유포 메일 원본 (출처: ASEC)

첨부된 html 스크립트 JS (출처: ASEC)

Remcos RAT 악성코드 개요

Remcos는 원격 액세스 트로이 목마(RAT)이며 2021년 상위 10개 멀웨어 변종 중 하나입니다. 컴퓨터를 감염시킨 후 Remcos는 공격자에게 감염된 시스템에 대한 백 도어 액세스를 제공하고 다양한 민감한 정보를 수집합니다. 

Remcos는 일반적으로 피싱 공격을 통해 배포됩니다. 멀웨어는 송장 또는 주문이 포 함되어 있다고 주장하는 PDF로 가장한 악성 ZIP 파일에 포함될 수 있습니다. 또는 Microsoft Office 문서 및 악성 매크로를 사용하여 멀웨어의 압축을 풀고 배포하는 멀웨어도 배포되었습니다. 

주로 html 스크립트 클릭을 유도하는 내용으로 발송하며 유포되는 메일의 원본으로 내부에 html 스크립트가 첨부되어있습니다. 해당 html 파일은 실행하여 Download 버튼을 클릭하면 악성 JS 파일이 다운로드 됩니다. 하지만 다운로드 URL은 “blob” 형태의 URL로 외부 서버로부터 다운로드 하는 유형은 아닙니다. 

복호화된 자바스크립트 (출처: ASEC)

자바스크립트의 생성 파일의 기능 (출처: ASEC)

Remcos RAT 악성코드 공격 흐름

html 스크립트의 코드로 인코딩된 악성 자바스크립트를 오브젝트로 변환하여 브라 우저 내에서만 접근 가능한 URL을 통해 악성 JS 파일을 생성합니다. 더미코드를 제거한 실제 악성 행위를 수행하는 코드입니다. 실행 시 그림과 같이 임의 구동 파일 을 생성(knkfcutogchunsg.bls, wtine.amv) 및 다운로드(kmwdx.txt, fdilfn.dll) 하며 기능은 아래와 같습니다. 

임의 구동 파일들을 생성한 이후에 정상 오토잇 로더(kmwdx.txt)의 인자로 악성 오토잇 스크립트(fdilfn.dll)를 실행합니다. 쉘코드 기능의 일부 코드로 인젝션을 위 해 정상 프로세스(RegSvcs.exe)를 실행(CreateProcessW) 하는 코드입니다. 

이후 아래와 같은 순서로 Remcos 악성코드를 인젝션 합니다. 이후 정상 프로세스 (RegSvcs.exe)에서 동작하는 Remcos RAT 악성코드의 메인함수 일부입니다. 최 종적으로 실행된 Remcos RAT는 Remote Access Tool 악성코드로 C2 명령에 따라 사용자 PC의 정보 탈취 및 다양한 원격 명령이 수행될 수 있습니다. 

결론

Remcos RAT은 공격자가 사용자 PC에 접근해 시스템에 대한 제어권을 가질 수 있는 백도어입니다. 백도어는 공격자가 감염 PC에 지속적으로 접근할 수 있는 통로를 제공하기 때문에 발견 즉시 삭제해야 합니다. 또한 악성 메일의 첨부 파일 실행을 유도하기 때문에 이를 방지하기 위해서는 악성 메일에 대한 사용자의 보안 인식과 정기적인 백신 업데이트가 필요합니다.

Remcos RAT 악성코드에 대한 보안 권장 사항

• 공격자의 주소나 침해당한 주소로 정보를 유출하는 유형과 달리 정상 플랫폼을 C2로 활용하는 사례가 계속 증가하고 있으므로 사용자는 각별한 주의가 필요합니다.

• 출처가 불분명한 메일 열람은 사용자의 각별한 주의가 요구됩니다. 

• 2차 피해를 예방하기 위해 주기적인 패스워드 변경이 필요합니다. 

• PC에서 민감한 자동완성 데이터를 사용하지 않는게 좋습니다. 

• 정기적인 백신 업데이트가 필요합니다.