JAVA 기반 멀웨어는 피해자의 시스템에서 실행하기 위해 JRE((Java Runtime Environment)가 필요하기 때문에 자주 볼 수 없습니다. JAVA 기반 악성코드는 PE(Portable Executable)와 같은 일반적인 파일 형식보다 탐지율이 낮다는 장점이 있습니다. 최근 한 연구에서 전자메일 첨부 파일로 전달되는 아카이브 내의 JavaScript 파일을 관찰하였으며, 이 첨부파일은 “STRRAT”로 알려진 JAVA 기반 RAT(Remote Access Trojan)를 피해자의 컴퓨터에 추가로 다운로드하여 공격합니다.

 

첫번째 레이어 JavaScript

첫 번째 레이어 JavaScript에는 두 번째 레이어 JavaScript를 얻기 위해 문자열의 일부 문자를 바꾼 후 base64 디코딩을 수행하는 매우 간단한 코드가 포함되어 있습니다.

 

 

두번째 레이어 JavaScript

두 번째 레이어 JavaScript는 공격 대상자의 시스템에서 환경을 준비하고 STRAT를 실행하는 역할을 합니다. 멀웨어에는 디코딩되어 %APPDATA% 폴더에 드롭되는 base64로 인코딩 된 문자열이 포함되어 있습니다. 이 드롭된 스크립트가 실행되면 "// Coded by v_B01 Sliemerez -> Twitter : Sliemerez"라는 코멘트만 남습니다.

 

 

멀웨어는 이제 STRRAT을 디코딩하여 <random>.txt가 있는 %APPDATA% 디렉토리에 드롭합니다.

 

 

멀웨어는 레지스트리 항목을 사용하여 Java 설치 디렉토리를 검색하여 Java 응용 프로그램 실행 기(javaw.exe)의 경로를 준비합니다.

멀웨어에는 이 변종에 주석이 달린 지속성 항목을 만드는 코드가 포함되어 있으며, 악성코드는 Java 응용 프로그램 실행기를 사용하여 STRRAT를 실행합니다.

 

 

피해자의 컴퓨터에 JRE(Java Runtime Environment)가 사전에 설치되어 있지 않은 경우, 멀웨어는 웹에서 JRE를 다운로드하여 설치합니다. 이제 멀웨어는 지속성 엔트리를 생성하여 STRRAT를 실행합니다.

 

 

STRRAT

악성코드는 "Allatori obfuscator v7.3 DEMO" 버전을 사용하여 난독화 되었으며, 이 버전은 해독기에서 악성코드에 사용되는 실제 문자열을 나타냅니다. 멀웨어는 자신의 실행 경로를 가져오고, 멀웨어가 경로 검색에 실패하면 멀웨어는 " PC는 지원되지 않습니다"라고 말하고 실행을 종료합니다.

멀웨어는 종속 파일이 이미 있는 경우 "%APPDATA%\lib" 및 "%USERPROFILE%\lib"에서 종속 파일을 찾습니다.

 

 

 

의존성 파일이 존재하지 않는 경우, 악성코드는 웹에서 "%USERPROFILE%\lib"로 다운로드하여 %APPDATA%\lib에 복사하고, %USERPROFILE%에 자신을 복사하여 거기에서 실행합니다.

멀웨어에는 암호화된 config.txt 파일이 포함되어 있지만 이 멀웨어 변종에서는 파일이 참조되지 않습니다.

 

 

지속성 항목

멀웨어는 일정 작업을 생성하고 레지스트리 항목을 실행하며, 시작 폴더에 자신을 복사하여 지속성을 유지합니다.

 

 

 

 

C&C 커뮤니케이션

멀웨어는 C&C 서버에서 다음과 같은 명령을 지원합니다.

  • reboot
  • shutdown
  • uninstall
  • disconnect
  • down-n-exec
  • update
  • up-n-exec
  • remote-cmd
  • power-shell
  • file-manager
  • keylogger
  • o-keylogger (Offline keylogger)
  • processes
  • h-browser
  • startup-list
  • remote-screen
  • rev-proxy
  • hrdp-new
  • hrdp-res
  • chrome-pass
  • foxmail-pass
  • outlook-pass
  • fox-pass
  • tb-pass (Thunderbird-pass)
  • ie-pass
  • all-pass
  • chk-priv
  • req-priv
  • rw-encrypt
  • rw-decrypt
  • show-msg (crimson_info.txt)
  • screen-on

 

VirusTotal ReversingLabs와 같은 일반적인 위협 인텔리전스 공유 포털에서 아카이브 파일을 사용할 수 없다는 것은 아카이브 파일이 고유하고 배포가 제한적이라는 것을 나타냅니다.

 

 

 

 

 

 

 

 

 

Posted by 로버무트

댓글을 달아 주세요