* 출처는 안랩입니다.

안랩이 DLL 사이드 로딩(Side-Loading) 기법을 이용하는 X로더(XLoader) 악성코드의 유포 정황을 확인했다. DLL 사이드 로딩 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행될 때 악성 DLL이 함께 동작하도록 하는 기법이다. 

이번 사례에서는 X로더 실행 시 정상 응용 프로그램 jarsigner가 사용됐다. Jarsigner는 이클립스(Eclipse) 재단에서 배포하는 IDE 패키지를 설치할 때 생성되는 파일로, JAR(Java Archive) 파일에 서명하는 도구이다. 이번 글에서는 Jarsigner를 통해 X로더가 실행되는 과정을 살펴본다.

안랩에 따르면, 유포된 파일은 압축 파일 형태로 유포되며, 내부에는 정상 EXE 파일과 악성 DLL 파일이 포함돼 있다. 이 중 악성 파일은 ‘jli.dl’과 ‘concrt140e.dll’ 두 개뿐이다.

[그림 1] 압축 파일에 포함된 파일

[그림 1]의 정상 파일은 대부분 이클립스 재단의 유효한 인증서를 포함하고 있으나, 두 악성 파일은 서명되어 있지 않다.

– jli.dll: 공격자에 의해 변조된 DLL 파일로, concrt140e.dll 복호화 및 인젝션 수행

– concrt140e.dll: 암호화된 페이로드 (X로더 악성코드)

– Documents2012.exe: 정상 파일(jarsigner.exe)의 파일명 변경

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/35726