최신 보안 동향 정보를 통해 자료 수집, 샘플 파일 확보를 통한 분석을 진행하였다.
유명 메신저를 통해 유포 중인 Venom(베놈) RAT 악성코드 이다.
해당 파일은 크게 Venom RAT, QUASAR RAT 두 가지로 불리며, 현재 다양한 변조 파일이 존재한다.
(보통 외국에서는 Venom RAT보다 QUASAR RAT으로 더 많이 불리는 것 같다.)
|
파일 명
|
$77-Venom.exe, Venom_RAT.exe
|
|
|
MD5
|
cfd9c6e3328e8553ae573a458850224e
|
|
|
SHA-1
|
b39b8f1443a310f5cc6bb8559ca1194aba9f9b48
|
|
|
SHA-256
|
5b5e82e79c52452b2d03a4fa83b95bbeec8a4b1afd97edd9999a77d26f5488b4
|
|
|
File Type
|
Win32 EXE
|
|
|
File Size
|
534.50 KB (547328 bytes)
|
|
|
PEiD Packer
|
.NET executable
|
|
Venom RAT 악성파일의 개요도
악성파일 실행 프로세스 순서도
정적 분석
1) Detect it Easy
우선 String으로 확인할 수 있는 부분은 확인하는 편이다.
Windows Vista부터 Windows10까지 모든 버전의 Windows를 지원하는 앱 매니페스트 파일 부분이다. 이를 통해 Vista 부터 Windows 10까지 모두 실행가능하게 한다는 것을 알 수 있다.
Google, Opera, Kometa, Orbitum, Amigo, Torch, Yandex 등 다양한 브라우저에서 뭔가 사용한다는 것을 알 수 있다.
레지스트리 키 부분인데, Run은 사용자가 로그온할 때 마다 프로그램을 실행하게 하고, RunOnce는 프로그램을 한 번 실행한 다음 키가 삭제된다.
이렇게 String 부분에 URL부분이 박혀있을 때도 있다.
여기서 확인 되는 부분은 hxxp://91.134.207[.]16/ngrok[.]exe이다.
해당 URL은 현재 접속 불가 상태다.
91.134.207.16 [FR]
2) de4dot
다운로드 받은 파일은 닷넷(.NET) 프레임워크 환경으로 구성되어있으며, 해당 파일 확인 결과, 중간에 코드들이 많이 깨져있는 것이 확인된다. 이를 통해 파일이 난독화 되어 있다는 것을 알 수 있고, 이를 해결하기 위해 난독화 해제 프로그램(de4dot)을 사용한다.
난독화 해제 프로그램(de4dot) 사용 시 옵션은 ‘-o’를 사용하면 된다.
ex> 기존 파일 명(.exe) -o 난독화 해제 후 저장할 파일 명 (.exe)
난독화 해제 파일은 de4dot 프로그램이 존재하는 경로에 저장되므로, 해당 경로에 접근하여 확인하면 된다.
이후, 해제된 파일 확인 시, 매개변수, 클래스 및 메소드 등 난독화 된 부분 없이 정상적으로 확인이 가능하다.
3) dnSPY
해당 코드는 키로깅 행위로, 키보드 및 마우스 관련 함수를 호출하여 사용자가 어떤 키를 눌렀는지 키 입력을 감지하고, 감지된 키는 로그 파일이나 다른 저장 매체 등에 기록된다.
이러한 정보들은 공격자에 의해 수집된다. 이후, 주기적인 시간 간격이나 특정 이벤트 (인터넷 연결 등)을 통해 공격자에게 전송될 수 있다.
특정 사용자 (user+사용자 이름)의 세션 정보를 조회하고, 해당 사용자의 계정을 로그오프하는 과정이다.
이를 통해 사용자를 제어하기 위한 목적이라는 것을 알 수 있다.
cmd.exe를 사용하여 시스템 명령어를 실행하는 프로세스 정보를 설정한다.
해당 코드를 확인해보면 ‘net user [name] /delete’를 통해 지정된 사용자 계정을 삭제하는 것으로 확인된다.
해당 코드는 관리자 권한으로 실행될 경우에만 계정을 삭제할 수 있다.
사용자의 입력을 직접 받아 name 변수에 전달하는 것으로, 사용자 입력에 대해 유효성 검사를 수행하는 것이 중요할 것 같다.
해당 코드 또한 위와 비슷하다.
단지, 위에는 계정을 삭제하는 것이지만, 아래 코드는 계정을 생성하는 코드이다.
계정 생성 후 ‘net localgroup administrators [name] /add’ 명령어를 통해 해당 계정을 관리자 그룹에 추가한다.
여기서 사용자 이름을 생성하는데, 이 때, 사용자의 이름은 ‘Venom Administrative User’로 설정되어있다.
사용자의 비밀번호는 변수 ‘user’를 사용하여 같은 비밀번호로 설정되고 있고, 해당 비밀번호가 만료되지 않도록 설정했다.
비트코인, 라이트코인, 바이트코인 등 코인 지갑들의 소프트웨어 설정 정보를 가져온다.
이를 통해 wallet.dat 파일을 탈취하는 목적으로 쓰였다는 것을 알 수 있다.
여기서부턴 간단하게 주요 함수들만 정리하겠다. (넘무 많아…
|
DeleteFile
|
파일 삭제 함수
|
|
|
LoadLibrary
|
DLL 파일을 메모리에 로드하는 함수
|
|
|
GetProcAddress
|
로드된 DLL에서 특정 함수의 포인터를 가져오는 함수
|
|
|
GetLastInputInfo
|
사용자의 마지막 입력 정보를 가져오는 함수
|
|
|
SetCursorPos
|
마우스 커서의 위치를 설정하는 함수
|
|
|
mouse_event
|
마우스 이벤트를 시뮬레이트하는 함수
|
|
|
keybd_event
|
키보드 이벤트를 시뮬레이트하는 함수
|
|
|
BitBlt
|
화면을 비트맵 형태로 복사하는 함수
|
|
|
CreateDC, DeleteDC
|
디바이스 컨텍스트를 생성하고 삭제하는 함수
|
|
|
memcmp, memcpy
|
메모리 비교 및 복사 함수
|
|
|
SystemParametersInfo
|
시스템 파라미터 정보를 가져오거나 설정하는 함수
|
|
|
PostMessage
|
윈도우 메시지를 보내는 함수
|
|
|
OpenDesktop, CloseDesktop, EnumDesktopWindows, IsWindowVisible, GetForegroundWindow
|
데스크탑과 관련된 함수들로, 윈도우와 관련된 작업 수행
|
|
관리자 권한이 존재하는지 확인 후, 스케줄을 생성한다.
해당 스케줄은 GClass2.string_8에 있는 내용으로, Base64로 디코딩하면 wuapp.exe 파일로 확인된다.
결국 해당 코드는 관리자 권한으로 프로그램을 관리할 수 있는 것으로, 로그온할 때 프로그램이 자동으로 실행되도록 설정하거나 설정을 제거하는 기능도 존재한다.
schtasks 명령어를 사용하여 스케줄을 관리하고, 관리자 권한이 없는 경우에는 레지스트리를 통해 동일한 목적을 수행한다.
GClass2.string_8
해당 코드는 FTP 접속 정보를 기록한다. 저장된 FTP 서버 주소, 사용자 이름, 비밀번호, 업로드할 파일 이름을 이용하여 FTP 접속 정보를 파일에 기록한다.
이 클래스는 FTP 프로토콜을 이용하여 파일을 업로드하는 기능을 구현하고 있고, 예외 처리와 FTP 연결 관리, 파일 전송을 한다.
아래 파일들을 각각 설치 후 실행한다. 해당 파일들을 각각 실행 후 20초 동안 실행을 일시 정지하는 것을 확인할 수 있다.
|
rdpinstall.exe
|
원격 데스크톱(RDP)을 설치하는 프로그램으로 추정
|
|
|
autoupdate1.exe
|
자동 업데이트를 수행하는 파일로 추정
|
|
|
ngrok.exe
|
로컬 서버를 외부 네트워크에 접근할 수 있게 해주는 도구
|
|
|
getrdp.exe
|
rdp 관련 기능을 수행하는 프로그램으로 추정
|
|
지정된 포트를 TCP, UDP 프로토콜로 방화벽을 열어주는 기능을 한다. 이를 통해 네트워크에서 해당 포트로 들어오는 연결이나 데이터 트래픽을 받을 수 있다.
또한, 로컬 시스템의 IP 주소 확인 후, 로컬 포트(5901)에서 연결을 수신하고, 원격 RDP 서버(192.168.1.90:5901)로 연결을 시도한다.
수신한 데이터를 RDP 서버로 전송하고, 원격서버에서 받은 데이터를 다시 로컬로 전송한다.
데이터 전송과 관련된 로그를 console에 출력한다.
따라서, 해당 코드는 UDP 소켓을 이용하여 로컬의 IP 주소를 가져오고, TCP 소켓을 이용하여 RDP 트래픽을 중계하며, 데이터의 전송과 수신을 반복적으로 하는 것을 알 수 있다.
해당 코드는 Powershell을 사용하여 이메일을 전송하는 기능을 구현한 것이다.
‘Arguments’ 속성을 통해 PowerShell을 실행할 때 실행 정책을 우회하고 ‘ProcessWindowStyle.Hidden’을 사용하여 실행 중인 창을 숨긴다.
‘email.bat’ 파일을 생성하여 Gmail 계정 정보와 첨부파일 경로를 설정하고, Powershell 스크립트를 호출한다. 이 때, Powershell 스크립트는 이메일을 생성하고 SMTP를 사용하여 전송한다는 것을 알 수 있다. 이 후, 생성된 ‘email.bat’ 파일을 실행하여 이메일을 전송한다.
마지막으로, ‘Process.Start’를 사용하여 생성한 배치 파일을 실행한다. 실행 시, Window 창을 숨시고, 오류 대화상자를 표시하지 않도록 설정한다.
이를 통해 공격자는 사용자가 모르게 PowerShell을 사용하여 송신자 Gmail 계정을 통해 수신자에게 이메일을 보내는 기능을 자동화한다.
추가적으로 악성코드 다운로드 경로 URL을 확인할 수 있다.
|
URL
|
hxxp://91.134.207.16/ngrok.exe
|
|
|
IP
|
91.134.207.16 [FR] - VirusTotal
|
|
생성되는 파일
실행되는 프로세스
따라서, 해당 악성 파일(Venom.exe)은 파일 관리, 지속성, 원격 셸, 레지스트리 수정, 마이크 녹음, 타 멀웨어 로딩, 패스워드 복구 등 원격 시스템 기능을 지원한다.
또한, Windows Defender 비활성화, C2와의 암호화된 연결 등 은밀성 기능을 가지고 있다.
Chrome, Edge, Opera, Yandex 등 다양한 브라우저에서 키로깅, 암호화폐 지갑 도난, 비밀번호 복구 등 정보 도용 기능이 존재한다.
OS Change Table
|
Type
|
Mode
|
Value
|
|
File
|
Created
|
C:\Users\Administrator\AppData\Roaming\svhost\svhost.exe
C:\Users\Administrator\AppData\Roaming\svhost\r77-x64.dll
C:\Users\Administrator\AppData\Local\Temp\m3AFJuxs8gLs.bat
C:\Users\Administrator\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\VenomRAT.exe.log
C:\Users\Administrator\AppData\Roaming\Logs\07-12-2024
|
|
File
|
Close
|
C:\Users\Administrator\AppData\Roaming\svhost\svhost.exe
C:\Users\Administrator\AppData\Roaming\svhost\r77-x64.dll
C:\Users\Administrator\AppData\Local\Temp\m3AFJuxs8gLs.bat
C:\Users\Administrator\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\VenomRAT.exe.log
C:\Users\Administrator\AppData\Roaming\Logs\07-12-2024
|
|
File
|
Open
|
C:\Users\Administrator\AppData\Roaming\svhost\svhost.exe
C:\Users\Administrator\AppData\Local\Temp\m3AFJuxs8gLs.bat
|
|
File
|
Date Change
|
C:\Users\Administrator\AppData\Roaming\svhost\svhost.exe
|
|
File
|
Delete
|
C:\Users\Administrator\AppData\Local\Temp\m3AFJuxs8gLs.bat
|
|
Process
|
Started
|
C:\Users\Administrator\AppData\Local\Temp\VenomRAT.exe
C:\Users\Administrator\AppData\Roaming\svhost\svhost.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\System32\conhost.exe
C:\Windows\SysWOW64\chcp.com
C:\Windows\SysWOW64\PING.EXE
C:\Users\Administrator\AppData\Local\Temp\VenomRAT.exe
|
|
Regkey
|
Added
|
\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Tracing\VenomRAT_RASAPI32
\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Tracing\VenomRAT_RASMANCS
\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Tracing\svhost_RASAPI32
\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Tracing\svhost_RASMANCS
|
|
Folder
|
Created
|
C:\Users\Administrator\AppData\Roaming\svhost
C:\Users\Administrator\AppData\Roaming\Logs
|
|
Folder
|
Hide
|
C:\Users\Administrator\AppData\Roaming\svhost
C:\Users\Administrator\AppData\Roaming\Logs
|
|
File Information
|
Close
|
C:\Windows\appcompat\Programs\Amcache.hve
C:\Windows\appcompat\Programs\Amcache.hve.LOG1
C:\Windows\appcompat\Programs\Amcache.hve.LOG2
C:\ProgramData\Microsoft\Network\Downloader\edb.chk
|
MITRE ATT&CK
|
Reconnaissance
|
T1660 - Phishing
|
|
|
Resource Development
|
-
|
|
|
Initial Access
|
-
|
|
|
Execution
|
T1106 - Native API
T1204.002 - Malicious File
T1059.003 - Windows Command Shell
|
|
|
Persistence
|
T1547.004 - Boot or Logon Autostart Execution: Winlogon Helper DLL
T1624.001 - Event Triggered Execution
T1546.010 - AppInit DLLs
T1547.001 - Registry Run Keys / Startup Folder
|
|
|
Privilege Escalation
|
T1547.004 - Winlogon Helper DLL
T1624.001 - Event Triggered Execution
T1548.002 - Bypass User Account Control
T1546.010 - AppInit DLLs
T1547.001 - Registry Run Keys / Startup Folder
|
|
|
Defense Evasion
|
T1027 - Obfuscated Files or Information
T1140 - Deobfuscate / Decode Files or Information
T1070.004 - File Deletion
T1112 - Modify Registry
T1620 - Reflective Code Loading
T1497.001 - System Checks
T1553.006 - Code Signing Policy Modification
T1070 - Indicator Removal
T1548.002 - Bypass User Account Control
T1497.002 - User Activity Based Checks
T1070.006 - Timestomp
T1497.003 - Time Based Evasion
T1497 - Virtualization / Sandbox Evasion
T1562 - Impair Defenses
T1036.004 - Masquerade Task or Service
T1564.001 - Hidden Files and Directories
|
|
|
Credential Access
|
T1056.001 - Keylogging
T1056.004 - Credential API Hooking
|
|
|
Discovery
|
T1016.001 - Internet Connection Discovery
T1083 - File and Directory Discovery
T1497.001 - System Checks
T1016 - System Network Configuration Discovery
T1614 - System Location Discovery
T1614.001 - System Launguage Discovery
T1057 - Process Discovery
T1082 - System Information Discovery
T1497.002 - User Activity Based Checks
T1497.003 - Time Based Evasion
T1497 - Virtualization / Sandbox Evasion
T1033 - System Owner / User Discovery
T1012 - Query Registry
T1124 - System Time Discovery
T1518 - Software Discovery
T1010 - Application Window Discovery
|
|
|
Lateral Movement
|
-
|
|
|
Collection
|
T1005 - Data from Local System
T1056.001 - Keylogging
T1056.004 - Credential API Hooking
T1074.001 - Local Data Staging
|
|
|
Command and Control
|
T1095 - Non-Application Layer Protocol
T1568.002 - Domain Generation Algorithms
T1544 - Ingress Tool Transfer
T1071.001 - Web Protocols
T1071.004 - Application Layer Protocol: DNS
T1090.002 - External Proxy
|
|
|
Exfiltration
|
T1639.001 - Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol
|
|
|
Impact
|
-
|
|
대응 방법
1. 네트워크 보안 강화
- 네트워크 모니터링: 네트워크 트래픽을 모니터링하여 이상 행위를 탐지하고 악성 행위를 차단할 수 있는 시스템 구축.
- 인터넷 엑세스 제어: C&C 서버와의 통신을 차단하거나 모니터링하여 비정상적인 통신을 탐지하고 차단.
- 인터넷 방화벽 설정: 출발지 IP, 목적지 IP, 포트 등을 기준으로 한 규칙을 설정하여 외부에서의 접근을 제한.
2. 업데이트와 패치 관리
- 시스템과 소프트웨어 업데이트: 시스템 및 소프트웨어 패치를 최신 상태로 유지하여 알려진 취약점을 해결하고 악용을 방지.
- 보안 업데이트 자동화: 업데이트 프로세스를 자동화하여 시스템 보안을 강화하고 시간적 차이를 줄임.
3. 안티바이러스 및 악성 코드 탐지 솔루션
- 실시간 스캔 및 탐지: 실시간으로 파일 및 메모리를 스캔하여 악성 파일을 식별하고 차단.
- 행동 기반 탐지: 파일 시스템, 레지스트리 및 네트워크 활동을 모니터링하여 비정상적인 행위를 탐지.
4. 사용자 교육과 사회적 기밀 공격 대응
- 사용자 교육: 사회 공학적 기법을 통한 공격에 대한 인식과 예방법 교육.
- 이메일 및 첨부 파일 관리: 악성 첨부 파일을 걸러내기 위한 이메일 보안 정책 설정 및 신뢰할 수 없는 첨부 파일의 차단.
5. 보안 감시 및 사건 대응
- 사건 탐지 및 대응: 시스템에서의 이상 징후와 사건을 신속히 탐지하고 분석하여 대응 계획을 수립.
- 보안 사건 관리: 사건 처리, 조사 및 사후 분석을 위한 프로세스 정의와 문서화.
6. 백업 및 복구 전략
- 정기적 백업: 중요한 데이터를 정기적으로 백업하고 이를 안전한 곳에 보관.
- 복구 계획: 데이터 손실 시나리오에 대비하여 신속하고 효과적인 복구 계획 마련.
7. 프로그램 실행 제어 및 권한 관리
- 관리자 권한 제한: 최소 권한 원칙을 적용하여 악성 코드가 실행될 때의 피해를 최소화.
- 실행 가능한 프로그램 제어: 실행 가능한 파일의 목록을 관리하여 악성 실행 파일을 차단하거나 모니터링.
참고