Uboat Rat 악성코드 분석 보고서

---

목차

• 개요

감염 경로

감염 증상

• 동적 분석

UnPacking

가상 환경 (Virtual Machine) 탐지 코드 패치 우회

Uboat Rat 악성 행위 분석

• 대응 방안

 

---

 

개요

UBoat Rat은 2017년 5월에 발견된 악성코드 이며, 악성 파일의 이름은 "2017년 연봉 인상 문의 사항 관련 피드백 조사.exe"라는 형태로 한국어를 사용하여 공격 대상을 한국으로 두어 배포 되어진걸로 보인다. 해당 악성 파일은 VMWare, VirtualBox 등 가상화 소프트웨어를 탐지하여 실행하지 않도록 하는 조건으로 제작 되었다.

 

[그림] https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/]

 

감염 경로

1. 공격자가 메일이나 웹사이트에 배포하여 상대방이 파일을 열람하도록 유도

2. 사용자가 실제론 EXE 실행 파일이지만 엑셀 모양의 아이콘으로 인식하여 아무런

   경계 없이 실행

3. 실행이 된 악성 파일은 재부팅 후에도 악성 파일이 작동을 할 수 있도록

   레지스트리 변조 및 원본 악성 파일 다른 폴더로 복사 후 숨김 명령 실행

4. 감염 된 컴퓨터는 지속적으로 실행 된 악성 파일에 의해 공격자 서버(C&C)랑 통신

   할 수 있도록 연결

 

*C&C : 외부에서 감염 된 컴퓨터로 통신 제어를 하기 위해 만들어둔 악성 서버

 

감염 증상

감염 증상은 컴퓨터 사용하기에는 아무런 이상 없이 사용이 가능하며, 악성 코드는  백그라운드(Background)에서 활동 한다. 그리고 C:\ProgramData\ 폴더에 .exe , ddd.bat 파일이 생성 되어 있으며, 프로세스 관리자 작업 창에는 특정 프로세스.exe가 종료 되었다 실행되었다 반복적으로 움직이는 행위가 보임

 

---

 

동적 분석

UnPacking

[분석 대상 악성 파일]

 

- 패킹 확인 결과 UPX 3.91로 패킹이 되어 있음

 

- UPX로 패킹 된 어셈블리어를 추적하여 OEP (Original Entry Point) 찾은 후 OEP

  구간에서 파일 DUMP

 

- 패킹이 해제 된 DUMP 파일을 실행 가능하도록 기존의 썼던 API들을 재정리

 

---

 

가상 환경 (Virtual Machine) 탐지 코드 패치 우회 

- UnPacking 된 파일을 가상환경(Virtual Machine)에서 실행하게 되면 

  메시지 박스가 나옴

[가상 환경 (Virtual Machine) 탐지 실행 중지]

- 해당 구간은 가상 환경 (Virtual Machine) 탐지를 하는 알고리즘 구간

[가상 환경 탐지 함수 내부]

- 가상 환경 (Virtual Machine) 탐지 CALL 부분 Code Bypass

 

Code Bypass 이 후 부터 가상 환경 (Virutal Machine) 탐지를 못 하게 된다.

 

---

 

Uboat Rat 악성 행위 분석 

- GetModuleFileNameW 함수를 사용하여 현재 악성 파일 실행 경로를 불러온다.

 

- 실행 경로를 이용하여 악성 파일을 CopyFileW 함수를 사용한 후

   C:\Programdata\.exe 라는 이름으로 복사

 

- 원본 악성 코드 파일이 .exe로 이동하는 동시에 Programdata 폴더에 init.bat라는

  윈도우 스크립트 실행 파일 생성

 

- init.bat 생성 후 자동으로 실행하도록 설계

 

- init.bat 실행 후 init.bat 자가삭제 및 ddd.bat라는 파일 생성 ddd.bat 기능은 원본

  악성코드를 보이지 않게 숨김으로 변조 해주는 역할이다.

 

 

- 정상 엑셀 확장자인 .xlsx 파일을 생성하여 실행 후 의심하지 못 하게 .xlsx 파일로  

  실행 된 것처럼 보여주게 한다.

 

- 해당 악성 파일은 악성 코드가 지속적으로 실행 되도록 레지스트리를 변조한다.

 

- 그 후 CMD 창을 이용하여 .exe 파일을 실행, 종료를 반복 하며, 공격자 CnC 서버랑 네트워크 통신을 하게 된다.

 

---

 

대응 방안

- Yara Rule을 사용하여 해당 레지스트리를 변조하는 시그니처를 추가하여 탐지하거나 공격자의 CnC 서버 통신 IP를 추적하여 해당 IP 탐지

 

- 해당 파일은 문서 아이콘까지 이용하여 문서 파일이라는 인식을 주고 아무 경계없이 실행 하도록 유도 하는 악성 파일이다. 이러한 파일을 실행하지 않도록 예방하기 위해선 사용자가 확장자 명을 인식 하여야 하고, 확장자 명이 보이지 않는다면 밑에 옵션 설정을 바꾸어 주어야 한다.

 

 

---