보안

"새로운 RAT 발견…WHO 사칭하고 다양한 회피 기술 사용" 프루프포인트 보고서

Michael Hill | CSO 2022.05.12
보안 업체 프루프포인트(Proofpoint)가 새로운 RAT(Remote Access Trojan) 악성 프로그램 캠패인을 분석한 보고서를 공개했다. 네르비안 RAT(Nerbian RAT)로 이름 붙여진 악성 프로그램은 정교한 회피 기술을 사용하고 코로나19와 관련한 메시지를 악용해 전 세계 기업을 공격했다. 네르비안 RAT는 고(Go) 프로그래밍 언어로 작성됐으며, 오픈소스 고 라이브러리를 활용하고 분석 및 리버스 엔지니어링 방지 기능을 탐지하며 위협 활동을 벌인 것으로 파악됐다.
 
ⓒ Getty Images Bank

프루프포인트가 네르비안 RAT를 분석하기 시작한 것은 이탈리아, 스페인, 영국 소재의 기업에 무작위로 영향을 미친 시점인 4월 말부터다. 프루프포인트의 위협 리서치 및 탐지 부문 부사장 셰로드 드그리포는 성명을 통해 “이 연구는 악성 프로그램 제작자가 오픈소스 기능과 범죄 기회의 교차 지점에서 어떻게 공격 캠페인을 운영하는지 드러낸다”라고 설명했다.


WHO 사칭, 코로나19 팬데믹 이슈 악용

프루프포인트 연구팀은 2022년 4월 26일부터 적은 규모의 악성 프로그램 공격 캠페인을 관찰했다. 해당 캠페인은 코로나19 관련 중요 정보를 공유하는 WHO(World Health Organization)라고 주장하는 이메일을 발송해 여러 산업 분야의 기업을 겨냥했다. 문제의 이메일에 첨부된 워드 문서에는 코로나19 안전 수칙, 자가 격리 및 치료와 관련한 정보가 함께 매크로가 포함돼 있었다.

연구팀은 “바이러스를 배포하기 위해 WHO를 사칭한 것은 지난 2020년 코로나19 팬데믹 초기에 사용된 방법과 유사하다”라고 말했다. 문서에는 아일랜드 정부와 보건서비스(Health Service Executive, HSE), 시각장애인협의회(National Council for the Blind of Ireland, NCBI)의 로고도 첨부돼 있었다.


매크로 공격과 코드 재사용의 위협 

문서에 내장된 매크로는 실행 시 파워셸 IWR(Invoke-WebRequest)를 수행하는 .bat 파일을 삭제하고, 다운로드된 파일의 이름을 UpdateUAV.exe로 변경한 다음 피해자의 하드 드라이브에 설치한다. 연구팀은 “UpdateUAV.exe는 악성 워드 문서에서 처음 다운로드된 페이로드로, 고랭(Golang)으로 작성된 3.5MB 크기의 64비트 실행 파일이며 UPX로 패킹됐다”라고 설명했다.

프루프포인트는 드로퍼의 기능 이름을 본 따 해당 악성 프로그램을 ‘네르비안 RAT’라고 이름 붙였다. 연구팀에 따르면, UpdateUAV 실행 파일은 다양한 깃허브 프로젝트를 참조한 문자열과 상당한 코드 재사용이 특징이다. 


네르비안 RAT의 정교한 회피 기술

프루프포인트 연구팀은 네르비안 RAT에서 몇 가지 정교한 회피 기술을 확인할 수 있었다. 예를 들면, 네르비안 RAT 드로퍼는 다음과 같은 조건에서는 실행을 중지한다.
 
  • 시스템 하드 디스크의 크기가 100GB 미만인 경우
  • 하드 디스크의 이름에 ‘virtual’, ‘vbox’, ‘vmware’ 문자열이 포함될 경우
  • 쿼리된 맥 주소가 특정 OUI 값을 반환하는 경우
  • 특정 리버스 엔지니어링/디버깅 프로그램이 있는 경우
  • exe, RAMMap.exe, RAMMap64.exe, vmmap.exe 메모리 분석/메모리 변조 프로그램이 있는 경우

프루프포인트에 따르면 네르비안 RAT는 리버스 엔지니어링 방지를 확인하는 것 외에도 바이너리에 다른 분석 방지 기능이 존재하는지도 검사한다. 연구팀이 식별한 방법은 다음과 같다. 
 
  • IsDebuggerPresent API를 사용해 실행 파일이 디버깅 중인지 확인
  • 다음과 같은 네트워크 인터페이스 이름에 대한 쿼리 : Intel PRO/1000 MT Network Connection, Loopback Pseudo-Interface 1, Software Loopback Interface 1


키스트로크 로깅과 SSL을 사용한 통신 기능

매크로가 실행되면 드로퍼는 매시간 RAT 페이로드를 시작해 지속성을 유지하기 위해 마이크로소프트마우스코어워크(MicrosoftMouseCoreWork)라는 이름의 예정된 작업을 설정하려고 시도한다. 프루프포인트 연구팀은 “드로퍼의 최종 목표는 SSL이라는 실행 파일을 다운로드해 MoUsoCore.exe로 저장하고, 기본적으로 지속하는 매커니즘으로 매시간 실행되도록 예약된 작업을 구성하는 것이다”라고 설명했다. 

또한 네르비안 RAT는 키스트로크 로깅 기능을 비롯한 여러 기능을 가지고 있으며, 다른 최신 악성 프로그램 대부분과 마찬가지로 SSL를 통한 통신 처리를 선호하는 것으로 보인다.

프루프포인트 연구팀은 “전송 중인 데이터를 보호하고 손상된 호스트를 ‘검토’하기 위해 복잡한 요소로 주의를 기울이고 있음에도 드로퍼와 RAT 자체는 UPX로 패킹된 샘플 외부에서 무거운 난독화를 사용하지 않는다. UPX 패킹은 난독화를 위해 반드시 필요한 것이지만, 이 경우에는 단순히 실행 파일의 크기를 줄이기 위해 사용됐다. 또한 RAT와 드로퍼의 기능 대부분은 깃허브 리포지토리를 참조하는 문자열 때문에 쉽게 추론할 수 있다”라고 덧붙였다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.