학술논문으로 위장하여 유포 중인 RokRAT 악성코드 주의!

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.  

현재 기고 중인 국방 분야 학술논문으로 위장하여 RokRAT 악성코드를 유포하는 공격이 발견되어 관련자 분들의 각별한 주의가 필요합니다.

 

학술 논문으로 위장한 악성 파일은 LNK (바로가기) 파일로 내부에 파워쉘 코드가 포함되어 있습니다.

 

[그림 1] 악성 LNK 파일 속성 화면

 

[그림 2] LNK 파일 내부 파워쉘 코드

 

LNK 파일이 실행되면, 파워쉘 명령어를 통해 LNK 파일에 내장된 여러 파일이 추출 및 생성됩니다.
이 과정에서 LNK 파일과 동일한 경로에 디코이 PDF 파일이 생성되며, %TEMP% 폴더에는 toy01.dat, toy02.dat, toy03.bat 파일이 생성됩니다.

 

파일명	오프셋	사이즈	행위
(LNK파일명).pdf	0x000010E4	0x2A7965	디코이 파일
toy01.dat	0x002A8A49	0xD9190	인코딩된 RokRAT 악성코드
toy02.dat	0x00381BD9	0x634	toy01.dat 파일 실행
toy03.bat	0x0038220D	0x14C	toy02.dat 파일 실행

[표 1] 생성된 파일 목록

 

파일 생성이 끝나면 생성된 PDF 파일과 toy03.bat 파일을 실행한 뒤 LNK 파일은 자가 삭제됩니다.

 

실행된 PDF 파일은 디코이(미끼 파일) 파일로 사용된 정상 파일이며, 이로 인해 사용자는 논문 파일이 실행된 것으로 착각하고 감염 사실을 인지하지 못하게 됩니다.

 

 

[그림 3] 생성된 정상 PDF 파일

 

toy03.bat 파일은 파워쉘을 통해 toy.02.dat 파일 내부의 스크립트 코드를 실행합니다.

 

[그림 5] toy02.dat 스크립트 실행

 

toy.02.dat 파일은 toy01.dat 파일 내부의 데이터를 읽어와 해당 데이터의 각 바이트를 ‘1’(0x31) 과 XOR 연산을 이용해서 복호화 합니다.

 

[그림 6] toy01.dat 복호화 코드

 

[그림 7] toy01.dat 복호화 전(좌) / 후(우)

 

복호화된 쉘코드(shellcode)는 스레드를 통해 메모리에 직접 로드되어 실행되며, 파일을 생성하지 않는 Fileless 방식으로 동작합니다.

 

[ 그림 8] 쉘코드(shellcode) 실행 코드

 

최종 실행된 데이터는 RokRAT 악성코드로 확인되었으며, 해당 악성코드는 감염 PC의 시스템 정보와 사용자 정보를 수집하고 공격자의 명령에 따라 다양한 악성 행위를 수행할 수 있습니다.

또한 pcloud, yandex, DropBox 등과 같은 합법적인 클라우드 서비스를 C2로 활용하는 특징이 있습니다.

 

현재 알약에서 해당 악성코드에 대해 Trojan.Agent.LNK.Gen 으로 탐지하고 있습니다.

 

Ioc

2f431c4e65af9908d2182c6a093bf262

5673019b36eca2cb5ce27f206f49b594

46ca088d5c052738d42bbd6231cc0ed5

723f80d1843315717bc56e9e58e89be5