX RAT Loader 가 로딩된 후, 마지막으로 STX RAT 이 메모리에 로딩된다.

 

[그림 7] STX RAT Loader 복호화 코드

 

STX RAT

STX RAT에서 사용되는 대부분의 문자열은 XOR Key 값을 점진적으로 증가시키는 Rolling XOR 방식으로 인코딩됐다. 0x36 을 초기 XOR Key로 사용해 매 문자를 복호화할 때마다 1씩 증가한 Key 값을 사용한다.

 

 

본격적인 악성 행위를 수행하기에 앞서 실행 중인 프로세스, 로딩된 드라이버, 레지스트리 Key 값을 탐색한다. 만약 샌드박스, 디버깅과 관련된 내용이 발견되면 악성 행위 없이 프로세스를 종료한다.

다음은 STX RAT이 탐지하는 프로세스, 드라이버 목록이다.

 

[표 1] 샌드박스 관련 프로세스 및 드라이버 목록

 

다음은 STX RAT이 탐지하는 HKLM 하위 레지스트리 Key 목록이다.

 

[표 2] 샌드박스 관련 레지스트리 Key 목록

 

다음 표는 STX RAT이 탐지하는 HKLM 하위 레지스트리 Key,Value, Data 목록이다.

 

[표 3] 샌드박스 관련 레지스트리 Key, Value, Data 목록

 

샌드박스, 디버깅 환경 탐지를 통과하면 공격자의 Callback 서버로부터 추가 페이로드를 다운로드한다. 이때 Callback 서버 도메인의 IP를 찾기 위해 CloudFlare(1.1.1.1)에서 제공하는 DNS Over HTTPS 기능을 이용한다.

 

[그림 8] CloudFlare 의 DNS Over HTTPS 통신

 

Callback 서버로부터 페이로드를 다운로드한 후에는 C2 서버와 통신하며 RAT 명령을 주고 받는다. 최초 통신 시 type 값을 intro로 설정하고 다음 표의 시스템 정보를 수집, data에 추가한 후 JSON 형식으로 C2 서버로 송신한다.

 

[표 4] 수집 대상 시스템 정보 목록

 

최초 통신 이후 STX RAT은 C2서버로부터 전달받은 명령과 데이터에 따라 정보 수집, 추가 멀웨어 다운로드, HVNC, 터널링 수립/제어와 같은 동작을 수행해 피해자 시스템을 장악한다.

 

[그림 9] C2 명령어 검증 코드

 

최근 LLM 서비스 접근의 보편화, 성능 향상에 따라 이를 활용한 취약점, 서버 공격이 빈번히 발생하고 있다. 특히, 공급망 공격은 평소 의심 없이 이용하던 프로그램, 서비스에 접근하는 것만으로도 피해가 발생할 수 있어 일반 사용자가 사고를 미연에 방지하기 어려운 경향이 있다. 따라서 주기적으로 정보보안과 관련된 소식에 귀를 기울여 침해 사고를 인지하고, 신속히 대응해 피해를 최소화해야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.

 

[그림 10] TACHYON Internet Security 6.0 진단 및 치료 화면