최근 Seqrite 연구실에서는 이메일 첨부파일을 통해 양식집 탈취 악성코드를 유포하는 피싱 캠페인을 발견했습니다. 2016년부터 발견된 양식집은 은밀한 기능부터 회피 기법까지 다양한 방식으로 진화해 왔습니다. 해킹 포럼에서 서비스형 악성코드(MaaS)로 판매되는 양식집은 여러 변종이 존재합니다. 회피 기법은 동일하지만, 페이로드를 배포하기 전에 여러 계층을 거치고, 탐지를 피하기 위해 메모리에만 로드됩니다. 다른 변종들과 마찬가지로, 이 또한 스테가노그래피를 사용하여 악성 파일을 이미지 파일 안에 숨기고, 이를 복호화하여 메모리에 로드하고 실행합니다.
이 변형에는 최종 탑재물 전에 3단계가 포함됩니다.
- 구매 주문서.exe/XXXI.exe
- Arthur.dll
- 몬테로.dll
- MASM(최종 탑재체)
기술적 분석 :
구매 주문서와 zip 파일 첨부 파일이 포함된 스피어 피싱 이메일로 시작됩니다. 압축을 풀면 닷넷으로 컴파일된 바이너리 파일인 PurchaseOrder.exe 하나만 포함되어 있습니다.
1단계(구매 주문서.exe):
이 변종은 Purchase Order.exe 리소스에 2단계 및 3단계 맬웨어를 숨깁니다. 리소스 이름은 "킬” 그림 2에 표시된 것은 3단계 바이너리입니다.
처음에 악성코드는 2단계 페이로드를 복호화하기 전에 3초 동안 휴면 상태에 있습니다. 그림 2에서 볼 수 있듯이, 악성코드는 XNUMX단계 암호화된 데이터를 다음에서 검색합니다. APP Purchase Order.exe 리소스에 있는 리소스를 바이트 배열에 저장합니다. 또한 16단계 페이로드에 대한 2바이트의 복호화 키("AP7H9H5OI4478F8CH05FGA".
그림 2에 표시된 것처럼 4단계 페이로드를 복호화하기 전에 3개가 생성됩니다.rd 크기가 256바이트인 배열을 만들고 0~255 사이의 값으로 초기화합니다.
그런 다음 3바이트 키를 임의의 위치에 복사하여 array16을 설정합니다.
array3 값을 설정하면 암호화된 데이터를 array3으로 xoring하여 array2에 저장하는데, 이제 이 array2에는 Stage XNUMX PE 파일 arthur.dll이 들어 있습니다.
2단계 DLL 파일을 실행하기 위해 InvokeMember()를 사용하여 복호화된 어셈블리(Arthur.dll)를 Load 메서드로 메모리에 로드합니다. 그림 5에서 볼 수 있듯이 Load 함수를 직접 사용하지 않고 객체에서 값을 가져옵니다. HJ is 하중.
2단계(Arthur.dll):
메모리에 로드되면 호출됩니다. MainForm.Justy() 2단계 PE 파일에서 세 개의 인수를 사용합니다. 2단계 PE 파일에서 이 인수들을 사용하여 3단계 PE 파일을 가져옵니다.
- WA = “486B796C”=Hkyl(PurchaseOrder.exe의 리소스, 그림 2)
- WZ = “62616F”=bao (3단계 복호화 키)
- @namespace = “AssessExampleCombatForm”[PurchaseOrder.exe의 프로젝트 이름]
처음에 2단계는 3단계를 해독하기 전에 XNUMX초 동안 잠자게 됩니다.
이 함수는 인수로 전달된 키를 사용하여 이미지를 복호화한 다음, 이미지의 각 불투명 픽셀에서 빨간색, 녹색, 파란색 값을 추출하여 배열을 생성합니다.
이 배열은 value[를 사용하여 XOR 연산을 수행합니다.바오] 2단계에서 전달된 내용은 3단계 montero.dll을 가져오는데, 이 DLL 역시 Assembly.Load 메서드를 사용하여 메모리에 로드됩니다. 메인 메서드 gnWmyvSdDoAS8VNPBy를 얻은 후,ukHjJHqoK1() 3단계 모듈을 호출합니다.
3단계(Montero.dll):
이 3단계 PE 파일에서 메인 메서드를 호출하기 전에 ukHjJHqoK1(), 생성자는 필요한 구성 설정을 복호화합니다. 이 설정에는 최종 페이로드의 복호화 키, 뮤텍스 이름 및 뮤텍스 플래그 활성화 여부, 파일 삭제 위치, 파일 다운로드 동작 활성화 여부, 파일 다운로드 위치 등이 포함됩니다. 이러한 구성 설정은 배열 [gnWmyvSdDoAS8VNPBy.YiEuqBAod0]에 저장됩니다.
구성 설정을 복호화한 후 29에서 Mutex 플래그가 활성화되었는지 확인합니다.th 배열 YiEuqBAod0의 위치, true이면 이름이 "인 뮤텍스를 생성합니다.zpkpGXyWHvBpdzNULuLRtAzq뮤텍스가 이미 존재하는 경우, 자체 종료됩니다. 이러한 동작은 일반적으로 보안 업체의 탐지를 피하고 동일한 악성코드의 두 번째 실행을 방지하기 위해 구현됩니다. 그런 다음 Sleep 플래그가 활성화되어 있는지 확인합니다. 활성화된 경우, 샌드박스가 악성 행위를 포착하지 못하도록 실행을 지연시키기 위해 Sleep 상태가 됩니다.
그런 다음 메시지 상자 표시 플래그가 30에서 활성화되었는지 확인합니다.th 배열 YiEuqBAod0의 위치를 활성화하면 사용자를 속이는 메시지 상자가 팝업됩니다.
그 후 10을 검증합니다th 제외 경로 기능으로 사용되는 YiEuqBAod0 배열의 위치입니다. 이 기능을 활성화하면 제외 목록에 맬웨어 경로를 추가하고, 숨겨진 창 속성에서 LOL 바이너리[powershel.exe]를 사용하여 이 cmdlet을 실행하여 바이러스 백신 공급업체의 탐지를 피하고 피해자에게 해당 동작을 숨깁니다.
5th YiEuqBAod0 배열의 위치입니다. 이 위치는 다른 페이로드를 다운로드하거나 작업 기능을 업데이트하는 데 사용됩니다. 이 플래그가 활성화되면 다른 맬웨어 계열을 다운로드하거나 위협 행위자 C2로부터 명령을 수신하여 해당 명령을 %temp% 위치에 있는 XML 파일에 삽입하고 %temp% 위치에서 실행합니다. 이 XML 파일은 예약 작업에서 import로 지정됩니다.
2nd YiEuqBAod0 배열의 위치를 위협 행위자가 파일 유포에 사용했습니다. 이 플래그가 활성화되면, 악성코드는 먼저 "qwwnzxGmN.exe" 파일이 피해자 호스트의 "C:\Users\username\AppData\Roaming" 디렉터리에 이미 존재하는지 확인합니다. 해당 파일이 해당 위치에 없으면 부모 파일의 자체 복사본인 숨김 속성이 설정된 파일을 생성합니다. 이 속성은 공격자가 관리자와 사용자가 악성코드를 발견하지 못하도록 악성코드의 존재를 위장하는 데 사용될 수 있습니다.
그림 14에서 언급했듯이 부모 파일이 "%appdata%Roaming" 위치에 자체 복사되면 이 파일은 제외 경로에 추가됩니다. 그런 다음 64단계의 메인 메서드 생성자에서 복호화된 base3 인코딩 데이터를 XML 파일인 문자열로 복호화합니다. 이 XML 파일에는 작업을 생성하는 값이 포함되어 있습니다. 이러한 값은 다음과 같습니다. 악성 코드 파일 숨김 속성, 지속성, 기능 활성화, 파일 경로의 명령 실행 등.
이 XML 파일은 %temp% 위치에 "*.tmp"라는 이름으로 생성되고, "Location", "USERID" 등 필요한 값을 XML 파일에 업데이트합니다. 그 후, "updates\qwwnzxGmN"과 같이 피해자에게 자신의 동작을 숨기고 지속성을 유지하기 위해 숨겨진 창 속성을 가진 예약된 작업을 생성하고 해당 XML 파일을 가져옵니다. 위협 행위자는 보안 분석가의 흔적을 피하기 위해 tmp 파일을 삭제했습니다.
그림 18은 3을 보여줍니다.rd 최종 페이로드를 복호화하는 단계 모듈. 변수 gnWmyvSdDoAS8VNPBy.AtOuOF5iCk = “4kQLt8DIME"는 리소스(motero.dll)의 이름입니다. gnWmyvSdDoAS8VNPBy.NJMuDv6Sv6 = "pqDVZxpXC"가 키입니다. 리소스를 로드하여 키와 함께 복호화 메서드 Pp62t2mj9p에 전달합니다.
복호화 방법은 최종 페이로드를 gnWmyvSdDoAS8VNPBy에 저장합니다.w9Yu0dnomp.
이 최종 페이로드는 ".text" 섹션만 있는 32비트 MASM 컴파일 바이너리입니다. 요구 사항에 따라 고도로 난독화된 파일 복호화 및 암호화 코드가 포함되어 있습니다.
버퍼의 최종 페이로드를 복호화하면 1을 확인합니다.st YiEuqBAod0 배열의 위치를 기반으로 프로세스 할로잉(process hollowing) 대상 프로세스를 선택합니다. 위협 행위자는 0부터 4까지의 값을 제공했습니다. 값이 4이면 어셈블리 로드 방식을 사용하여 최종 페이로드를 메모리에 로드하고 최종 페이로드의 진입점을 실행합니다.
값이 "인 경우1” 값이 “인 경우 프로세스 할로잉을 위해 대상 프로세스 이름을 MSBuild.exe로 선택합니다.2”대상 프로세스 이름은 vbc.exe이고 값이 “3대상 프로세스 이름은 RegSvcs.exe입니다. 위의 값 중 어느 것도 지정되지 않으면 대상 프로세스를 부모 파일로 선택합니다.
3단계 생성자에서는 bLmuzQDIA5() 메서드에 저장된 CreateProcessA에서 프로세스 할로잉을 위한 API 시퀀스를 복호화하고, 이 맬웨어는 위 값(그림 17)을 기반으로 대상 프로세스를 생성하고 해당 프로세스를 일시 중단 모드로 생성합니다.
je3uFjEe5y() 메서드는 WriteProcessMemory를 저장하고 대상 프로세스 메모리에서 최종 페이로드 ".text" 섹션을 복호화합니다.
IOC:
6A9F890C529C410FA32793F496E7F200
0DA34A44EE4876DD5E35939AF02F1D32
D751816C3673935BF989716ABD0DAB21
F8EC1BE3F2BD8269DB033375ED1A841E
감지:
트로이 목마.Formbook.S34651912
야라 규칙 :
"pe"를 가져오다
규칙 Formbook_varainat
{
문자열:
$s1=”AP7H9H5OI4478F8CH05FGA” wide ascii
$s2 ={67 B7 76 87 0A C8 C4 5E 29 AC 76 8F 70 E8 6E 09 91 40 4A AE 28 D5 7F CE AB 90 4B D3 07 C1 A8 B2 A0 B3 88 B9 58 F3 CA A9 43 9D C5 C1}
$s3 ={78 33 66 C6 4D CD 82 2F B8 D6 10 8A B7 E9 D5 65 8B 45 1A B7 ED 08 2E B3 89 2F 0B 89 75 F5 08 5D}
조건:
그들 모두
}
MITRE 공격 TTP:
| 술책 | 기술/절차 |
| 초기 액세스 | T1566.001 : 스피어 피싱 첨부 파일 |
| 실행 | T1059.001 :명령 및 스크립팅 인터프리터:PowerShell |
| T1053.005 :예약된 작업/작업:예약된 작업 | |
| 고집 | T1053.005 :예약된 작업/작업:예약된 작업 |
| 방어 회피 | T1027.003 :난독화된 파일 또는 정보:스테가노그래피 |
| T1036 :위장 | |
| T1497 :가상화/샌드박스 회피 | |
| T1055.012 :프로세스 주입: 프로세스 홀로잉 | |
| 발견 | T1082 :시스템 정보 검색 |
| T1083 :파일 및 디렉토리 검색 | |
| T1057 :프로세스 발견 |
결론 :
맬웨어 서비스(MaaS)를 사용하면 여러 버전의 폼북(Formbook)을 볼 수 있습니다. 래퍼는 계속 변경되지만 최종 페이로드는 동일하게 유지되는 경우가 많은데, 이는 바이러스 백신 탐지를 피하기 위한 것입니다. 위협 행위자는 악성 문서나 실행 가능한 바이너리가 첨부된 스피어 피싱 메일을 통해 이 맬웨어를 유포합니다. 사용자는 첨부 파일이 있는 의심스러운 이메일을 열지 않는 것이 좋습니다. 이 변종은 지속성을 유지하기 위해 회피 기법을 구현합니다. 파일 속성을 숨겨 시스템 관리자나 사용자에게 발각되는 것을 방지합니다. 뮤텍스를 생성하여 시스템에서 맬웨어가 단 하나만 실행되도록 합니다.
저자: Rumana Siddiqui, Manoj Kumar Neelamegam
