본문 바로가기
Security/News

윈도우 도움말 파일(*.chm) 로 유포 중인 AsyncRAT - ASEC BLOG 관련 IOC 39개 발견

by 올엠 2023. 2. 3.
반응형

IOC:
http://2023foco.com.br/plmckv.hta
http://2023foco.com.br/vvvvv.txt
http://2023foco.com.br/serverhta.hta
http://2023foco.com.br/dcreverso.txt
http://2023foco.com.br/2.txt
http://2023foco.com.br/printa.txt
http://2023foco.com.br/runpe.jpg
http://2023foco.com.br/plmckv.hta
http://2023foco.com.br/vvvvv.txt
http://2023foco.com.br/serverhta.hta
http://2023foco.com.br/dcreverso.txt
http://2023foco.com.br/2.txt
http://2023foco.com.br/printa.txt
http://2023foco.com.br/runpe.jpg
http://2023foco.com.br/plmckv.hta
http://2023foco.com.br/vvvvv.txt
http://2023foco.com.br/serverhta.hta
http://2023foco.com.br/dcreverso.txt
http://51.79.116.37:8848
http://2023foco.com.br/2.txt
http://2023foco.com.br/printa.txt
http://2023foco.com.br/runpe.jpg
http://2023foco.com.br/plmckv.hta
http://2023foco.com.br/vvvvv.txt
http://2023foco.com.br/serverhta.hta
http://2023foco.com.br/dcreverso.txt
http://2023foco.com.br/2.txt
http://2023foco.com.br/printa.txt
http://2023foco.com.br/runpe.jpg
http://51.79.116.37:8848
51.79.116.37
51.79.116.37
ea64cc5749f48f610074636426fdfb4c
b810d06b6ead297da6d145fca80c80b2
ac64e8e7eb01755cc363167dd7653d53
824584841251baa953b21feb5f516bed
407b0b88187916dc2e38c8d796c10804
d5dcb2348a9c414dbd980d7e3df63fe8
c45f6c4e3222c4308c80c945fb3ac4dc

요약:
/plmckv.hta” 주소에 존재하는 악성 명령어를 실행하게 된다.

[그림 3] chm 내 악성 스크립트

[그림 4] 프로세스 트리
해당 주소에는 악성 VBScript 가 존재하며 명령어의 일부는 [그림 5] 와 같다. 악성 VBScript 는 탐지를 우회하기 위해 문자열이 쪼개진 형태이며 파워쉘 명령어를 실행하는 기능을 수행한다.

[그림 5] 악성 VBScript
실행되는 파워쉘 명령어는 2가지로, 아래 URL 에서 각각 vbs 및 hta 파일을 다운로드 후 실행한다.

다운로드 URL hxxp://2023foco.com[.]br/vvvvv.txt (C:\ProgramData\v.vbs) hxxps://2023foco.com[.]br/serverhta.hta (C:\ProgramData\v.hta)

1. v.vbs
먼저, v.vbs 파일은 [그림 6] 과 같이 알아보기 힘든 형태로 난독화되어 있다.

[그림 6] v.vbs 코드 일부
난독화 해제 시, 파워쉘 명령어를 확인할 수 있으며 파워쉘 명령어는 스크립트 내 인코딩된 형태로 존재하는 닷넷 DLL 을 로드한다. 해당 DLL 은 Loader 파일로 인자로 전달되는 URL 에서 악성 데이터를 받아 메모리상에 로드한다.

[그림 7] 난독화 해제된 명령어 일부

[그림 8] DLL 로드 명령어
로드된 DLL 은 리버스된 악성 URL 을 인자로 받아 해당 URL 에서 추가 데이터를 다운로드 후, “C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe” 프로세스에 로드하여 실행한다.

다운로드 URL hxxps://2023foco.com[.]br/dcreverso.txt


[그림 9] Loader
Loader 에 의해 다운로드되어 실행되는 데이터가 실제 악성 행위를 수행하며, 깃허브에 공개된 오픈 소스 RAT 악성코드 AsyncRAT 이다. 해당 악성코드는 C2 로부터 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있으며 기본적으로 Anti-VM, 키로깅, 원격 쉘 등의 기능이 존재한다. 추가로, C2 및 port 등 악성 행위에 필요한 문자열을 모두 암호화한 형태로 가지고 있으며 [그림 10] 과 같이 복호화하여 사용한다.

C2 51.79.116[.]37:8848


[그림 10] AsyncRAT
2. v.hta
v.hta 는 추가 명령어 실행 및 시작 프로그램 생성 기능을 수행한다. 먼저, 첫번째 기능인 추가 명령어 실행은 파워쉘 명령어를 통해 아래 url 에서 받아온다.

다운로드 URL.....

윈도우 도움말 파일(*.chm) 로 유포 중인 AsyncRAT - ASEC BLOG:
https://asec.ahnlab.com/ko/46923/

반응형