포스팅 내용

악성코드 분석 리포트

유출된 소스코드 기반으로 제작된 악성코드 유포 주의

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 “모바일 전송 메일”로 위장한 악성코드가 유포되고 있어 사용자들의 각별한 주의가 필요합니다.


[그림 1] 이메일 화면 


이메일은 현재 악성코드 xls파일을 첨부하여 대량 유포되고 있습니다. 해당 파일은 XLM 매크로를 통해 악성코드 설치파일을 다운로드 합니다. 최종 페이로드인 ‘wsus.exe’는 감염된 PC를 통해 원격 제어기능을 합니다.


 

[그림 2] 악성코드 공격 흐름도


이번 메일은 사용자가 확인 가능한 내용이 없기 때문에 궁금증을 유발시켜 첨부 xls파일 실행을 유도합니다. 해당 xls파일 또한 삽입된 매크로가 실행하도록 유도합니다.


[그림 3] '인보이스-12-2-2019.xls' 파일 화면


삽입된 XLM 코드는 아래와 같이 숨긴 시트를 통해 통신 하는걸 알 수 있습니다.


[그림 4] 삽입된 XLM 코드


최종 악성코드를 다운받기 위해 ‘http://update365office.com/agp’와 ‘http://185.17.123.201/dat3.omg’를 통해 나누어 다운로드가 진행됩니다. 이는 1차 다운로드 파일에서 백신 검사를 통해 최종 페이로드 탐지를 우회하기 위함으로 보입니다.


[그림 5] 백신 우회 코드


최종적으로 실행되는 wsus.exe는 원격제어 악성코드로써 명령줄 실행, 사용자 정보 수집, 권한 상승 등 기능을 수행합니다. 추가적으로 이 악성코드는 상업용 원격제어 프로그램인 ‘Ammyy Admin’의 유출된 소스코드를 기반으로 제작되었습니다.

[그림 6] 유출된 코드와의 비교 화면

따라서 사용자 여러들은 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해야 하며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인하여야 합니다. 

현재 알약에서는 해당 악성코드에 대하여 ’Trojan.Agent.Qkkbal’로 탐지 중에 있습니다.





티스토리 방명록 작성
name password homepage