[Trojan.SmokeLoader] 악성코드 분석 보고서

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

‘Trojan.SmokeLoader’(이하 ‘SmokeLoader’) 악성코드는 13년도부터 제작된 것으로 알려져 있고, 현재까지도 랜섬웨어 외 다양한 악성코드 등을 전달하면서 활발한 활동을 이어져 오는 것으로 알려져 있습니다.

 

‘SmokeLoader’은 주요하게 다양한 Anti 기능과 더불어, 감염 PC의 정보를 수집 및 C&C 서버의 명령을 통해 추가 페이로드를 다운로드 받는 로더로서의 기능을 수행합니다.

 

본 보고서에서는 ‘SmokeLoader’ 악성코드에 대해 상세 분석을 하고자 합니다.

 

[그림] Anti-Debug를 위한 PEB 구조체의 멤버 확인

`SmokeLoader’는 정보 수집 및 추가 페이로드를 다운로드하는 Loader 계열의 악성코드입니다. 다른 악성코드에 비해 다양한 Anti-VM, Anti-Disassembly 등의 기술이 다수 포함되어 있어서 분석이 어렵게 된 점이 특징적입니다.

 

만일 기업체 입장에서 이러한 악성코드에 감염이 이루어지는 경우, 추가 페이로드 다운로드에 의해서 금전 손실 등의 2차적인 피해가 발생할 수 있어서 주의가 필요합니다.

 

따라서 이 악성코드에서 감염을 예방하기 위해서는 출처가 불분명한 사이트 내에서 URL, 파일 다운로드를 지양해야 하며, 이메일의 첨부파일을 확인 및 프로그램을 실행할 때 주의가 요구됩니다.

 

현재 알약에서는 관련 악성코드를 ‘Trojan.SmokeLoader’로 진단하고 있으며, 자세한 내용은 보안동향보고서에서 확인하실 수 있습니다.