마이크로소프트(Microsoft) 업체에서 제공하는 Windows, Office 제품에 대한 인증 기능을 제공하는 KMSAuto Net 정품 인증툴은 기본적으로 다수의 백신 프로그램에서 HackKMS 계열의 진단명으로 탐지하는 경우가 있으며, 이로 인하여 정품 인증툴 사용 시 백신 탐지를 무시하는 경향이 강합니다.



하지만 이런 점을 이용하여 정품 인증툴에 악성코드를 추가하여 유포하는 사례도 분명히 존재한 것이 사실입니다.

이번 글에서는 2018년 5월경에 유포가 확인된 KMSAuto Net 정품 인증툴에 포함된 NanoCore RAT 악성코드에 대해 살펴보도록 하겠습니다.


  • KMSAuto Net.exe (SHA-1 : 992585b81acaccdb5c89361cdd1c1fd25e0c5ca1 - 알약(ALYac) : Misc.HackTool.AutoKMS)
  • system32.exe (SHA-1 : f185b9c1d1591ee0ab44985a93040768afe802c2 - Microsoft : Backdoor:MSIL/Noancooe.C)

KMSAuto Net.exe 파일(SHA-1 : 781181b002976004f6992b1c3b927cb7018adeb5 - Norton : Trojan.Nancrat) 내부에는 정품 인증 기능을 담당하는 KMSAuto Net.exe 파일과 system32.exe 원격 제어툴(NanoCore RAT)이 포함되어 있습니다.


사용자가 KMSAuto Net 정품 인증툴을 실행할 경우 기본적으로 백신 프로그램의 실시간 감시를 끄거나 탐지 제외 처리를 할 수 있으며, 실행으로 인해 압축 해제된 "C:\Users\%UserName%\AppData\Roaming\system32\qq\KMSAuto Net.exe" 파일 생성 및 실행을 통해 화면 상으로는 "KMSAuto Net 2015 v1.4.2 by Ratiborus" 창이 생성되어 인증 절차를 진행합니다.


하지만 실제로는 이 과정에서 다음과 같은 악성코드가 자동 설치되어 실행될 수 있으며, Windows 운영 체제 종류에 따라 다음과 같이 설치됩니다.


1. Windows 7 운영 체제 기준


생성 폴더 / 파일 등록 정보

C:\Program Files (x86)\TCP Service

C:\Program Files (x86)\TCP Service\tcpsv.exe

C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5

C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\Logs

C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\Logs\%UserName%

C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\run.dat

C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\task.dat

C:\Users\%UserName%\AppData\Roaming\system32\qq

C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe

C:\Windows\System32\Tasks\TCP Service

C:\Windows\System32\Tasks\TCP Service Task

생성 레지스트리 등록 정보

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3D6FBF37-3D77-41F1-B5AD-DDD781D03334}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9A599A0F-E551-4B88-A7B4-B6C7AF1478BD}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TCP Service

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TCP Service Task

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

 - TCP Service = C:\Program Files (x86)\TCP Service\tcpsv.exe


2. Windows 8.1 운영 체제 기준


생성 폴더 / 파일 등록 정보

C:\Program Files (x86)\DSL Subsystem

C:\Program Files (x86)\DSL Subsystem\dslss.exe

C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15

C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\Logs

C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\Logs\%UserName%

C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\run.dat

C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\task.dat

C:\Users\%UserName%\AppData\Roaming\system32\qq

C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe

C:\Windows\System32\Tasks\DSL Subsystem

C:\Windows\System32\Tasks\DSL Subsystem Task

생성 레지스트리 등록 정보

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2C039DB0-8528-492B-86A8-3857FB79BAD6}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F3A99DE4-65C0-42EF-9778-01E7B36CA112}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DSL Subsystem

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DSL Subsystem Task

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

 - DSL Subsystem = C:\Program Files (x86)\DSL Subsystem\dslss.exe


3. Windows 10 운영 체제 기준

생성 폴더 / 파일 등록 정보

C:\Program Files (x86)\IMAP Subsystem

C:\Program Files (x86)\IMAP Subsystem\imapss.exe

C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F

C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\Logs

C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\Logs\%UserName%

C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\run.dat

C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\task.dat

C:\Users\%UserName%\AppData\Roaming\system32\qq

C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe

C:\Windows\System32\Tasks\IMAP Subsystem

C:\Windows\System32\Tasks\IMAP Subsystem Task

생성 파일 진단 정보

C:\Program Files (x86)\IMAP Subsystem\imapss.exe

C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe

 - SHA-1 : f185b9c1d1591ee0ab44985a93040768afe802c2

 - Kaspersky : Trojan.MSIL.Crypt.gobk

생성 레지스트리 등록 정보

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4461ECC6-3DB4-4982-8D97-7F3D4E952306}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A4629CF2-5768-4ADD-B5BA-AD1F1F6183F3}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\IMAP Subsystem

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\IMAP Subsystem Task

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

 - IMAP Subsystem = C:\Program Files (x86)\IMAP Subsystem\imapss.exe



사용자가 KMSAuto Net 정품 인증툴을 실행할 경우 "C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe" 악성 파일을 최초 생성 및 실행하여 자신을 "C:\Program Files (x86)\IMAP Subsystem\imapss.exe" 파일로 자가 복제한 후 Windows 부팅 시 자동 실행되도록 시작 프로그램(Run) 등록값에 추가하여 실행하도록 구성되어 있습니다.



  • IMAP Subsystem : "C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe" $(Arg0)
  • IMAP Subsystem Task : "C:\Program Files (x86)\IMAP Subsystem\imapss.exe" $(Arg0)

또한 작업 스케줄러에 각 악성 파일을 등록하는 동작이 있지만 트리거 정보가 등록되지 않은 관계로 자동 실행 조건은 포함되어 있지 않습니다.



실행된 악성 파일은 8.8.8.8 DNS 서버 주소로 "gandigod.codns.com" C&C 서버로 통신을 지속적으로 시도하고 있으며, 내부 코드를 확인해보면 오픈 소스형 원격 제어 도구로 알려진 NanoCore RAT 계열의 백도어(Backdoor)임을 알 수 있습니다.



참고로 NanoCore RAT 악성코드는 공격자가 원격을 통해 감염 PC 제어, 화면 캡처, 키로깅, 추가적인 악성코드 다운로드 및 설치, 파일 업로드, DDoS 공격 등 다양한 악의적 기능을 수행할 수 있는 것으로 알려져 있습니다.


이번 사례와 같인 많은 사용이 이루어지고 있는 KMSAuto Net 정품 인증툴에 악성코드를 추가하여 감염시키는 공격이 있었으며, 최근에도 해당 악성코드에 감염된 PC가 발견되었으므로 각별한 주의를 하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..