KMSAuto Net 정품 인증툴에 포함된 NanoCore RAT 악성코드 주의 (2018.11.3)

마이크로소프트(Microsoft) 업체에서 제공하는 Windows, Office 제품에 대한 인증 기능을 제공하는 KMSAuto Net 정품 인증툴은 기본적으로 다수의 백신 프로그램에서 HackKMS 계열의 진단명으로 탐지하는 경우가 있으며, 이로 인하여 정품 인증툴 사용 시 백신 탐지를 무시하는 경향이 강합니다.

KMSpico 윈도우 정품 인증툴로 위장한 Domino 랜섬웨어 주의 (2016.8.29)

KMSPico 정품 인증툴 설치 시 추가되는 가상 화폐 채굴 기능 주의 (2017.12.24)

하지만 이런 점을 이용하여 정품 인증툴에 악성코드를 추가하여 유포하는 사례도 분명히 존재한 것이 사실입니다.

이번 글에서는 2018년 5월경에 유포가 확인된 KMSAuto Net 정품 인증툴에 포함된 NanoCore RAT 악성코드에 대해 살펴보도록 하겠습니다.

KMSAuto Net.exe (SHA-1 : 992585b81acaccdb5c89361cdd1c1fd25e0c5ca1 - 알약(ALYac) : Misc.HackTool.AutoKMS)

system32.exe (SHA-1 : f185b9c1d1591ee0ab44985a93040768afe802c2 - Microsoft : Backdoor:MSIL/Noancooe.C)

KMSAuto Net.exe 파일(SHA-1 : 781181b002976004f6992b1c3b927cb7018adeb5 - Norton : Trojan.Nancrat) 내부에는 정품 인증 기능을 담당하는 KMSAuto Net.exe 파일과 system32.exe 원격 제어툴(NanoCore RAT)이 포함되어 있습니다.

사용자가 KMSAuto Net 정품 인증툴을 실행할 경우 기본적으로 백신 프로그램의 실시간 감시를 끄거나 탐지 제외 처리를 할 수 있으며, 실행으로 인해 압축 해제된 "C:\Users\%UserName%\AppData\Roaming\system32\qq\KMSAuto Net.exe" 파일 생성 및 실행을 통해 화면 상으로는 "KMSAuto Net 2015 v1.4.2 by Ratiborus" 창이 생성되어 인증 절차를 진행합니다.

하지만 실제로는 이 과정에서 다음과 같은 악성코드가 자동 설치되어 실행될 수 있으며, Windows 운영 체제 종류에 따라 다음과 같이 설치됩니다.

1. Windows 7 운영 체제 기준

생성 폴더 / 파일 등록 정보

C:\Program Files (x86)\TCP Service

C:\Program Files (x86)\TCP Service\tcpsv.exe

C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5

C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\Logs

C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\Logs\%UserName%

C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\run.dat

C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\task.dat

C:\Users\%UserName%\AppData\Roaming\system32\qq

C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe

C:\Windows\System32\Tasks\TCP Service

C:\Windows\System32\Tasks\TCP Service Task

생성 레지스트리 등록 정보

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3D6FBF37-3D77-41F1-B5AD-DDD781D03334}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9A599A0F-E551-4B88-A7B4-B6C7AF1478BD}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TCP Service

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TCP Service Task

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

- TCP Service = C:\Program Files (x86)\TCP Service\tcpsv.exe

2. Windows 8.1 운영 체제 기준

생성 폴더 / 파일 등록 정보

C:\Program Files (x86)\DSL Subsystem

C:\Program Files (x86)\DSL Subsystem\dslss.exe

C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15

C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\Logs

C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\Logs\%UserName%

C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\run.dat

C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\task.dat

C:\Users\%UserName%\AppData\Roaming\system32\qq

C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe

C:\Windows\System32\Tasks\DSL Subsystem

C:\Windows\System32\Tasks\DSL Subsystem Task

생성 레지스트리 등록 정보

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2C039DB0-8528-492B-86A8-3857FB79BAD6}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F3A99DE4-65C0-42EF-9778-01E7B36CA112}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DSL Subsystem

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DSL Subsystem Task

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

- DSL Subsystem = C:\Program Files (x86)\DSL Subsystem\dslss.exe

3. Windows 10 운영 체제 기준

생성 폴더 / 파일 등록 정보

C:\Program Files (x86)\IMAP Subsystem

C:\Program Files (x86)\IMAP Subsystem\imapss.exe

C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F

C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\Logs

C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\Logs\%UserName%

C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\run.dat

C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\task.dat

C:\Users\%UserName%\AppData\Roaming\system32\qq

C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe

C:\Windows\System32\Tasks\IMAP Subsystem

C:\Windows\System32\Tasks\IMAP Subsystem Task

생성 파일 진단 정보

C:\Program Files (x86)\IMAP Subsystem\imapss.exe

C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe

- SHA-1 : f185b9c1d1591ee0ab44985a93040768afe802c2

- Kaspersky : Trojan.MSIL.Crypt.gobk

생성 레지스트리 등록 정보

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4461ECC6-3DB4-4982-8D97-7F3D4E952306}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A4629CF2-5768-4ADD-B5BA-AD1F1F6183F3}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\IMAP Subsystem

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\IMAP Subsystem Task

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

- IMAP Subsystem = C:\Program Files (x86)\IMAP Subsystem\imapss.exe

사용자가 KMSAuto Net 정품 인증툴을 실행할 경우 "C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe" 악성 파일을 최초 생성 및 실행하여 자신을 "C:\Program Files (x86)\IMAP Subsystem\imapss.exe" 파일로 자가 복제한 후 Windows 부팅 시 자동 실행되도록 시작 프로그램(Run) 등록값에 추가하여 실행하도록 구성되어 있습니다.

IMAP Subsystem : "C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe" $(Arg0)

IMAP Subsystem Task : "C:\Program Files (x86)\IMAP Subsystem\imapss.exe" $(Arg0)

또한 작업 스케줄러에 각 악성 파일을 등록하는 동작이 있지만 트리거 정보가 등록되지 않은 관계로 자동 실행 조건은 포함되어 있지 않습니다.

실행된 악성 파일은 8.8.8.8 DNS 서버 주소로 "gandigod.codns.com" C&C 서버로 통신을 지속적으로 시도하고 있으며, 내부 코드를 확인해보면 오픈 소스형 원격 제어 도구로 알려진 NanoCore RAT 계열의 백도어(Backdoor)임을 알 수 있습니다.

<ReverseNote 블로그> NanoCore RAT (2017.3.30)

참고로 NanoCore RAT 악성코드는 공격자가 원격을 통해 감염 PC 제어, 화면 캡처, 키로깅, 추가적인 악성코드 다운로드 및 설치, 파일 업로드, DDoS 공격 등 다양한 악의적 기능을 수행할 수 있는 것으로 알려져 있습니다.

이번 사례와 같인 많은 사용이 이루어지고 있는 KMSAuto Net 정품 인증툴에 악성코드를 추가하여 감염시키는 공격이 있었으며, 최근에도 해당 악성코드에 감염된 PC가 발견되었으므로 각별한 주의를 하시기 바랍니다.

2019.01.24 12:42 댓글주소 수정/삭제 댓글쓰기

비밀댓글입니다
- 울지않는 벌새 2019.01.24 13:24 신고 댓글주소 수정/삭제
  
  정품 인증툴에 따라서 이런 악성코드가 추가적으로 포함된 경우도 있고 아닌 경우도 있습니다.
  
  하지만 기본적으로 백신으로 검사할 경우 정품 인증툴은 대부분 탐지가 되므로 내부에 추가 악성코드가 존재한지 여부는 파일 분석을 하거나 아니면 가상 환경에서 사전에 한 번 설치하여 추가 감염 여부를 확인하는 방법 외에는 없습니다.
2019.02.03 16:41 댓글주소 수정/삭제 댓글쓰기

비밀댓글입니다
- 울지않는 벌새 2019.02.04 00:19 신고 댓글주소 수정/삭제
  
  백신이 탐지할 수 있으면 차단할거고 아직 확인하지 못해서 미탐지일 수도 있습니다.
나그네 2019.02.21 22:40 댓글주소 수정/삭제 댓글쓰기

악성인지 궁금하신분들은 이스트소프트,안랩 홈페이지가면 신고하기 눌러서 해당파일을 분석요청해보세요!
- 훔냥 2019.02.24 22:11 댓글주소 수정/삭제
  
  분석요청 보내면 자동답변뿐이에요 인증핵은 정밀분석도 안해줘요
- 사람 2019.09.03 16:06 댓글주소 수정/삭제
  
  차라리 바이러스토탈이 더 나을텐데요
2019.02.24 22:10 댓글주소 수정/삭제 댓글쓰기

비밀댓글입니다
- 울지않는 벌새 2019.02.24 22:31 신고 댓글주소 수정/삭제
  
  언급하신 2개 항목은 윈도우 인증에 필요한 구성 요소입니다.
  
  백신에서 그 외에 탐지된게 없다면 문제는 없을겁니다.
lukas.j.han 2019.07.10 19:07 댓글주소 수정/삭제 댓글쓰기

이러한 위협에서 벗어나려면 SW 정품을 사용하는 수밖에 없죠.
크랙툴에 악성코드를 포함시켜 배포하는 나쁜 사람들이 많아요.
랜섬웨에라든지.. 랜섬웨어라든지.. ㄷㄷ
랜섬웨어라니 2019.07.18 05:05 댓글주소 수정/삭제 댓글쓰기

그래서 이걸 어떻게 지우나요 ...
- 울지않는 벌새 2019.07.24 16:14 신고 댓글주소 수정/삭제
  
  백신 프로그램으로 정밀 검사를 해보시기 바랍니다.
  
  모든 해당 인증툴이 이런 악성코드 감염을 유발하지는 않습니다.
질문자 2019.07.18 17:22 댓글주소 수정/삭제 댓글쓰기

KmsAuto Net으로 윈도우 10 설치했는데요...

그 윈도우 10 운영체제 기준으로 작성하신 폴더 레지스트리 전부 찾아봤는데 안 보이면 괜찮은 건가요? 물론 숨김폴더 전부 공개 상태에서 찾아보았습니다.
- 울지않는 벌새 2019.07.24 16:14 신고 댓글주소 수정/삭제
  
  이 글에서 언급한 인증툴은 악의적으로 제작된 것으로 일반적인 인증툴에서는 존재하지 않습니다.
  
  백신 프로그램 실시간 보호가 켜져 있다면 쉽게 감염되지는 않을겁니다.