카카오톡 유포된 북한 해킹 단체 코니(Konni) 스마트폰 공격을 위한 악성코드-스트레스클리어

오늘도 우리 북한 해킹 단체인 코니(Konni)에서 만든 스마트폰 공격을 위한 악성코드인 스트레스클리어에 대해 알아보겠습니다. 해당 개인적으로는 해당 악성코드가 김수키(Kimsuky) 라고 예상을 했지만 코니(Konni)이라는것이 조금 의문을 들기도 합니다. 악성코드 공격 방식은 다음과 같습니다.

먼저 이메일을 통해서 악성코드가 포함이 된 악성코드 보냄->실행->악성코드 실행->브라우저 쿠키도 확인을 하고 나서 PC 용 카카오특이 있으며 원격으로 친구 목록으로 악성코드 보냄->친구들은 악성코드 다운로드->백신 프로그램(AV 프로그램)이 정상적으로 탐지하면 격리소로 보내면 그렇지 않은 경우에는 나~실행해주세요. 하고 실행->감염->구글 안드로이드 원격 제어를 통해서 감염된 사람이 밖에 있는지 집안에 있는지 확인->밖으로 나가면 해당 스마트폰 초기화->친구들은 연락 안 됨, 나는 스마트폰이 원격으로 날아가서 아놔~이러고 뒷목 잡고 있음 그런데 뉴스에서는 브라우저 쿠키 어쩌고저쩌고 이단계 인증 어쩌고저쩌고 하는데 제일 중요한 것은 신뢰가 가는 AV 프로그램(백신 프로그램) 설치해서 사용을 하는 것이고 이단계 인증은 당연히 하는 것이고 아무튼 기자 양반들은 그냥 글을 적음

[소프트웨어 팁/보안 및 분석] - 브라우저에 비밀번호를 저장 하면 안되는 이유 와 안전하게 저장 하는 방법

브라우저에 비밀번호를 저장 하면 안되는 이유 와 안전하게 저장 하는 방법

ファイル名:Stress Clear.msi
サイズ:26 MB
MD5:56c7b448dbc37aa50eb1c2a6475aca5e
SHA-1:bd84500730d95373a67a7911bbbfe935e04dbdef
SHA-256:bcdd8a213cf6986bad4bb487fe1bf798e159d32fd3a88b4e8d2945403d1c428d
Stress Clear.msi 파일은 Windows 운영체제 기반 환경에서만 실행 가능하며 스마트폰 등 비호환 플랫폼에서는 실행이 불가능하므로 감염 대상에서 제외
만약 동작 가능한 환경에서 파일을 실행할 경우, 표준 MSI 설치 과정 GUI가 나타나며 사용자가 인지하지 못하는 상태에서 설치 루틴 내 악성코드 가 실행

Stress Clear.msi 내부 구조

악성 MSI가 실행되면 패키지 내부에 포함된 install.bat 배치파일과 error.vbs 스크립트를 ActionID 값에 따라 순차 호출하도록 구성돼 있으면 왜 카카오톡 인가? 간단 이메일로 악성코드 보내고 실행을 하면 PC에 설치된 카카오톡 장악을 해서 친구 목록으로 살포 그러면 당연히 컴퓨터 사용을 하는 사람 있을 것이고 실행 그것이 악순환

악성코드 내부 모습

install.bat 스크립트 명령어

스크립트는 지속성(Persistence) 확보, 파일 은닉, LOLBin 악용한 공격, 증거 삭제
Bat 스크립트
1. 초기 변수 설정
%public%\Music 디렉터리를 작업 폴더로 사용
2.AutoIt 실행 파일 및 스크립트 복사
실행 파일(AutoIt3.exe)과 AutoIt 스크립트(IoKlTr.au3`)를 공용 Music 폴더에 복사
AutoIt 기반 악성코드가 흔히 사용하는 방식:
3.schtasks.exe 악용:hwpviewer.exe로 위장
cd /d %public%\%dr% & copy c:\windows\system32\schtasks.exe hwpviewer.exe
schtasks.exe 를 악용을 해서 hwpviewer.exe 로 복사하여 이름만 바꿈
위장된 LOLBin(Living-Off-The-Land Binary) 기법->기본적으로 존재하는 실행파일을 악용하는 기법을 LoLBins (living-off-the-land binaries)
흔적을 회피하면서 작업 스케줄 조작
4.기존 작업(Task) 삭제 및 재등록
IoKlTr 라는 이름의 기존 스케줄러 작업 삭제
이후 동일 이름으로 새 작업 생성
1분 주기 실행
5.자폭(Anti-forensic) 미
원본 파일 및 스스로(BAT)를 모두 삭제
로그, 흔적 최소화

에러 명령어

error.vbs 스크립트 명령어

MsgBox "현재 시스템 언어 팩과 프로그램 언어 팩이 호환되지 않아 실행할 수 없습니다." & vbCrLf & _
       "설정에서 한국어(대한민국) 언어팩을 설치하거나 변경하고 다시 실행해 주세요.", _
       vbCritical, "언어팩 오류"

분석

현재 시스템 언어팩과 프로그램 언어팩이 호환되지 않아 실행할 수 없습니다.
설정에서 한국어(대한민국) 언어팩을 설치하거나 변경하고 다시 실행해 주세요.
라는 에러 메세지 사용자에게 보여줌

악성코드 실행 에러 메세지

IoKlTr.au3 AutoIt 스크립트는 작업 스케줄러에 등록되어서 실행되며 탐지, 분석을 방해하기 위해 실제 실행 흐름과 무관한 불필요한 코드를 스크립트의 앞뒤에 삽입해서 사람 귀찮게 하는 것을 볼 수가 있습니다.

AutoIt3 스크립트 동작

AutoIt Extractor 이용한 스크립트 추출

1:시스템 정보 수집
피해 시스템에서 다음 정보를 취합하여 C2로 전송
컴퓨터 이름
사용자 계정
OS 버전 및 빌드
로컬 IP 주소
2. 원격 명령 실행
숨겨진 CMD 프로세스를 생성하고 Named Pipe로 상호 연결
공격자는 C2를 통해서 OS 명령 실행->피해 PC를 완전히 원격 제어 가능
3. 파일 조작 기능
디렉터리/드라이브 탐색
파일 다운로드(피해자->C2)
파일 업로드(C2->피해자)
파일, 폴더 삭제
파일, 폴더 이름 변경
4. 통신 프로토콜
클라이언트->C2:endClient9688
C2->클라이언트:endServer9688
파일 업로드:upLoad_Start:
파일 업로드 종료:endServerFile9688
파일 다운로드 종료:endClientFile9688
5. 지속성 확보 및 AV 회피(백신 프로그램 회피)
Avast 실행 시
자신의. au3 스크립트를 랜덤 이름으로 복제

AutoIt 포함된 C2 주소

앞뒤로 난수 1000바이트 삽입->시그니처 우회
C:\Users\Public\Documents\XXXX.bat 생성하며->기존 태스크 삭제->새 스케줄러 작업 등록(AutoIt3.exe (복제본))
원본 파일 삭제->AV 우회+스케줄러 기반 재실행 확보
Avast 미실행 시
시작 프로그램 폴더에 Smart_Web.lnk 생성->로그인 시 자동 실행
6. 프로세스 제어
Global\AB732E15-D8DD-87A1-7464-CE6698819E701 라는 전역 Mutex로 다중 실행 방지
7. C2 접속
116(.)202(.)99(.)218:443 로 계속 재접속 시도

어베스트(Avast) 백신 탐지시 회피 기동

연결 유지 시 명령 지속 감시
끊어지면 15초 후 자동 재시도

오토잇 스크립트 시작 문자열

결론

악성 유형:AutoIt 기반 원격제어 RAT(백도어)
C2 서버:116(.)202(.)99(.)218:443
통신 방식: JSON+문자열 마커 기반 커스텀 프로토콜(endClient9688,endServer9688 등)
그리고 이렇게 컴퓨터를 장악 카카오톡으로 뿌리고 나서 구글 안드로이드 기반 스마트폰 및 태블릿 PC가 원격에서 초기화되어 기기에 저장된 개인 데이터가 복수의 사례에서 무단 삭제 및 초기화해 버리고 동시에 사용자의 내 기기 허브(Find Hub)를 악용을 해서 감염자가 집에 있는지 밖에 다니는지 동선 파악을 한 후 스마트폰 초기화 그런데 이런 것 보는 북한 코니(Konni)는 대한민국을 부러워할 것 같은데 왜 탈북을 안 하는지 모르겠음.

MSI 패키지 파일 빌더

결론: 컴퓨터에 백신 프로그램 설치를 하고 사용을 하면 Microsoft Defender(구 윈도우 디펜더)는 좀 버리고 유료백신 프로그램 좋은 것 하나 장만해서 사용하고 스마트폰에도 백신 앱을 사용을 하는 것을 권장합니다. Bitdefender TOTAL SECURITY 또는 Eset 같은 좋은 프로그램 구매해서 사용하면 됩니다.

악성코드 에 포함된 인증서

Avast도 유료 결제를 해서 사용을 해볼 만한.... 내가 왜 돈을 주고 광고를 보는지 이해를 할 수 없는 제품이라..... 결론 최소 4만 원 정도 투자를 하면 하는 것이 더 이익입니다. EMCO Software의 MSI Package Builder를 통해서 제작된 것을 확인할 수가 있으며 확실히 국가적으로 수학에 소질이 있는 영재들을 발굴해서 국가단위로 양성하는 것을 조금은 부럽기도 합니다.