[ASEC] VPN 홈페이지에서 유포 중인 NKNShell 악성코드

VPN 홈페이지에서 유포 중인 NKNShell 악성코드 - ASEC

VPN 홈페이지에서 유포 중인 NKNShell 악성코드 - ASEC

---

악성코드 유포

• 현재까지도 국내 VPN 업체 홈페이지에서 악성코드를 다운로드할 수 있음
• 홈페이지에서 압축 파일 다운로드 후 실행하면 정상 VPN과 PowerChell을 이용해 파워쉘 스크립트를 다운로드해 실행
• NKNShell 백도어와 MeshAgent, gs-netcat이 최종적으로 다운로드 됨

악성코드 분석

• 위장 설치 프로그램
  • Go 언어로 작성된 악성코드로, NVIDIA를 위장한 유효하지 않은 인증서로 서명되어 있음
  • 실행 시 가상 머신 여부를 검사: GoDefender 코드 가져와 사용
  • 파워쉘 다운로드 명령을 인자로 하여 자신을 자식 프로세스로 실행
  • 해당 자식 프로세스는 다운로드 주소에서 PowerChell 다운로드해 메모리에 로드하고 Base64로 인코딩된 명령 실행
• 파워쉘 다운로더 스크립트 -1 (sql-auto.ps1)
  • 다른 악성코드를 설치하는 기능 담당하는 다운로더
  • 윈도우 디펜더를 활성화하고 예외 처리 경로를 등록하며 BlackShell256이 개발한 "Null-AMSI" 스크립트를 실행해 AMSI 우회를 시도
  • 추가 페이로드를 다운로드
    • SQLMap 악성코드를 설치
    • 다운로더 스크립트인 "install.ps1"을 설치
• 파워쉘 다운로더 스크립트 -2 (install.ps1)
  • Invoke-NullAMSI를 이용해 ETW(Event Tracing for Windows)를 비활성화
  • Cleanup이라는 WMI 필터 등록해 지속성 유지(내부에 존재하는 실제 다운로더 스크립트 실행)
  • 추후 악성코드 인젝션 대상이 될 프로세스들 종료하고 해당 스크립트 직접 실행
    • 최종적 실행 스크립트는 15개의 UAC Bypass 기법 지원하지만 실제로는 UAC 우회 방식들이 지원됨
    • 실질적인 기능은 다운로드로서 gs-netcat, MeshAgent, NKNShell 백도어 설치 담당
• MeshAgent
  • 오픈 소스 이자 무료로 원격제어를 제공하는 관리 도구
  • 시스템 제어 명령뿐만 아니라 VNC, RDP와 같은 원격 데스크탑 기능 제공
  • 공격자 특징: 과거부터 지속적으로 MeshAgent 사용
  • new-ms.ps1
    • "%LOCALAPPDATA%|svchost|services.exe" 경로에 MeshAgent 다운로드하고 동일 경로에 services.msh 설정 파일 함께 두어 해당 설정 사용하도록 함
    • 설정 파일에는 C&C 서버 주소가 포함
• gs-netcat
  • Global Socket의 도구 중 하나로, GSRN(Global Socket Relay Network)라는 중계망 이용해 통신
  • gs-netcat은 netcat의 GSRN 버전으로, 내부망에 위치해도 설정된 비밀번호 이용해 통신이 가능함
• NKNShell
  • "PX.exe"라는 이름으로 설치되어 실행되는 악성코드는 Go 언어로 작성된 백도어
  • New Kind of Network의 약자로 블록체인 기반 P2P 네트워크 프로토콜
  • 실제 악성코드는 MQTT(Message Queueing Telemetry Transport)라는 메시징 프로토콜 함께 사용
  • 제작자가 AI를 활용해 제작한 것으로 추정
    • 바이너리 내부에 한국어 주석이 포함되어 있으며, 사용되는 이모지 등으로 유추 가능함