분석 정보/악성코드 분석 정보

Teams 설치 파일로 위장한 Oyster 백도어

TACHYON & ISARC 2024. 9. 24. 16:41

최근 마이크로소프트의 Teams 설치 프로그램으로 위장해 유포되는 Oyster 백도어가 발견됐다. 공격자는 파일 아이콘과 파일 이름을 정상 설치 파일인 척 위장해 사용자의 다운로드와 실행을 유도한다. 그 후, 사용자가 실행한 해당 악성코드는 Oyster 백도어와 정상 파일을 드롭하고 실행하며 설치 과정을 보여줌과 동시에 감염된 PC 정보 수집과 공격자의 C&C 서버 통신 등의 악성 동작을 수행한다.

 

Oyster 드롭퍼

마이크로소프트의 Teams 설치 프로그램으로 위장한 악성코드를 실행하면 '%temp%' 경로에 2개의 파일을 드롭한다. 드롭한 파일 중 "CleanUp30.dll" "rundll32.exe "Test" 함수를 호출해 실질적인 백도어 동작을 수행하며, "MSTeamsSetup_c_l.exe"은 마이크로소프트 Teams 프로그램을 설치하는 정상 파일이다.

 

[그림 1] 파일 드롭 및 실행

 

 

Oyster 백도어 (CleanUp30.dll)

"Oyster" 백도어인 "CleanUp30.dll"은 주기적으로 실행하는 새 작업을 작업 스케줄러에 추가해 지속성을 확보한다. 그리고 오픈 소스 기반 라이브러리인 Boost.Beast를 사용해 공격자가 운영하는 C&C 서버와 통신하며, 감염된 PC를 식별하려고 사용자 계정 이름과 OS 버전 등의 정보를 수집한 후 전송한다.

 

이 악성코드는 작업 스케줄러 "ClearMngs"란 이름의 새로운 작업을 추가하고 자기 자신을 3시간마다 실행하도록 설정해 지속성을 확보한다.

 

[그림 2] 작업 스케줄러 등록

 

이후, C&C 서버와 통신하는 과정에서 감염된 PC 식별에 사용할 사용자 계정 이름과 OS 버전 등을 비롯한 시스템 정보를 수집해 전송을 시도한다.

 

[표 1] 정보 수집 목록

 

공격자가 운영하는 C&C 서버와의 통신에는 웹 소켓 설정과 HTTP 통신 관련 라이브러리인 Boost.Beast를 사용하며, 분석 당시 대상 서버가 응답하지 않아 추가적인 동작을 확인할 수 없었다.

 

[그림 3] C&C 서버 통신 시도

 

Oyster 백도어는 마이크로소프트 Teams 프로그램의 설치 파일로 위장해 악성코드인지 쉽게 판별하기 어려우며, 이처럼 정상 파일로 위장한 악성코드가 다수 존재하므로 주의가 필요하다. 따라서 공식 홈페이지가 아닌 다른 사이트에서의 파일 다운로드와 실행은 지양하고, 백신 프로그램과 OS를 최신 버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.

 

[그림 4] TACHYON Internet Security 6.0 진단 및 치료 화면