포스팅 내용

악성코드 분석 리포트

화물 운송 문의로 위장한 악성코드 유포 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 화물 운송 문의로 위장한 악성메일로 정보 탈취 목적의 악성코드가 국내에 유포되고 있어 주의를 당부드립니다.



이번에 발견된 악성 메일은 화물 운송 문의 내용이 담겨 있으며, 특징적으로 FOB, CIF와 같은 무역 용어가 사용되었습니다.


[그림 1] 화물 운송 문의로 위장한 악성 메일


메일에 첨부된 파일 'Quote001993842.ace'에는 'Quote001993842.com'가 있습니다.


[그림 2] 첨부 파일 'Quote001993842.ace'


이용자가 만일 'Quote001993842.com' 악성 PE 파일을 실행할 경우 사용자 PC 정보와 함께 웹 브라우저, FTP 프로그램 등에 저장해 놓은 계정 비밀번호를 수집하는 코드가 실행이 됩니다. 다음은 감염 PC의 시스템 정보를 수집하는 코드입니다. 


[그림 3] 감염 기기의 시스템 정보 수집 코드


웹 브라우저 및 FTP 프로그램에 저장된 아이디 및 비밀번호 정보를 탈취하는 코드는 다음과 같습니다.


[그림 4] FTP 프로그램에 저장된 정보 탈취 코드


[그림 5] 웹 브라우저에 저장된 정보 탈취 코드


수집된 정보들은 C&C(http://103[.]70[.]137[.]10/oki/Panel/fre[.]php)로 전송합니다. 다음은 C&C로 전송되는 데이터의 일부입니다.


[그림 6] C&C로 전송되는 데이터의 일부


정보 전송 이후, C&C에서 받은 데이터에 따라 봇 기능이 수행됩니다. 봇 기능으로 컴퓨터 정보, 웹 브라우저, FTP 정보 탈취 행위, 악성코드(EXE, DLL) 추가 다운로드 및 실행 기능이 있습니다. 다음은 C&C에서 가져온 데이터에 따른 봇 기능 코드의 일부입니다.


[그림 7] 봇 기능 코드의 일부


최종적으로 악성코드 감염에 의해 시스템 정보 및 웹 브라우저, FTP에 저장된 아이디 및 비밀번호 정보 유출과 C&C에서 받아온 데이터에 따른 추가 악성 행위를 할 수 있어 피해가 발생할 수 있습니다.


따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.


현재 알약에서는 관련 샘플을 'Spyware.LokiBot'로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage