Wins Security Information

악성코드 정보

앞 내용 보기 다음 내용 보기
악성코드 정보PC를 장악할 수 있는 Remcos RAT, 피싱메일 유포
작성일 2020-12-16 조회 159

1. 개요

 

최근 Remcos RAT 악성 코드가 다시 활발하게 유포되고 있다. Remcos RAT에 감염될 시 PC의 제어권과 여러 정보를 탈취 시도한다. 주요 유포경로는 피싱 메일을 통해서 전파되고 있으며 지난 2월부터 유행하기 시작한 코로나바이러스 관련된 내용으로 유포된 사례가 있다. 지금까지도 다양한 주제를 바탕으로 한 피싱 메일이 발견되고 있으므로 사용자들의 각별한 주의가 필요하다.

 

 


<그림1> Remcos 공식 홈페이지. 인터넷상에서 쉽게 구매할 수 있다.

 


<그림2> Remcos RAT 피싱메일, 변호사로 사칭

 

 

 

최근에는 악성 코드에 인증서를 추가하여 안티바이러스 제품들의 회피를 시도하고 있는 모습까지 보인다.

 

 


<그림3> RAT Client 파일이 인증서 서명된 상태로 유포 @JAMESWT_MHT 의 트위터

 

 

 

공격자는 Remcos 전용 관리 프로그램을 통해 다양한 행위를 수행할 수 있게 된다.

 

 


<그림4> 공식사이트에서 확인할 수 있는 RAT 관리툴

 

 

 

1. 악성 행위

 

샘플의 전반적인 동작 흐름도는 다음과 같이 나타낼 수 있다. 

 

 


<그림5> 실제 Remcos Client 실행 흐름

 

 

 

내부에 숨겨져 있는 파일들은 모두 Gzip로 압축되어 있으며 Decompress를 진행하여 메모리상에서만 Load 되어 실행된다. 마지막으로 Load 되는 ClassLibrary3.dll은 자기 자신을 자식 프로세스로 생성한 뒤 실질적인 악성 행위를 수행하는 Remcos.exe(RAT Client)를 인젝션한다.

 

 


<그림6> GZipStream을 이용한 추가 파일 압축해제

 


<그림7> Remcos.exe가 인젝션된 자식 프로세스

 


<그림8> 최종 Dump 파일 목록

 

 

 

Remcos.exe 파일은 감염자 PC에서 처음 실행될 때 리소스에 저장된 정보들을 기반으로 레지스트리를 등록 및 다른 경로로 동일한 파일을 Drop 한다.

 

 


<그림9> 리소스 상에 저장된 RAT Client 설정 Resource(암호화)

 


<그림10> 복호화된 Resource 설정 파일

 


레지스트리 등록

 

 

 

Client의 설정에 따라 레지스트리의 경로와 값은 매번 달라질 수 있다. 
Ex:) msworrrd-YUKKD4, msswordlive, License, 공격자 IP 및 Port 

 

악성 코드가 관리자 권한으로 실행되지 않았을 경우 eventvwr.exe를 통해 UAC Bypass를 시도한다. 이때 윈도우의 빌드 번호가 일정 이상일 때에는 UAC Bypass를 수행하지 않는다.

 

 


<그림11> Windows Build 번호가 15007보다 높으면 생략

 

 

 

또한, 프로그램을 Drop하는 경로와 동작 기능이 권한에 따라 달라진다고 볼 수 있다.
 ●일반 사용자권한

     - %appdata%msssofficeemsworrrd.exe 경로로 복사


 ●관리자 권한

     - WindowsSysWOW64msssofficeemsworrrd.exe 경로로 복사
     - Appdata/Local/Temp 폴더에 install.vbs 파일 Drop 및 실행 후 종료

Install.vbs 스크립트 파일 내용에는 복사했던 파일을 실행시키는 역할을 수행한다.

 

 


<그림12> install.vbs 스크립트 파일

 

 

 

공격자의 서버와 통신을 담당하는 프로세스가 강제로 종료됐을 때를 고려하여 svchost.exe를 자식프로세스로 생성한 뒤 자기 자신을 인젝션 한다. 이 프로세스는 모니터링 전용으로 실행된다.

 

 


<그림13> 모니터링 전용 프로세스 (프로세스 인젝션)

 


<그림14> Client 강제 종료 시 svchost.exe의 자식 프로세스로 다시 생성

 

 

 

이후 공격자의 서버와 연결되기 전에 Offline Keylogger 기능이 활성화된다. PC에서 입력했던 값을 포함하여 어떤 창에서 입력을 진행했는지 기록하여 파일 형태로 Drop 된다. 이 파일 또한 암호화된 상태로 저장된다.

 

 ●Keylogger 기록 파일 Drop 경로

     - Windows/SysWOW64/logs.dat

 

 


<그림15> 복호화된 logs.dat 파일 내용, 어떤 데이터를 복사했는지도 확인할 수 있다.

 

 

 

이전에 설정파일을 복호화했을 때 공격자의 IP와 사용할 Port 번호가 복호화되어서 나왔으며 Connect 함수를 사용하여 연결을 시도하게 된다.