* 출처는 안랩입니다.

 김수키는 초기 침투 이후 감염 대상 시스템을 제어하기 위해 원격 제어 악성코드를 설치한다. 

원격 제어 악성코드를 설치한 이후에는 키로거, 정보 탈취형 악성코드를 설치해 최종적으로 조직의 내부 정보 또는 기술을 탈취한다. 최근 확인된 악성코드는 아마데이(Amadey), RftRAT으로, 오토잇(AutoIt) 언어로 제작된 점이 특징이다. 

이번 글에서는 김수키가 이 두 악성코드를 사용해 공격을 전개한 과정을 자세히 알아보자.

올해 다수의 공격 사례에서 김수키가 아마데이 악성코드를 설치한 정황이 확인됐다. 아마데이는 C&C 서버로부터 추가 악성코드를 설치하는 다운로더 악성코드로, 감염 대상 시스템의 기본 정보를 전송하거나 스크린샷, 웹 브라우저 및 이메일 클라이언트에 저장된 계정 정보를 탈취하기도 한다. 특히 김수키가 사용하는 아마데이는 DGA를 지원하는데, DGA는 정해진 형태가 아닌 동적으로 C&C 서버 주소를 생성하는 알고리즘이다. 김수키는 날짜를 기반으로 C&C 서버 도메인을 생성해 이를 보조 C&C 서버로 활용한다.

[그림 1] 아마데이의 DGA 알고리즘

김수키는 드로퍼를 이용해 아마데이를 설치하는데, 이때 드로퍼는 DLL 포맷이다. 이 드로퍼는 [그림 2]와 같이 %PUBLIC% 경로에 이름이 무작위로 설정된 폴더를 숨김 속성으로 생성하고, 해당 폴더 내부에 존재하는 파일들을 드롭한다. 생성된 파일들 중에는 아마데이를 포함한 압축 파일도 존재하는데, 용량이 300MB 이상으로 매우 크다. 이는 보안 솔루션을 우회하기 위해 용량을 키운 것으로 추정된다.

[그림 2] Public 경로에 생성된 아마데이 관련 파일들

이후 “%ALLUSERSPROFILE%\Startup” 경로를 생성하고 시작 폴더에 등록한다. 여기에는 지속성 유지를 담당하는 “svc.vbs”라는 이름의 스크립트가 생성된다. Rundll32.exe 프로세스에 의해 로드 및 실행되는 아마데이는 svchost.exe 프로세스를 거쳐 최종적으로 iexplore.exe 프로세스에 인젝션된다.

[그림 3] C&C 서버에 전송되는 감염 시스템 정보

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=34259&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=996