상세 컨텐츠

본문 제목

[알약 악성코드 분석리포트] Trojan.Keylogger.327680

악성코드 분석 리포트

by 알약(Alyac) 2014. 7. 15. 09:38

본문

Trojan.Keylogger.327680 -ALYac Division Malware Research


해당 악성코드는 사용자 정보를 가로채는 키로깅 기능과 감염된 PC를 조종할 수 있는 봇 기능을 가진 악성코드입니다. 기능상으로는 기존 악성코드와 별 차이가 없지만, 이번 샘플은 주변에서 흔히 볼 수 있는 식당, 마트, 백화점 등에서 신용카드로 물건을 구입할 때 활용하는 판매 시점관리 시스템(POS, Point of sales)을 대상으로 제작된 악성코드라는 점에서 주목할 만합니다. 특히, 국내에서 다수가 사용하고 있는 POS 업체의 아이콘과 파일명을 사용한 점에서, 이는 특정 타겟을 노리고 생성된 악성코드라고 볼 수 있습니다.



악성코드 순서도




악성코드 상세 분석


1. 악성파일 분석(Sample.exe)


Sample.exe 파일은 메인 드롭퍼로, 파일복제, 레지스트리 추가, 키로깅, 네트워크 접속, 봇 행위들을 하는 것으로 밝혀졌습니다. 상세분석에서는 해당 기능들에 대한 자세한 내용을 살펴보기로 합니다.



2. 실행 경로 및 파일명 확인


파일이 실행되면, 현재 실행되고 있는 자신이 "C:\MPOS.EXE" 경로와 파일명으로 실행되었는지 체크합니다. 체크된 결과에 따라 파일 흐름이 변경됩니다.


- MPOS.EXE로 실행되지 않을 시

"C:\MPOS.EXE"로 복사시키고, 실행합니다. 파일 복사 시 파일 속성을 '숨김'으로 설정합니다.







- MPOS.EXE로 실행 시

자동 실행을 위한 레지스트리를 추가하고, Thread 2개를 동작시킵니다.






3. 레지스트리 추가


해당 파일은 부팅 시 자동 실행을 위해 아래와 같은 레지스트리 경로에 자신을 추가합니다.





4. Thread 1(key logging)


Thread 1 루틴에서는 사용자가 입력하는 데이터를 특정 파일에 저장시키는 키로깅(key logging) 기능을 수행합니다. 우선 Thread 1이 시작되면 "KBNPOSProtection"의 Muxtex를 생성하여 중복실행을 방지합니다.



Mutex 생성이 완료되면 "SetWindowsHookEx" API에 'WH_KEYBOARD_LL' 파라미터를 주고, 로우 레벨 키보드훅을 설정한 후 사용자 키보드 입력 내용과 윈도우 타이틀 등을 기록합니다.



키보드훅 설정이 완료되면 사용자가 입력한 키보드 내용을 저장하기 위한 파일을 'KBankStar_년_월_일.log'으로 생성합니다.




5. Thread 2(network connection)


키로그 저장 파일 생성이 완료되면, 특정 서버에 주기적으로 접속을 시도합니다. 접속 성공 시 키로그 저장 파일과 C&C서버와의 통신이 이루어집니다.


접속 서버 IP

211.43.2**.1**


접속 Port

TCP 9501



6. Bot function


네트워크 접속이 성공적으로 이루어지면 봇의 기능들을 수행합니다. (분석 시 C&C 서버와의 통신이 불가하여, 코드 흐름 상 아래와 같은 행위들을 할 수 있을 것으로 추정하고 있습니다.)


파일 리스트 체크

파일 삭제

폴더 삭제

파일 전송

파일 이동

파일 생성

파일 검색

레지스트리 검색

프로세스 생성

파일 다운로드



악성코드 분석 결론


해당 악성코드는 사용자의 입력 데이터를 가로채는 키로깅과 감염PC를 조종할 수 있는 봇 기능을 가지고 있습니다. 그러나 C&C 서버와의 통신이 불안정하여 추가적으로 다운로드되는 파일은 확인하지 못했습니다. 


공격 대상이 POS 시스템인 만큼 더욱 정확하게 분석하기 위해서는 특정 POS 시스템을 구비하여, 실제 환경에서 분석하는 것이 가장 좋은 방법일 것입니다. 그러나 이러한 분석환경을 구축하기 어렵기 때문에 대부분 코드 흐름을 통해 추측하고 있습니다.



악성코드 대응방안


국내 POS 시스템 운영체제는 대부분 윈도XP Professional(2014년 4월 보안패치 지원 종료), 윈도XP Embedded(2016년 4월 지원종료), 윈도XP POSReady(2019년 4월 지원종료) 등을 사용하고 있습니다.


현재까지 보안패치를 지원하고 있는 운영체제도 있지만, 지원종료가 급박하게 예정되어 있는 운영체제도 있기 때문에 관련 담당자는 보안 이슈에 더욱 관심을 기울여야 합니다. 따라서 악성코드가 감염될 수 있는 통로는 아래와 같이 사전에 차단하는 것이 매우 중요합니다.


1. POS 시스템 내 인터넷 사용 금지

2. POS 시스템 내 소프트웨어가 사용하는 포트 및 IP  허용

3. POS 시스템 내 '알약 레거시 프로텍터'와 같은 전용 보안 프로그램 설치

 

알약 레거시 프로텍터

별도의 장비 없이 SW형태로 동작하는 솔루션으로, 실시간 감시를 통해 PE파일 생성을 원천차단하기 때문에 POS 장비로의 악성코드 유입을 효과적으로 막을 수 있습니다.



관련글 더보기

댓글 영역