Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

악성코드 정보

앞 내용 보기 다음 내용 보기
악성코드 정보ISO 파일로 위장한 NanoCore RAT
작성일 2020-06-19 조회 673

1. 개요

최근 멕시코, 루마니아 등 다양한 국가를 타깃으로 하여 COVID-19 검사 안내, 경찰 소환장 등 다양한 주제의 악성 메일이 유포되고 있다. 메일 첨부 파일에는 ISO 파일이 존재하며, 메일 본문에서 첨부 파일 확인을 유도한다. ISO 파일 내부에는 실행 파일이 포함되어 있어 해당 파일이 실행되면 NanoCore RAT에 사용자 PC가 감염된다.

 

 

경찰 소환장으로 위장한 악성 메일

[그림 1] 경찰 소환장으로 위장한 악성 메일

 

 

 

2. 악성행위

공격자는 악성 행위 실행 여부를 판단하는 스트링이 하드 코딩되어 있다. 해당 값에 따라서 추가 악성코드 다운로드, WindowsDefender 비활성화, 가상 머신 탐지 등과 같은 악성 행위의 실행 여부가 결정된다. 

 

 

악성 행위 실행 여부 변숫값

[그림 2] 악성 행위 실행 여부 변숫값

 

 

 

Windows Defender 비활성화와 가상 환경일 경우 실행을 종료하는 루틴이 존재한다. 해당 악성코드에서 Windows Defender 비활성화 루틴은 실행되지 않으며, 현재 감염 PC가 VirtualBox, VMWare, SandBox에 해당하는지 확인하고, 가상 머신일 경우 악성코드가 종료된다.

 

 

가상머신 탐지

[그림 3] 가상 머신 탐지

 

 

 

APPDATA 디렉터리에 xVEKxdAhypkAtW.exe 파일이 존재하지 않을 경우 본파일을 복제하고, 작업 스케줄러에 등록하여 사용자가 로그온할 때 마다 실행되도록 한다.

 

 

작업 스케줄러 등록

[그림 4] 작업 스케줄러 등록

 

 

 

메모리에 존재하는 NanoCore RAT은 정상 프로그램에 인젝션되어 실행된다. 인젝션 대상으로는 MSBuild.exe, vbc.exe, RegSvcs.exe가 있다. 

 

 

NanoCore RAT 실행

[그림 5] NanoCore RAT 실행

 

 

 

NanoCore RAT에 감염되면 추가 악성코드를 다운로드하거나 키로깅 등을 통해 정보 탈취가 가능하다. 키로깅한 데이터는 %AppDate%Roaming[Guid]Logs 디렉터리에 'KB_[랜덤].dat' 파일명으로 저장된다. 

 

 

키로깅

[그림 6] 키로깅

 

 

 

3. APTX 탐지 현황

현재 윈스의 SNIPER APTX에서는 해당 악성코드에 대해 아래와 같이 탐지/분석하고 있다.

 

 

APTX 탐지/분석 보고서

[그림 7] APTX 탐지/분석 보고서

 

 

 

4. IOC

Invitatia,pdf.iso
9f69e935606c67c6d5de10999fa9289d

 

NanoCore RAT
b00cccf307c475c0291b0845c3b69c54

 

SurveillanceExClientPlugin.dll
9c8242440c47a4f1ce2e47df3c3ddd28

 

172[.]111[.]188[.]199

 

첨부파일 첨부파일이 없습니다.
태그 NanoCore RAT  ISO