포스팅 내용

악성코드 분석 리포트

주문서 확인 내용으로 위장한 악성 메일 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


첨부된 주문서 내용을 확인해달라는 내용의 악성 메일이 국내에 유포되고 있어 주의를 당부드립니다. 이번에 발견된 메일은 견적서 제출 및 주문서를 확인해달라는 내용으로 첨부 파일 실행을 유도합니다.


[그림 1] 견적 제출 내용으로 위장한 악성 메일


첨부 파일에는 'jpg.PO_89474973_REF-JULY.lzh', 'jpg.PO_89474973II-JULY.uue'이 있고, 압축 파일 내부에 각각 동일한 악성 행위를 수행하는 'jpg.PO_89474973II-JULY.exe' 파일이 있습니다.


[그림 2] 메일에 첨부된 'jpg.PO_89474973II-JULY.uue' 압축 파일


만약 이용자가 제품 주문서로 착각하여 파일을 실행할 경우, 'RegSvcs.exe' 정상 프로세스에 악성 행위를 수행하는 코드를 인젝션합니다.


[그림 3] 'RegSvcs.exe' 프로세스 실행


인젝션되어 실행되는 'RegSvcs.exe'는 키로깅 기능 및 봇 기능을 수행합니다. 다음은 키로깅 기능입니다.


[그림 4] 키로깅 코드


키로깅한 데이터는 인코딩되어 '%APPDATA%\Logs\' 경로에 [일-월-연도] 파일에 저장합니다.


[그림 5] 키로깅된 데이터가 저장된 파일


이후 C&C(79.172.242.33:4096)과 연결 한 뒤 봇 기능을 수행합니다. 봇 기능에는 운영체제 정보, 컴퓨터 이름, 사용자 이름 등의 시스템 정보를 전송하는 기능, 프로그램 실행 및 종료, 드라이브 정보 수집 기능, 파일 이동 및 삭제 기능 등이 있습니다.


[그림 6] 봇 기능 코드


따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.


현재 알약에서는 관련 샘플을 'Spyware.Infostealer.826958'로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage