2017년 하반기경부터 토렌트(Torrent) 파일 공유 사이트를 통해 꾸준하게 유포되고 있는 Orcus RAT 악성코드가 최근에 RLO(Right-to-Left Override) 방식(오른쪽에서 왼쪽으로 덮어쓰기)을 통해 파일 확장명을 조작하여 실행 파일을 동영상 파일로 위장하여 유포하고 있는 부분을 발견하여 살펴보도록 하겠습니다.
우선 Orcus RAT 악성코드는 블로그를 통해 한 번 정보를 공개한 적이 있으며, 최근에는 한글 워드 프로그램과 같은 사용자들이 많이 찾는 프로그램 속에 악성 파일을 추가하여 지속적으로 감염을 유발하고 있는 것으로 보입니다.
이번 유포와 활용된 콘텐츠는 최근 개봉한 "토르 : 라그나로크(Thor Ragnarok)" 동영상과 자막 파일(SHA-1 : c9cd23e711fb85cc8a8beb39a9a448a78ffdc6a0)이 포함된 것처럼 위장하여 다운로드를 유도하고 있습니다.
다운로드되는 영상 파일명과 확장명 이름 부분을 구분하여 확인해보면 "Thor.Ragnarok.2017.720p.BRRip.X264.AC3 EVO 720 1080p.BluRay.x264 YTS.PEMOC.mp4" 동영상 파일이 아닌 "Thor.Ragnarok.2017.720p.BRRip.X264.AC3 EVO 720 1080p.BluRay.x264 YTS.PE_4pm.COM" 형태의 MS-DOS 응용 프로그램임을 알 수 있습니다.
이미 예전부터 파일 확장명을 조작하여 .exe, .scr 실행 파일을 동영상 파일처럼 위장하는 경우가 있었으며, 이번에는 .com 실행 파일을 동영상 파일처럼 조작한 것이 특징입니다.
그러므로 토렌트를 통해 파일 다운로드 시 exe.mp4 또는 rcs.mp4 또는 moc.mp4와 같은 형태인 경우에는 절대로 실행하지 않도록 주의하시기 바라며, Windows 탐색기의 폴더 옵션에서 반드시 "알려진 파일 형식의 파일 확장명 숨기기" 박스를 체크 해제하여 파일 확장명이 표시되도록 설정하시고 사용하시기 바랍니다.
실제 다운로드된 파일의 유형 정보를 보면 .mp4 동영상 파일은 "MS-DOS 응용 프로그램"이며, 자막 파일은 .smi 확장명 그대로 추가되어 있는 것을 알 수 있습니다.
우선 자막 파일(Thor.Ragnarok.2017.720p.BRRip.X264.AC3 EVO 720 1080p.BluRay.x264 YTS.PEMOC.smi)의 코드를 확인해보면 자막이 포함된 것이 아닌 POSIX Threads for Win32 오픈 소스 프로그램 관련 정상 파일(.DLL)로 확인되고 있습니다.
다운로드된 .mp4 동영상 파일로 위장한 1.79GB 파일 크기의 악성 파일을 확인해보면 PE 실행 파일임을 알 수 있습니다.
특히 실행 파일(.com)을 동영상 파일처럼 파일 크기를 증가하기 위해 악성코드 영역은 Offset 0xE3209까지 작성한 후 나머지 영역은 파일 용량 증가를 위한 Padding 코드가 포함되어 있습니다.
해당 악성코드는 분석 방해 목적으로 가상 환경에서 실행할 경우 "This application could not be started. Do you want to view information about this issue?" 메시지를 생성하는 동작 후 종료되어 더 이상 진행되지 않도록 제작되어 있습니다.
만약 사용자가 메시지 창에서 예(Y) 버튼을 클릭할 경우 마이크로소프트(Microsoft) 사이트에서 제공하는 .NET Framework 관련 정보로 연결됩니다.
정상적으로 실행 조건에서 사용자가 토렌트(Torrent)를 통해 다운로드한 동영상 파일로 위장한 악성 파일(SHA-1 : 0c4de46d28eaa6ab8cd1a4a0d9463cc56f4e2bc0 - Microsoft : Backdoor:MSIL/Orcus.A!bit)을 실행할 경우 어떤 행위가 발생하는지 보겠습니다.
생성 폴더 / 파일 등록 정보 |
C:\Users\%UserName%\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\as.exe.log C:\us\as.exe.config
|
생성 파일 진단 정보 |
C:\Users\%UserName%\AppData\Roaming\OrcusWatchdog.exe
|
실행된 동영상 위장 악성 파일은 "C:\us\as.exe" 파일명으로 자가 복제하여 생성되며, 파일 속성이 숨김(H), 시스템(S)으로 설정되어 Windows 탐색기 기본값에서는 표시되지 않으므로 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제와 "숨김 파일, 폴더 및 드라이브 표시"에 체크한 후 파일을 찾으시기 바랍니다.
해당 악성코드는 "Orcus Respawner" 작업 스케줄러로 등록되어 5분 주기로 "C:\us\as.exe" 악성 파일을 자동 실행하도록 구성되어 있습니다.
이를 통해 "6012.punkdns.pw (203.229.109.13)" C&C 서버와 통신을 통해 추가적인 명령어를 받을 수 있으며, 다음과 같은 감염 PC에서 수집된 키로깅(Keylogger) 정보를 Orcus 서버로 유출할 수도 있습니다.
이번 악성코드는 감염된 후 사용자가 실행된 프로그램 창 정보, 사용자가 입력한 키 정보 등을 "C:\Users\%UserName%\AppData\Roaming\audio\klg_<Random>.dat" 파일에 Base64 인코딩 방식으로 저장한 후 외부로 유출할 수 있습니다.
특히 Orcus RAT 악성코드는 사용자에 의한 종료를 방해할 목적으로 실행된 as.exe, OrcusWatchdog.exe 2개의 프로세스가 서로에 대한 보호 기능을 포함하고 있습니다.
그러므로 작업 관리자를 통한 해당 프로세스 종료가 매우 어려우므로 Process Hacker와 같은 프로세스 관리 프로그램을 통해 2개의 프로세스를 함께 선택한 후 종료하시기 바랍니다.
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
|
Orcus RAT 악성코드에 감염된 경우 개인정보 및 금융 정보 수집을 통한 추가적인 피해, 웹캠(Webcam) 접근, 추가적인 파일 다운로드 등을 통해 공격자의 좀비 PC로 악용될 수 있으므로 토렌트와 같은 파일 공유 서비스 이용 시 다운로드된 파일의 확장명을 세심하게 살펴보는 습관을 가지시기 바랍니다.