국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석 - ASEC BLOG

Impotant:
http://54.180.27.29/cc/himart/api/kodbox-main/gr.png
162e17324f63f2e1d2c32f7c842b3917
8fce3a48d46b9c3d252806e7292647e6
54.180.27.29
http://54.180.27.29/cc/himart/api/kodbox-main/ms-update.exe
4a9369fcff5e934ab644c9aca6e42532
0574f906b97f2e74ae49b6e900b5c60d
15d24570f3844987acce866d6541ba21
http://aggbvdfbbafdg.moeuda.link:443

요약:
ASEC에서는 국내 VPN 설치파일에 포함되어 유포되고 있는 SparkRAT 사례를 블로그에서 발표하였으며, 공격 흐름은 최초 유포 방식이 과거와 동일하게 VPN 업체의 웹 사이트를 공격하여 설치 파일을 악성코드로 변경한 것으로 보인다. 닷넷으로 개발된 패커 대신 Go 언어로 개발된 드로퍼 악성코드들이 사용되고 추가적으로 원격 데스크탑 기능을 위해 MeshCentral의 MeshAgent를 설치하는 사례가 발견되었다. ASEC는 국내 VPN 설치파일에 포함되어 유포되고 있는 SparkRAT 사례를 발표하였으며, 공격 흐름은 최초 유포 방식이 과거와 동일하게 VPN 업체의 웹 사이트를 공격하여 설치 파일을 악성코드로 변경한 것으로 보입니다. 닷넷으로 개발된 패커 대신 Go 언어로 개발된 드로퍼 악성코드들이 사용되었고, 추가적으로 MeshCentral의 MeshAgent를 설치하는 사례가 발견되었습니다.

내용:
AhnLab Security Emergency response Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT” [1] 블로그에서 국내 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유도된 사례를 소개한 바 있다. 해당 VPN은 주로 중국에서 원활한 인터넷 접속을 필요로 하는 사람들이 설치했던 사례가 많았으며 블로그 공개 이후 조치가 완료되었다.
하지만 최근 동일한 VPN 업체의 인스톨러에서 SparkRAT을 설치하는 악성코드가 다시 유포된 사례가 확인되었다. 악성코드 유포는 일정 기간 이후 중단되었는데, 공격 흐름의 유사성이나 공격 과정에서 SparkRAT이 사용되는 점 등을 보아 동일한 공격자의 소행으로 추정된다.
여기에서는 최근 다시 확인되고 있는 공격 사례를 다루며 과거와의 차이점을 위주로 정리한다. 닷넷으로 개발된 패커 대신 Go 언어로 개발된 드로퍼 악성코드들이 사용되었다는 점이나 추가적으로 원격 데스크탑 기능을 위해 MeshCentral의 MeshAgent를 설치하는 점이 그것이다.
1. 공격 흐름
최초 유포 방식은 과거와 동일하게 VPN 업체의 웹 사이트를 공격하여 설치 파일을 악성코드로 변경한 것으로 보인다. 이에 따라 사용자가 VPN 설치 파일을 다운로드해 실행할 경우 기존 정상 VPN 인스톨러와 함께 악성코드가 설치되었다. Figure 1. SparkRAT이 포함된 VPN 업체의 홈페이지
다음은 악성코드 설치 과정에 대한 흐름도로서 먼저 악성 인스톨러가 생성한 다운로더 악성코드가 SparkRAT을 다운로드하였다. 공격자는 이후 SparkRAT에 악성 명령을 전달하여 감염 시스템에 MeshAgent를 추가적으로 설치하였다. 설치된 MeshAgent는 원격 제어 페이지에 접속하여 관리 대상 에이전트로 자신을 등록하기 때문에, 공격자는 MeshCental 공개 서버에서 등록된 장치들을 제어할 수 있게 된다. Figure 2. 공격 흐름도
2. GoLang 악성코드들
과거에 이루어진 공격과의 차이점 중에는 닷넷 대신 Go 언어로 개발된 악성코드들이 다수 사용되었다는 점이 있다. 공격자는 공격 과정에서 Go 언어로 개발된 드로퍼 및 다운로더 악성코드들을 사용하였는데, SparkRAT 또한 동일하기 때문에 공격에 사용된 모든 악성코드를 GoLang 기반 악성코드로 사용하였다는 점이 특징이다.
공격에 사용된 드로퍼는 위장 인스톨러 악성코드와 MeshAgent를 설치하는 악성코드 2개이며 난독화된 GoLang 악성코드이지만 모두 유사한 형태이다. 실행 시 PE 내부에 존재하는 악성코드를 생성 및 실행하며, 위장 인스톨러의 경우에는 추가적으로 생성한 파일 “start.exe”를 작업 스케줄러에 등록하는 기능을 포함한다. Figure 3. PE 내부에 존재하는 악성코드들 schtasks.exe /Create /ru SYSTEM /f /SC ONLOGON /rl highest /tn “system update” /tr [%LOCALAPPDATA%]/start.exe “start.exe”는 다운로더 악성코드로서 동일하게 Go 언어로 개발되어 있다. 난독화되어 있지 않으며 외부에서 추가 악성코드를 다운로드해 실행하는 기능을 담당한다. 해당 주소에서 다운로드 되는 것은 이전 공격 사례와 동일하게 SparkRAT이다. Figure 4. 다운로더 악성코드 루틴 Figure 5. SparkRAT을 다운로드하는 로그
3. SparkRAT
공격에 사용된 SparkRAT은 Go 언어로 개발된 RAT 악성코드이며 명령 실행, 정보 탈취, 프로세스 및 파일 제어와 같은 기본적인 기능들을 제공한다. 이외에도 윈도우뿐만 아니라 리눅스, MacOS를 함께 지원하는 특징이 있다. Figure 6. 복호화 된 SparkRAT의 설정 데이터 Figure 7. 암호화된 SparkRAT의 HTTPS 패킷
공격자는 SparkRAT을 이용해 파워쉘 명령을 전달하여 MeshAgent를 설치하였으며, 드로퍼 악성코드는 -fullinstall 인.....

Open New Windows

국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석 - ASEC BLOG:
https://asec.ahnlab.com/ko/53053/