Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향레지스트리에 숨어서 실행되는 DarkWatchman 악성코드 발견
작성일 2021-12-21 조회 2970

DarkWatchman 이라고 불리는 새로운 악성코드가 발견됬다. 해당 악성코드는 가볍고 성능이 뛰어난 RAT으로 Persion 보안 연구원들은 "이 악성코드는 주로 러시아 사이버 범죄 조직들에게 의해 사용되고 있다." 고 밝혔다. DarkWatchman는 11월 초 피싱 이메일에 zip 형태로 첨부된 파일에서 처음 발견됬다.

 


[그림1. 피싱메일]

 

 

 


[그림2. 압축 파일 컨텐츠 내용]

 

 

 

DarkWatchman은 자바 스크립트 형태의 매우 가벼운 악성코드로 크기는 32kb에 불과한 것으로 확인됬다. 또한,  일부 기능이(키로거) 레지스트리에 저장되어 일명 Fileless 형태로 동작 한다는 것이다. 악성코드는 감염 PC의 지속성을 유지하기 위해 윈도우 스케줄러를 이용 했으며, 키로거 기능을 Powershell Script로 컴파일 해 메모리상에서 실행되도록 했다.

 


[그림3. 스케줄러에 등록된 악성코드]

 

 

 

연구원들은 "키로거 소스코드는 Base64 형태로 레지스트리에 저장된다. 독자적인 C2와 통신하는 기능은 없으며 입력값들을 레지스트리에 저장하는 역할을 수행한다. 추후 저장된 입력값들은 RAT에서 읽어온 뒤 삭제되며 C2서버로 전송하게 된다." 고 설명했다.

 


[그림4. 난독화된 키로거 소스코드]

 

 

 

악성코드는 C2 통신 시 DGA(domain generation algorithms)를 사용해 C2와 연결되며, 최대 10개 항목의 시드 리스트를 통해 매일 500개 정도의 도메인을 생성하고 있는 것으로 확인됬다. 때문에 운영 탄력성이 뛰어나고 동시에 모니터링 분석이 매우 어려워질 수 있다.

 

보안 연구원들은 "현재 Darkwatchman은 감염PC의 제어권을 장악할 수 있는 여러 기능들이 존재한다. 때문에 추가 악성코드 및 악성 페이로드를 설치하도록 하는 초기 침투 도구로 사용될 수 있다." 며 신원이 확인되지 않은 메일을 받았을 경우 첨부파일 열람에 주의할 것을 당부했다.

 

출처:

https://www.bleepingcomputer.com/news/security/new-stealthy-darkwatchman-malware-hides-in-the-windows-registry/

첨부파일 첨부파일이 없습니다.
태그 Darkwatchman