[2019.11.14] Revenge RAT 및 WSHRAT를 배포하는 다운로더 발견

요약

- 전자메일을 통해 전송된 zip문서에서 Revenge RAT 및 WSHRAT를 배포하는 다단계 vbs 다운로더 발견

- zip문서에 포함된 MHT 파일에서 시작하여 디렉토리서버(hxxp : //newdocreviewonline.3utilities [.] com /)와 통신함.

- 이 서버는 Review.php 와 Microsoft.hta 파일이 존재하며, hta 파일을 검토한 결과 URL 인코딩문자로 된 JavaScript 파일로 확인됨.

- 문자를 디코딩하면 내부에 VBScript코드가 포함된 html 파일이 표시되는데, 

         AppData/Local에 저장되는 A6p.vbs 스크립트를 생성한 다음 Microsoft2.b라는 스크립트인 stage2를 다운로드 하고 실행하는데 사용함. 

- stage2는 아래 경로에서 다운로드됨

        hxxps : //scisolinc[.]com/wp-includes/Text/microsoft.vbs

- Stage2 난독화 파일

 

■ Revenge RAT

- stage2를 디코딩하면 스크립트가 확인되고, 그 안에 Revenge RAT 실행 파일인 Base64로 인코딩 된 PE파일을 볼 수 있음.

- 지속성 유지를 위해 AppData/Local/Temp 경로에서 Appdata/Roaming으로 Microsoft.vbs를 복사 한 후,

          "C : \ User \ % USER % \ Appdata로 설정된"microsoft "라는 실행 키를 저장 함으로써, 컴퓨터 시작 시 vbs를 실행할 수 있음.

- 스크립트는 난독 처리된 PE파일을 HKCU : \ Software \ Microsoft \ microsoft에 문자열로 저장 후 이전에 저장된 키를 메모리로 읽고 

        파일을 최종 실행하기전에 PE파일을 난독 처리함.

- 이를 통해 Revenge RAT는 메모리에서 실행되고 파일을 시스템에 드롭 하지 않음.

■ WSHRAT

- stage2에 포함된 다른 문자열에서 WSHRAT 스크립트 확인

- 디코딩된 Base64문자열을 Appdata/Roaming의 GXxdZDvzyH.vbs 파일에 저장하기 전에 Base64를 디코딩 한 다음 

        wscript /b로 실행함 (/b 플래그는 배치 모드를 지정하므로 오류나 입력프롬프트가 발생하지 않음)

- GXxdZDvzyH.vbs에 포함된 base64 문자열을 난독처리하면 WSHRAT가 확인됨.

- WSHRAT는 컴퓨터이름 및 바이러스 백신 공급자와 같은 컴퓨터 정보를 훔칠 수 있음.

- 또한 Chrome, IE 및 Firefox와 같은 널리 사용되는 웹브라우저에서 비밀번호를 도용할 수 있음.

- 실행키로 설치하는 것 외에도 합법적인 바로가기로 보이지만 실제로는 지정된 파일을 실행하기 전에 Malware를 실행하는 lnk 파일을 만들 수 있음.

- WSHRAT의 기능

① 파이어폭스, 크롬, 인터넷 익스플로러, 에지, 오페라, 아웃룩, 선더버드 크리덴셜 탈취

② 파일의 다운로드, 업로드, 실행

③ 시스템 내에서 파일 검색 및 찾기

④ 원격 스크립트 및 명령 실행

⑤ 사용자 계정 제어(UAC) 비활성화

⑥ 백신 제품 비활성화

⑦ 프로세스 열람 및 종료

⑧ PC 종료 및 재시작

※ Revenge RAT : 원격 쉘을 열 수 있는 것으로 알려진 DevPoint 해킹포럼에서 2016년 공개된 RAT로 공격자는 시스템파일, 프로세스, 레지스트리 및 서비스를 관리하고 키 입력을 기록하여 피해자의 암호 등을 탈취할 수 있음.

※ WSHRAT : 후디니 웜의 변종으로 봇을 구성하는 기능과 RAT 기능을 가지고 있는 멀웨어. (Windows Script Host)라는 툴과 관련된것으로 보이며, MHT파일과 href링크가 포함된 악성 이메일을 통해 전파됨.

- 샘플 정보 

RevengeRAT  

Hash: 9ada62e4b06f7e3a61d819b8a74f29f589b645a7a32fd6c4e3f4404672b20f24 

C2: 193.56.28.134:5478, 185.84.181.102:5478 

WSHRAT

Hash: d86081a0795a893ef8dc251954ec88b10033166f09c1e65fc1f5368b2fd6f809 

샘플에서 추출한 악성 IP : 194.5.98.46

C2: britianica.uk.com:4132 (185.165.153.14)

Registry Location: HKEY_LOCAL_MACHINE:Software\Microsoft\Windows\CurrentVersion\Run\GXxdZDvzyH 

Loader

Hash (microsoft.vbs): c229c614c9bd2b347fd24ad12e3c157c686eb86bc0a02df1c7080cf40b659e10 

Hash (GXxdZDvzyH.vbs): ced8be6a20b38f5f4d5af0f031bd69863a60be53b9d6434deea943bf668ac8d8

치료방법

- 레지스트리에 상주하기 때문에 레지스트리에서 직접 삭제 필요

① 멀웨어 실행 중지 : % APPDATA %에 저장된 두 파일 (microsoft.vbs 및 GXxdZDvzyH.vbs) 삭제

② (HKEY_LOCAL_MACHINE : Software \ Microsoft \ Windows \ CurrentVersion \ Run)를 찾아 "microsoft", "GXxdZDvzyH"값 삭제

③ (HKCU : Software \ Microsoft \)로 이동하여 "microsoft"값 (Base64로 인코딩 된 PE 파일로 구성되어야 함)을 찾은 다음 해당 값 삭제

④ 컴퓨터 재부팅 수행

참고자료

출처 : hxxps://www.binarydefense.com/revenge-is-a-dish-best-served-obfuscated/?utm_content=105361112&utm_medium=social&utm_source=twitter&hss_channel=tw-2715666338

hxxps://www.bleepingcomputer.com/news/security/attackers-target-govt-and-financial-orgs-with-orcus-revenge-rats/