스팸을 통해 배포되는 JAVA 기반 원격 엑세스 트로이목마 이슈

2022. 9. 1. 14:55

JAVA 기반 멀웨어는 피해자의 시스템에서 실행하기 위해 JRE((Java Runtime Environment)가 필요하기 때문에 자주 볼 수 없습니다. JAVA 기반 악성코드는 PE(Portable Executable)와 같은 일반적인 파일 형식보다 탐지율이 낮다는 장점이 있습니다. 최근 한 연구에서 전자메일 첨부 파일로 전달되는 아카이브 내의 JavaScript 파일을 관찰하였으며, 이 첨부파일은 “STRRAT”로 알려진 JAVA 기반 RAT(Remote Access Trojan)를 피해자의 컴퓨터에 추가로 다운로드하여 공격합니다.

첫번째 레이어 JavaScript

첫 번째 레이어 JavaScript에는 두 번째 레이어 JavaScript를 얻기 위해 문자열의 일부 문자를 바꾼 후 base64 디코딩을 수행하는 매우 간단한 코드가 포함되어 있습니다.

두번째 레이어 JavaScript

두 번째 레이어 JavaScript는 공격 대상자의 시스템에서 환경을 준비하고 STRAT를 실행하는 역할을 합니다. 멀웨어에는 디코딩되어 %APPDATA% 폴더에 드롭되는 base64로 인코딩 된 문자열이 포함되어 있습니다. 이 드롭된 스크립트가 실행되면 "// Coded by v_B01 Sliemerez -> Twitter : Sliemerez"라는 코멘트만 남습니다.

멀웨어는 이제 STRRAT을 디코딩하여 <random>.txt가 있는 %APPDATA% 디렉토리에 드롭합니다.

멀웨어는 레지스트리 항목을 사용하여 Java 설치 디렉토리를 검색하여 Java 응용 프로그램 실행 기(javaw.exe)의 경로를 준비합니다.

멀웨어에는 이 변종에 주석이 달린 지속성 항목을 만드는 코드가 포함되어 있으며, 악성코드는 Java 응용 프로그램 실행기를 사용하여 STRRAT를 실행합니다.

피해자의 컴퓨터에 JRE(Java Runtime Environment)가 사전에 설치되어 있지 않은 경우, 멀웨어는 웹에서 JRE를 다운로드하여 설치합니다. 이제 멀웨어는 지속성 엔트리를 생성하여 STRRAT를 실행합니다.

STRRAT

악성코드는 "Allatori obfuscator v7.3 DEMO" 버전을 사용하여 난독화 되었으며, 이 버전은 해독기에서 악성코드에 사용되는 실제 문자열을 나타냅니다. 멀웨어는 자신의 실행 경로를 가져오고, 멀웨어가 경로 검색에 실패하면 멀웨어는 "이 PC는 지원되지 않습니다"라고 말하고 실행을 종료합니다.

멀웨어는 종속 파일이 이미 있는 경우 "%APPDATA%\lib" 및 "%USERPROFILE%\lib"에서 종속 파일을 찾습니다.