최근 디시인사이드(DCInside) 커뮤니티에 대량의 게시글 작성을 통해 GoBot2 악성코드 유포 행위가 지속적으로 발생하고 있는 것으로 확인되어 살펴보도록 하겠습니다.

 

 

안랩(AhnLab) 보안 업체에서 공개한 정보에 의하면 2018년 6월 초부터 음란 사진 또는 동영상이 포함된 형태로 유포가 진행되었다고 밝히고 있으며, 이 글을 작성하는 현재 시점에서도 유포 활동이 확인되고 있는 상태입니다.

 

 

우선 악성 파일을 살펴보면 Go 언어로 제작되어 GitHub에 GoBot2 소스가 공개된 상태이며, 해당 봇넷(Botnet)의 기능은 GitHub에서 확인할 수 있습니다.

 

 

악성코드 유포 방식을 살펴보면 디시인사이드(DCInside) 커뮤니티의 각종 게시판에 ZIP 압축 파일에 동봉된 분실폰셀카 사진을 볼 수 있다는 대량의 게시글이 등록되고 있는 것을 확인할 수 있습니다.

 

 

세부적으로 살펴보면 게시글에 포함된 셀카유출.zip 링크를 클릭할 경우 해외 단축 URL 서비스(ipsite.org)로 연결되도록 작성되어 있습니다.

 

 

이를 통해 최종적으로 구글(Google)에 업로드되어 있는 ZIP 압축 파일(여고생유출텀블러.zip)을 다운로드하는 방식입니다.

 

 

다운로드된 ZIP 압축 파일을 해제한 후 Windows 탐색기(기본 설정값)를 통해 확인해보면 4개의 음란성 여성 사진과 함께 thumb.mp4 파일이 보입니다.

 

하지만 thumb.mp4 파일 크기는 2,163 바이트(Bytes)이며 동영상 파일이 아닌 바로 가기(.lnk) 파일임을 알 수 있습니다.

 

 

만약 폴더의 보기 옵션에서 "숨김 파일"이 표시되도록 설정한 후 압축 해제된 폴더를 확인해보면 기본에 노출되지 않던 3개의 파일이 추가적으로 표시되는 것을 알 수 있습니다.

 

즉, thumb.jpg, thumb.txt, thumb.vbs 3개의 파일은 숨김(H) + 읽기 전용(R) 파일 속성값을 가지고 있기에 Windows 탐색기 기본 설정 환경에서는 노출되지 않았었습니다.

 

 

압축 해제된 파일을 확인한 사용자가 thumb.mp4 바로 가기(.lnk) 파일(SHA-1 : cf85318d97b0b5d2cdeed9a2e7e9b09dcd5bfbae - AhnLab V3 : LNK/Runner)을 동영상 파일로 착각하고 실행할 경우 "%windir%\system32\cmd.exe hidden cmd /c @start thumb.vbs" 명령어가 실행되도록 구성되어 있습니다.

 

 

이를 통해 실행된 thumb.vbs 파일(SHA-1 : dacdce0de0572e259a1beaa633dd41c667a720e0 - AhnLab V3 : VBS/Runner)은 "cmd.exe /c @start thumb.jpg & cmd /c @start thumb.txt" 명령어 실행을 통해 2개의 파일을 동시에 실행하게 됩니다.

 

 

화면 상으로는 숨김(H) 파일 속성값으로 숨어있던 thumb.jpg 그림 파일을 실행하여 정상적으로 분실폰 셀카 사진을 보여주는 것처럼 속입니다.

 

 

하지만 이와 동시에 추가적으로 실행된 thumb.txt 파일(SHA-1 : a6f3cf15da272a7d77697014c462e052ead0d7d2 - Microsoft : Trojan:Win32/Azden.B!cl)은 텍스트 문서 파일이 아닌 실행 가능한 PE 파일로 구성되어 있기에 실행됩니다.

 

출처 : https://www.malwares.com

 

참고로 실행된 thumb.txt 파일은 x64 운영 체제 환경에서만 동작하며, Themida 패킹으로 제작되어 특정 분석 도구가 실행 중인 경우에는 자동 종료 처리되도록 구성되어 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\Users\%UserName%\AppData\Roaming\<Random>.exe :: 숨김(H) + 시스템(S) 파일 속성, 다양한 파일명(AppServices.exe, BCU.exe, conhost.exe, realsched.exe 등)으로 생성

 - SHA-1 : a6f3cf15da272a7d77697014c462e052ead0d7d2

 - ESET : a variant of Win64/Kryptik.BGV

 

C:\Users\%UserName%\AppData\Roaming\ServiceHelper.exe :: 숨김(H) + 시스템(S) 파일 속성

 - SHA-1 : a6f3cf15da272a7d77697014c462e052ead0d7d2

 - ESET : a variant of Win64/Kryptik.BGV

 

실행된 thumb.txt 파일은 자기 자신을 %AppData% 폴더 영역에 숨김(H) + 시스템(S) 파일 속성값을 가진 파일로 2개 생성됩니다.

 

 

또한 "HKEY_CURRENT_USER\Software\Microsoft Partners" 레지스트리 값을 추가하여 GoBot2 설치 정보가 기록됩니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - <Random 파일명> = C:\Users\%UserName%\AppData\Roaming\<Random>.exe
 - ServiceHelper = C:\Users\%UserName%\AppData\Roaming\ServiceHelper.exe

이후 Windows 부팅 시마다 자동 실행되도록 시작 프로그램 등록값에 2개의 파일을 추가합니다.

 

 

실제 동작하는 프로세스 형태를 살펴보면 각각의 파일이 실행되어 지속적으로 시작 프로그램 등록 레지스트리 값과 파일 속성값이 수정되지 않도록 반복적인 등록 행위를 수행합니다.

 

또한 ServiceHelper.exe 파일은 악의적인 기능을 수행하는 또 다른 자신인 <Random>.exe 파일이 종료되지 않도록 프로세스 보호 기능을 수행합니다.

 

참고로 프로세스를 종료하기 위해서는 ServiceHelper.exe 프로세스를 먼저 종료한 후 <Random>.exe 프로세스를 찾아 추가적으로 종료하시기 바랍니다.

 

 

기본적인 기능을 살펴보면 "checkip.amazonaws.com" 서비스를 통해 감염자 PC의 IP 정보를 체크합니다.

 

 

이후 국내(IP)로 확인되는 "h**ps://jtbcsupport.site:7777 (103.60.126.215)" C&C 서버와의 암호화된 통신을 시도하는 것을 확인할 수 있습니다.

 

 

통신 내역을 확인해보면 "jtbcsupport.site:7777" C&C 서버와의 지속적인 통신을 통해 감염된 정보를 체크하는 것으로 보입니다.

 

wmic NIC where " NetEnabled=true" get Name , Speed
cmd /C "WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List"
cmd /C "wmic cpu get name"
cmd /C "wmic path win32_VideoController get name"
cmd /C systeminfo

cmd /C "netsh wlan show profile name=* key=clear"

이후 감염된 PC에 설치되어 있는 안티바이러스(AntiVirus) 프로그램 이름, CPU 정보, GPU 정보, 시스템 정보, 네트워크 구성 정보, 와이파이(Wi-Fi) 정보 등을 체크하는 것으로 파악되고 있습니다.

 

이를 통해 C&C 서버의 명령에 따라 감염된 PC에서의 스크린 샷 및 키로거(Keylogger) 정보 수집을 통한 유출, DDoS 공격, 관리자 권한 획득을 통한 다양한 악의적 행위  등을 수행할 수 있습니다.

 

그러므로 국내 최대 규모의 커뮤니티를 통해 유포되고 있는 자극적인 파일로 위장한 GoBot2 악성코드 유포에 속아 파일을 실행하는 일이 없도록 각별히 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..