최근 Seqrite Labs에서 조사한 결과, .VBE(VBScript로 인코딩된) 파일을 통해 확산되는 Masslogger 자격 증명 탈취 악성코드의 정교한 변종을 발견했습니다. 처음에는 이 변종은 일반적인 스크립트 기반 위협으로 보였지만, 심층 분석 결과 악성 페이로드를 저장하고 실행하기 위해 Windows 레지스트리에 크게 의존하는 다단계 파일리스 악성코드로 밝혀졌습니다.
이 블로그 게시물에서는 VBScript 코드의 내부 흐름, 사용된 난독화 메커니즘, 그리고 이 메커니즘이 시스템을 조작하여 파일리스 상태를 유지하는 방식을 분석했습니다. 또한, Stagers와 최종 Masslogger 페이로드의 기능에 대해서도 설명했습니다.
초기 감염 벡터:
감염은 .VBE 파일로 시작되며, 스팸 이메일이나 드라이브바이 다운로드를 통해 유포될 가능성이 높습니다. .VBE 파일은 Microsoft에서 기본 제공하는 인코딩 방식으로 인코딩된 VBScript로, 일반 검사를 탐지합니다. 디코딩되면 스크립트는 여러 단계의 난독화, 모듈식 루틴, 그리고 실제 기능을 드러냅니다.
디코딩된 .VBS – [VBScript] 파일 분석:
처음에 .VBS 파일은 맬웨어가 사용하는 특정 키 아래에 여러 레지스트리 값을 작성하고 기록합니다. 파일리스 페이로드를 저장하기 위한 실행 환경을 설정합니다.
레지스트리 키와 값 이름은 하드코딩되어 직관적입니다. 그러나 중요한 값 데이터 중 일부는 인코딩되어 저장되고 파일 실행 중에 디코딩됩니다.
-명령 및 Stager 구성을 위한 레지스트리 설정:
AKAAU() 서브루틴은 레지스트리에 기록되기 전에 키와 값을 준비하는 데 사용됩니다. 값 이름과 값 데이터는 각각 "QORXG"와 "ZBZLV"라는 별도의 배열로 저장됩니다. 두 배열 모두 "RegWrite"를 사용하여 레지스트리에 기록됩니다.
시스템이 감염되면 레지스트리 편집기에서 다음과 같은 악성 레지스트리 항목을 찾을 수 있습니다.
레지스트리 경로 “HKCU\Software\”에 기록된 레지스트리 항목 요약은 다음과 같습니다.
| 값 이름 | 값 데이터 | 제품 개요 |
| cn | Stop-Process -Name conhost -Force | conhost.exe 프로세스를 강제로 종료합니다. |
| i | “AddInProcess32.exe” | 코드 주입을 위한 대상 프로세스. |
| in | "0" | PowerShell 명령이 이미 실행되었는지 확인하는 제어 플래그입니다. |
| 즉시 | LPICU | PowerShell 명령을 난독화했습니다. Stager-1을 난독화 해제하고 메모리에 로드합니다. |
| 경로 | esBbIgyFlZcXjUl | 레지스트리 키 경로의 이름입니다. "HKCU\Software\"에 추가됩니다. |
| r | 와즐라 | .Net 어셈블리, 역순 문자열 형식으로 저장됨. Stager-2. |
| s | RKFYI(DGSLP) | 64진수 디코딩 문자열. 역방향 Base1 형식으로 저장된 .Net 어셈블리. Stager-XNUMX. |
| v | HIKGO() | PowerShell용 난독화된 명령입니다. Stager-1의 난독화를 해제하고 메모리에 로드합니다. 특히 사용자 입력 시뮬레이션에 사용됩니다. |
표-1: 추가된 레지스트리 항목 요약
이러한 레지스트리를 작성하기 전에 맬웨어는 파일 "ZGYHW()"를 확인하는 서브루틴 "ZGYHW()"를 호출합니다.C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe”가 해당 위치에 존재합니다.
악성코드는 존재 여부에 따라 다양한 버전의 Stagers를 배포합니다. 특히 이 시나리오에서 Stager-2는 다음과 같습니다.
– 최종 페이로드 배포를 위한 레지스트리 설정:
위 레지스트리가 구성되고 작성되면 또 다른 서브루틴 "XSSAY()"가 호출됩니다. 이 함수는 더 큰 문자열 데이터(실제 Masslogger 페이로드이며 인코딩된 상태)를 읽어옵니다. 이 데이터는 25,000자 단위로 분할되어 다른 레지스트리 값에 세그먼트 형태로 기록됩니다.
각 청크는 다음 경로의 레지스트리에 기록됩니다.
- HKEY_CURRENT_USER\SOFTWARE\esBbIgyFlZcXjUl\donn\segment1
- HKEY_CURRENT_USER\SOFTWARE\esBbIgyFlZcXjUl\donn\segment2
- HKEY_CURRENT_USER\SOFTWARE\esBbIgyFlZcXjUl\donn\segment*
-작업 스케줄러:
맬웨어는 Windows 예약 작업을 통해 지속성을 확립하여 시스템에서 맬웨어가 계속 실행되도록 합니다. 작업 트리거는 감염일(20xx-xx–xxT00:00:00)에 시작하여 1분(PT1M)마다 반복됩니다. 작업은 배터리 관련 제한을 무시하고 실행되도록 예약됩니다.
작업은 생성된 레지스트리 키와 동일한 이름을 사용합니다. 즉, esBbIgyFlZcXjUl .VBS 파일을 실행하도록 트리거됩니다. 이 .VBS 파일은 페이로드 실행 여부를 나타내는 레지스트리가 생성되었는지 확인하는 지속적인 실행 루프 역할을 합니다.
-작업 스케줄러 스크립트 - 사용자 입력 시뮬레이션 가능:
아래 이미지에서 볼 수 있듯이:
- 각 사이클 사이에 10000초간 휴면하며 약 10번 실행됩니다.
- 레지스트리 값 "i"를 읽어 프로세스 이름을 가져오고 실행 중인지 확인합니다.
- 그런 다음 레지스트리 값 "in"이 1로 설정되어 있는지 확인합니다.
- 그렇다면 레지스트리 "instant"에 저장된 악성 명령을 자동으로 실행합니다.
- "in"의 값이 1로 설정되지 않은 경우.
- PowerShell을 표시 가능한 창 모드로 시작하고 ".SendKeys" 메서드를 사용하여 "v" 및 "cn" 레지스트리 값을 입력한 다음 "{ENTER}"를 입력합니다.
- 이 기술은 PowerShell에 대한 사용자 입력을 시뮬레이션하는 것과 같습니다.
요약표에서 보았듯이,
“cn” 레지스트리 conhost.exe 프로세스의 실행 중인 인스턴스를 강제로 중지하는 데 사용됩니다.
"즉각적"과 "v" 레지스트리는 디스크를 건드리지 않고 메모리에서 Stager .Net 어셈블리를 난독화 해제하고 준비하고 로드하기 위한 PowerShell로 사용됩니다.
시스템 보호 상태 확인:
악성코드는 대상 시스템의 보호 상태를 확인하며, 실행 중에는 탐지되지 않을 수 있습니다. 악성코드는 몇 가지 중요한 레지스트리를 쿼리하여 이를 수행합니다. 다음은 AV/보안 제품이 일반적으로 자신의 존재를 등록하는 몇 가지 레지스트리입니다.
- “HKLM\SOFTWARE\Microsoft\Security Center\Provider\Av”,
- “HKLM\SOFTWARE\Microsoft\Security Center\Monitoring”,
- “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Security and Maintenance\Providers”,
- “HKLM\SOFTWARE\Microsoft\Windows Defender\보안 센터\공급자”
이러한 레지스트리는 스크립트에 인코딩된 형식으로 정의되어 있습니다. 악성코드는 위 키의 하위 키를 통해 정보를 열거하고 "DisplayName" 값을 읽으려고 시도합니다. DisplayName은 설치된 AV/보안 도구의 이름을 저장합니다. 대상 시스템에 여러 보안 제품이 설치된 것으로 확인되면 악성코드는 실행을 중단합니다.
-스테이저 트리거:
.VBE 파일의 서브루틴 SQSKP()는 악성코드 실행 체인의 핵심 부분입니다. Windows 레지스트리에서 검색된 .NET 스테이저를 메모리 내에서 실행하는 PowerShell 명령을 동적으로 구성하고 실행합니다.
여기서 디코딩된 텍스트는 |path|를 RVOYN으로 바꾼 후 난독화가 해제된 PowerShell 명령입니다.
그림 10에서 볼 수 있듯이 –
- 이 PowerShell 명령은 "LPICU" 변수에 형성되어 할당됩니다.
- 변수의 내용은 레지스트리 키 "Computer\HKEY_CURRENT_USER\SOFTWARE\esBbIgyFlZcXjUl" 내부에 생성된 레지스트리 값 "\instant"에 기록됩니다.
- 이 함수는 구성된 PowerShell 명령을 자동으로 실행합니다. 여기서 "0"은 PowerShell 창을 숨깁니다.
- 그런 다음 PowerShell은 레지스트리 키 "HKCU\Software\esBbIgyFlZcXjUl\s"를 읽습니다. 이 레지스트리 키에는 Base1로 인코딩된 형식으로 보관된 Stager-64이 포함되어 있습니다.
우리는 최근의 많은 자격 증명 도용 악성 프로그램(예: VIPKeylogger, Remcos, AsyncRAT 등)에서 이러한 인코딩 조합을 구현하는 악성 프로그램을 보았습니다.
- PowerShell 명령은 문자열을 반전하여 결합하고, base64 문자열을 디코딩한 후 메모리에서 "[AppDomain]::CurrentDomain.Load()" 함수를 사용하여 .NET 어셈블리로 로드합니다. 이 접근 방식을 통해 맬웨어는 다음과 같은 작업을 수행할 수 있습니다.
- 실제 맬웨어 파일을 디스크에 쓰지 마세요(회피 기능).
- 런타임에 동적으로 페이로드를 구성하고 로드합니다.
- 레지스트리 경로를 참조하는 항목 메서드 "[vv]::v('esBbIgyFlZcXjUl')"를 호출합니다.
난독화된 stager-1 페이로드의 덤프를 추가 분석을 위해 가져왔습니다. 관찰 결과는 다음과 같습니다.
Stager-1 분석:
Stager-1은 레지스트리 "HKCU\Software\esBbIgyFlZcXjUl\s"에 인코딩된 작은 실행 파일입니다. .Net으로 컴파일되었으며 크기는 약 14KB입니다.
해당 코드를 분석한 결과, 해당 파일이 "r"이라는 이름의 다른 레지스트리 키인 [HKCU\Software\esBbIgyFlZcXjUl\r]에서 내용을 읽으려고 시도하는 것으로 나타났습니다.
해당 내용이 반전되어 또 다른 .Net 컴파일 바이너리인 stager-2가 형성됩니다.
이 바이너리는 "Assembly.Load()"를 사용하여 메모리에 로드됩니다. Stager-1은 Stager-2 어셈블리 내의 클래스 r에서 r() 메서드를 찾으려고 합니다. 이는 stager-2 실행의 진입점입니다.
Stager-2 분석:
Stager-1이 설치를 완료하면 악성코드는 Stager-2 로더로 이동합니다. 이 감염 단계는 레지스트리에서 실제 Masslogger 페이로드를 추출하여 대상 프로세스에 주입하는 데 중점을 둡니다.
Stager-2는 처음에 프로세스를 시작하고 코드 삽입을 수행하기 위해 잠재적인 파일 경로를 구성합니다.
이러한 경로에 파일(레지스트리 값 "i"에서 검색된 이름)이 있는지 확인합니다.
우리의 경우, 대상 파일/프로세스 경로는 다음과 같습니다.
“%WINDIR%\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe”
또한 맬웨어는 이전에 아래 레지스트리의 여러 레지스트리 하위 키에 작성된(서브루틴 "XSSAY()"에 의해) 실제 Masslogger 페이로드를 추출합니다.
- HKEY_CURRENT_USER\SOFTWARE\esBbIgyFlZcXjUl\donn\segment1
- HKEY_CURRENT_USER\SOFTWARE\esBbIgyFlZcXjUl\donn\segment2
- HKEY_CURRENT_USER\SOFTWARE\esBbIgyFlZcXjUl\donn\segment*
'r' 클래스의 BBX() 함수는 모든 값 항목을 수집하고, 연결하고, 결합된 문자열을 역순으로 변환한 다음, 16진수에서 원시 바이트로 디코딩합니다. 이 기법을 통해 악성코드 작성자는 전체 PE 바이너리를 여러 레지스트리 키에 숨길 수 있습니다. 디코딩된 페이로드는 프로세스 할로잉(process hollowing)에 사용됩니다. 프로세스 할로잉은 .XGP() 함수를 사용하여 수행됩니다.
모든 것을 레지스트리에 저장하고 실행에만 메모리를 사용하는 똑똑한 방법입니다.
-프랑스 특정 탑재물 배송:
지역 타겟팅 페이로드 전송은 이제 고급 맬웨어에서 피해자의 위치에 따라 행동을 변경하기 위해 흔히 사용됩니다. 이 감염의 Stager-2는 현재 시스템의 입력 언어가 프랑스어("Fr")로 설정되어 있는지, 그리고 로캘에 "France"가 포함되어 있는지 확인합니다.
조건이 충족되면, 하드코딩된 URL(hxxps://144.91.92.251/MoDi.txt)에서 특수하게 조작된 추가 페이로드를 다운로드하려고 시도합니다. 분석 시점에는 해당 URL에 접근할 수 없었습니다.
- 추적 종료 및 종료:
실행이 끝나면 맬웨어는 실행 중인 conhost.exe 및 PowerShell.exe 프로세스의 인스턴스를 강제로 종료합니다.
이러한 프로세스를 종료함으로써 맬웨어는 활동 흔적을 숨기려 할 가능성이 높습니다. 마지막으로 ProjectData.EndApp()을 사용하여 애플리케이션을 종료하고 Stager-2 수명 주기를 완료합니다.
Masslogger 최종 탑재량 분석:
레지스트리에서 최종 페이로드의 난독화가 성공적으로 완료된 후, Masslogger가 대상 프로세스인 "AddInProcess32.exe"에 주입됩니다. 주입된 프로세스의 메모리 덤프에서 이 악성코드의 흔적을 아래와 같이 확인할 수 있습니다.
멀웨어 체인의 마지막 단계를 나타내는 이 페이로드의 메모리 덤프를 생성했습니다. 이 페이로드는 주요 자격 증명 정보 탈취 기능을 실행하는 역할을 합니다.
-데이터 수집:
많은 Infostealer 맬웨어와 마찬가지로 이 맬웨어도 저장된 사용자 이름, 비밀번호, 자동 완성 데이터 등의 민감한 정보를 훔치기 위해 여러 웹 브라우저와 몇몇 이메일 클라이언트를 표적으로 삼습니다. 아래는 Masslogger가 표적으로 삼는 웹 브라우저와 몇몇 이메일 클라이언트 목록입니다.
Chrome 브라우저에서 저장된 로그인 자격 증명을 수집하려는 맬웨어가 있는 모듈 중 하나를 자세히 살펴보겠습니다.
"로그인 데이터" SQLite 데이터베이스에 접근하여 사용자의 로그인 데이터를 찾습니다. 웹사이트 URL과 해당 사용자 이름 및 비밀번호를 추출하여 향후 활용을 위해 수집합니다. 유효한 자격 증명이 발견되면 웹사이트, 사용자 이름, 비밀번호와 같은 구조화된 형식으로 저장됩니다.
Masslogger는 브라우저와 이메일 클라이언트를 표적으로 삼아 정보를 훔치는 것 외에도 다음과 같은 기능을 갖추고 있습니다.
- 키로거 활동.
- 스냅샷 파일을 찍고 지웁니다.
- 클립보드 데이터를 검색합니다.
- GetForegroundWindow, GetWindowText 등을 호출하여 사용자 활동을 모니터링해보세요.
- IP 주소, 국가 등 시스템 세부 정보를 읽습니다.
- 여러 개의 파일을 서버에 업로드합니다.
- 데이터 유출:
최종 페이로드의 SpeedOffPWExport() 메서드는 FTP, SMTP 또는 Telegram과 같은 여러 채널을 통해 수집된 자격 증명과 시스템 정보를 원격 위치로 전송하여 데이터 유출을 가능하게 합니다.
FTP가 활성화된 경우, 이 방법은 하드코딩된 자격 증명을 사용하여 도난당한 데이터를 원격 FTP 서버에 .txt 파일로 업로드합니다.
SMTP의 경우 메시지 본문이나 첨부된 텍스트 파일에 데이터가 포함된 이메일을 구성하여 지정된 메일 서버를 사용하여 전송합니다.
Telegram 유출이 활성화된 경우 Telegram Bot API를 사용하여 피해자의 사용자 이름과 IP가 포함된 캡션을 포함한 문서 형태로 데이터를 전송합니다.
결론 :
Masslogger 파일리스 변종은 정보 유출 악성코드의 진화하는 추세를 보여줍니다. .VBE 스크립트를 통해 유포되는 이 변종은 Windows 레지스트리를 악용하여 실제 실행 가능 페이로드를 저장하고, 디스크를 건드리지 않고 해당 페이로드를 메모리에 직접 로드합니다. 여러 브라우저와 이메일 클라이언트에서 저장된 자격 증명을 수집하고, FTP, SMTP, Telegram Bot 등 여러 채널을 사용하여 데이터를 유출하는 기능을 보유하고 있습니다.
이 변종은 자격 증명 탈취 악성코드가 파일리스 방식으로 전환되고 여러 단계(Stager-1, Stager-2)로 작동하는 것을 보여줍니다. 이는 기존의 안티바이러스 및 시그니처 기반 탐지 방식에 어려움을 줍니다. 이를 극복하기 위해 보안 담당자는 행동 탐지, 레지스트리 이상 모니터링 등과 같은 고급 탐지 메커니즘을 사용해야 합니다.
침해 지표(IoC):
파일 MD5:
.VBE: 29DBD06402D208E5EBAE1FB7BA78AD7A
.VBS: F30F07EBD35B4C53B7DB1F936F72BE93
Stager-1: 2F1E771264FC0A782B8AB63EF3E74623
Stager-2: 37F0EB34C8086282752AF5E70F57D34C
MassLogger Payload: 1E11B72218448EF5F3FCA3C5312D70DB
URL :
hxxps://144.91.92.251/MoDi.txt
Seqrite 감지:
스크립트.trojan.49618.GC
Trojan.MSIL
트로이 목마.야크벡스MSIL.ZZ4
MITER ATT & CK
| 술책 | 기술 ID | 기술명 | 하위 기술 ID | 하위 기술 이름 |
| 초기 액세스 | T1566 | 피싱 (Phishing) | T1566.001 | 스피어 피싱 첨부 파일 |
| 실행 | T1059 | 명령 및 스크립팅 해석기 | T1059.005 | Visual Basic을 |
| 실행 | T1059 | 명령 및 스크립팅 해석기 | T1059.001 | PowerShell을 |
| 고집 | T1053 | 예약된 작업/작업 | T1053.005 | 예정된 작업 |
| 방어 회피 | T1140 | 파일 또는 정보 난독화 해제/디코딩 | - | - |
| 방어 회피 | T1112 | 레지스트리 수정 | - | - |
| 방어 회피 | T1055 | 공정 주입 | T1055.012 | 프로세스 홀로잉 |
| 방어 회피 | T1562 | 방어력 약화 | T1562.001 | 도구 비활성화 또는 수정 |
| 방어 회피 | T1059 | 명령 및 스크립팅 해석기 | T1059.001 | PowerShell을 |
| 발견 | T1518 | 소프트웨어 검색 | T1518.001 | 보안 소프트웨어 발견 |
| 발견 | T1082 | 시스템 정보 검색 | - | - |
| 발견 | T1012 | 쿼리 레지스트리 | - | - |
| 자격 증명 액세스 | T1555 | 암호 저장소의 자격 증명 | T1555.003 | 웹 브라우저의 자격 증명 |
| 자격 증명 액세스 | T1056 | 입력 캡처 | T1056.001 | 키 로깅 |
| 수집 | T1113 | 화면 캡처 | - | - |
| 수집 | T1115 | 클립보드 데이터 | - | - |
| 수집 | T1056 | 입력 캡처 | T1056.001 | 키 로깅 |
| 수집 | T1083 | 파일 및 디렉토리 검색 | - | - |
| 명령 및 제어 | T1071 | 애플리케이션 계층 프로토콜 | T1071.001 | 웹 프로토콜 |
| 명령 및 제어 | T1071 | 애플리케이션 계층 프로토콜 | T1071.002 | 파일 전송 프로토콜 |
| 명령 및 제어 | T1071 | 애플리케이션 계층 프로토콜 | T1071.003 | 메일 프로토콜 |
| 명령 및 제어 | T1105 | 인그레스 도구 전송 | - | - |
| 여과 | T1041 | C2 채널을 통한 유출 | - | - |
| 여과 | T1567 | 웹 서비스를 통한 유출 | T1567.002 | 클라우드 스토리지로의 유출 |
| 여과 | T1567 | 웹 서비스를 통한 유출 | T1567.001 | 코드 저장소로의 유출 |
