Go 언어로 작성된 Aurora 인포스틸러

최근 안티 바이러스 제품의 탐지를 회피할 목적으로 비주류 프로그램 언어로 작성된 악성 파일이 증가하는 추세이다. Aurora 로 알려진 인포스틸러도 이러한 부류 중 하나로, 다중 플랫폼 빌드를 지원하는 Go 언어로 작성되어 윈도우, Linux OS 를 대상으로 작성되어 퍼져나가고 있다. 

윈도우 OS 를 대상으로 작성된 Aurora 가 실행되면 wmic 기능을 이용하여 시스템의 기본 정보를 수집하고, 현재 화면의 스크린샷을 찍어 저장한다. 또한 시스템을 탐색하며 브라우저, 가상화폐 지갑, 게임, 등과 관련된 애플리케이션의 설치 여부를 확인한 후, 각 애플리케이션 데이터에 저장된 개인 정보를 수집한다.

 

[그림 1] wmic 기능을 이용하여 시스템 정보 수집.

 

수집된 시스템 정보는 json 포맷으로 변환되어 공격자 서버로 전송된다.

 

[그림 2] 탈취한 시스템 정보 송신.

 

정보 탈취 후에는 추가 악성 행위를 위한 페이로드 파일을 다운로드, 실행할 수 있다. 분석 샘플이 다운로드한 악성 파일은 백도어 기능을 가지며, 시스템에 상주하며 정보를 수집하고 공격자의 명령을 실행한다.

 

[그림 3] Base64 인코딩된 페이로드 다운로드 관련 데이터.

 

정보 수집형 악성 파일은 랜섬웨어처럼 즉각적인 피해가 발생하지 않아 가벼이 여기는 경향이 있지만, 가상 화폐 탈취와 같이 직접적인 금전 피해로 이어질 수 있다. 더구나 Aurora 는 추가 악성 파일을 다운로드하여, 정보 수집 이상의 공격도 수행할 수 있기 때문에 더욱 주의가 필요하다.