← 보안센터로 돌아가기

분석정보 · 악성코드 분석 정보

[악성코드 분석] WSH RAT 악성코드 분석 보고서

지난 해에 등장한 ‘WSH RAT’이 최근 다시 모습이 나타나고 있다. 해당 악성코드는 PDF Reader Installer 을 가장한 파일로, 자바 스크립트 파일을 드롭하여 악성 동작을 수행한다. 악성 동작이 수행될 때, 정상 Installer 파일도 함께 실행하여 사용자가 눈치채지 못하게 하기에 큰 주의가 필요하다. 해당 악성코드가 실행되면, 정상 PDF Reader Installer을

2020-10-29INCA Security Center

지난 해에 등장한 ‘WSH RAT’이 최근 다시 모습이 나타나고 있다. 해당 악성코드는 PDF Reader Installer 을 가장한 파일로, 자바 스크립트 파일을 드롭하여 악성 동작을 수행한다. 악성 동작이 수행될 때, 정상 Installer 파일도 함께 실행하여 사용자가 눈치채지 못하게 하기에 큰 주의가 필요하다.

해당 악성코드가 실행되면, 정상 PDF Reader Installer을 드롭하고 실행한다.

[그림 1] 정상 Installer

[그림 2] 설치된 정상 PDF Reader

정상 Install 파일의 화면을 띄우고, 악성 자바 스크립트 파일을 드롭 및 실행한다. 해당 스크립트 파일은 난독화 되어있어 일반 사용자는 파일 내용을 확인하기 힘들도록 한다. 아래의 빨간색 상자는 인코딩된 메인 코드이다.

[그림 3] 난독화된 js 파일 일부

인코딩된 메인 코드를 base64로 디코딩하면 다음과 같은 스크립트를 확인할 수 있다.

[그림 4] 디코딩된 스크립트

JXjkcYI’라는 이름의 변수에 필요한 문자열을 16진수로 저장하고 있어, 아래의 이미지와 같이 변환하면 주요한 문자열을 확인할 수 있다.

[그림 5] ( 좌 ) 16 진수 , ( 우 ) 문자

아래의 이미지는 스크립트에 포함하고 있는 악성 동작 중 서버와 연결하는 부분이며, 해당 코드가 실행되면 원격지에 사용자 정보를 송신한다.

[그림 6] 서버 송신스크립트 코드

[그림 7] 사용자 PC 정보 탈취

그리고, C2 서버와 통신을 시도하지만, 현 시점에서는 해당 C2서버에 연결되지 않는다.

[그림 8] C2 서버 연결

그 외에도 스크립트 내에 다양한 악성 동작을 함수로 정의하고 있다. 아래의 이미지에 보이는 코드는 ‘disableSecurity’ 함수로 WMI에 연결하여 레지스트리 값을 변경한다. 변경된 레지스트리는 사용자 계정을 관리자 모드로 실행 및 승격하고, Windows defender 사용을 중지하는 동작을 수행한다.

[그림 9] ‘disableSecurity’ 함수

이번 보고서에서 알아본 ‘WSH RAT’은 정상 프로그램을 가장하여 악성 동작이 이루어지며, 스크립트내에 여러 악성코드를 포함하고 있어 서버와 연결된다면 추가적인 피해가 발생할 수 있다. 악성코드의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

[그림 10] TACHYON Endpoint Security 5.0 진단 및 치료 화면