Trojan.Trickster.Gen 악성코드 분석 보고서

안녕하세요? 이스트시큐리티입니다.

과거부터 현재까지 기업을 대상으로 한 악성코드들이 꾸준히 발견되고 있습니다. 이번에 발견된 악성코드는 감염 PC를 통해 네트워크 전파, 추가 파일 다운로더, 가상화폐 채굴 기능을 수행합니다.

이 악성코드는 SMB 취약점인 ‘MS17-010’을 통해 내외부 네트워크로 전파되는 것이 특징입니다. 특히 이 취약점은 과거 WannaCryptor 랜섬웨어에 사용되어 큰 피해를 입혔으며 지금까지도 취약점 패치되지 않은 PC를 대상으로 악성코드 전파 목적으로 사용이 되고 있습니다. 

본 보고서에서는 앞서 언급한 기능을 수행하는 ii.dat, mn.dat 악성코드에 대해 각각 상세 분석하고자 합니다.

악성코드 상세 분석

이 파일은 감염 PC 정보 전송 및 다운로더 기능과 SMB 취약점을 통한 악성코드 전파 기능을 수행합니다.

1. 1 감염 PC 정보 탈취

윈도우 계정 비밀번호, MSSQL ‘sa’ 계정 비밀번호, 맥 어드레스, OS 정보, PC 이름, 자기 자신 파일 크기, 감염 PC 시간, 네트워크 스캔 횟수 정보를 수집합니다.

먼저, 윈도우 계정 정보 탈취하기 위해 오픈소스 해킹 도구인 미미카츠를 사용한다. 이 도구는 미미카츠가 인코딩되어 저장된 파워쉘 ‘m2.ps1’을 통해 실행됩니다. 이때 공격자는 백신으로부터 탐지를 회피하기 위해 파워쉘의 메모리에 미미카츠를 로드하여 실행하는 기능을 수행합니다.

[그림 1] 미미카츠 실행 화면

도구 실행 결과는 파이프 통신을 통해 ‘mkatz.ini’에 아래와 같이 저장되며, 윈도우 계정 이름 및 비밀번호 정보가 담겨 있습니다.

[그림 2] 미미카츠 내용이 저장된 ‘mkatz.ini’

또한 MSSQL 서버 시스템 관리자인 ‘sa’ 계정 비밀번호 탈취를 시도합니다. 이를 위해 MSSQL에서 사용하는 1433 포트의 활성화 여부를 확인합니다. 이후 ‘sa’ 계정에 대해 아래의 비밀번호로 Brute-Force 공격합니다.

[그림 3] ‘sa’ 계정에 Brute-Force 공격하는 코드

또한 MSSQL 서버 시스템 관리자인 ‘sa’ 계정 비밀번호 탈취를 시도합니다. 이를 위해 MSSQL에서 사용하는 1433 포트의 활성화 여부를 확인합니다. 이후 ‘sa’ 계정에 대해 아래의 비밀번호로 Brute-Force 공격합니다.

 

'','123456','password','qwerty','12345678','123456789','123','1234','123123','12345','12345678','123123123','1234567890', '88888888','111111111','000000','111111','112233','123321','654321','666666','888888','a123456','123456a','5201314', '1qaz2wsx','1q2w3e4r','qwe123','123qwe','a123456789','123456789a','baseball','dragon','football','iloveyou','password', 'sunshine','princess','welcome','abc123','monkey','!@#$%^&*','charlie','aa123456','Aa123456','admin','homelesspa', 'password1','1q2w3e4r5t','qwertyuiop','1qaz2wsx','sa','sasa','sa123','sql2005','1','admin@123','sa2008','1111','passw0rd', 'abc','abc123','abcdefg','sapassword','Aa12345678','ABCabc123','sqlpassword','1qaz2wsx','1qaz!QAZ','sql2008', 'ksa8hd4,m@~#$%^&*()','4yqbm4,m`~!@~#$%^&*(),.; ','4yqbm4,m`~!@~#$%^&(),.;', 'A123456','database','saadmin','sql2000','admin123','p@ssword','sql123','sasasa','adminsa','sql2010','sa12345','sa123456', 'saadmin','sqlpass'

추가적으로 OS 정보, PC 이름, 자기 자신 파일 크기, 감염PC 시간, 네트워크 스캔 횟수 정보를 수집합니다. 아래는 정보 수집 코드입니다.

[그림 4] 정보 수집 코드

수집된 정보는 아래의 C&C로 전송합니다.

info.abbny.com/ info.ackng.com/ info.beahh.com/

아래는 전송되는 감염PC 정보 화면입니다.

[그림 5] C&C로 전송되는 감염PC 정보 화면

1. 2 다운로더

정보 전송 이후, C&C에서 추가 파일 다운로드 및 실행한다. 다운로더 코드는 아래와 같습니다.

[그림 6] 다운로더 코드

1. 3 원격 PC로 악성코드 전파

SMB 취약점(MS17-010)을 이용해 내부 네트워크 및 임의의 외부 네트워크의 원격 PC로 악성코드를 전파합니다. 전파 대상 네트워크 목록은 아래와 같습니다.

1) 192.168.0.1/24, 192.168.1.1/24, 192.168.2.1/24, 192.168.3.1/24, 192.168.4.1/24, 192.168.5.1/24, 192.168.6.1/24, 192.168.7.1/24, 192.168.8.1/24, 192.168.9.1/24, 192.168.10.1/24, 192.168.18.1/24, 192.168.31.1/24, 192.168.199.1/24, 192.168.254.1/24, 192.168.67.1/24, 10.0.0.1/24, 10.0.1.1/24, 10.0.2.1/24, 10.1.1.1/24, 10.90.90.1/24, 10.1.10.1/24, 10.10.1.1/24,  2) netstat -na, ipconfig를 통해서 얻는 IP의 대역대 3) http://ip.42.pl/raw, http://jsonip.com에서 얻는 IP

SMB 취약점 코드는 아래와 같습니다.

[그림 7] SMB 취약점 코드

전파되는 악성코드는 자기 자신 ‘ii.dat’와 ‘p.bat’이며 각각 원격 PC의 ‘C:\Windows\temp\’ 폴더에 ‘msInstall.exe’, ‘p.bat’ 파일 이름으로 생성 및 실행됩니다.

[그림 8] 원격 PC로 악성코드를 전파하는 코드

최종적으로 원격 PC에서 실행되는 악성코드는 ‘msInstall.exe’에서 임의 이름의 악성 파일로 자가 복제, C&C 연결 목적의 ‘mshta.exe <C&C주소>’ 명령어를 작업 스케줄러에 등록합니다. 이 과정에서 스케쥴러를 통해 추가적인 파일 실행이 가능합니다.

[그림 9] 전파되는 악성코드(msInstall.exe) 실행

감염된 원격PC에서 ‘mshta.exe’를 통해 C&C(w.beahh.com/page.html)로 연결 시도하는 화면은 아래와 같습니다.

[그림 10] ‘mshta.exe’를 통해 C&C로 연결 시도하는 화면

2. 1 악성코드 설치

설치를 위해 아래 경로로 임의 파일명으로 자가 복제합니다. 

경로

C:\Users\(사용자계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup C:\Windows C:\Users\(사용자 계정)\AppData\Roaming

[표 1] 생성 파일명 및 경로

자가 복제된 파일 중 ‘Startup’ 폴더에 생성된 파일을 임의명으로 서비스 등록한다. 아래는  등록된 서비스 화면입니다.

[그림 11] 서비스 생성 화면

2. 2 감염PC 정보 전송

윈도우 시스템 파일인 ‘wmic’를 이용하여 GPU,UUID, MAC Address등 감염 PC 정보를 수집합니다. 아래는 wmic 명령어를 실행하는 화면을 보여줍니다.

[그림 12] ‘wmic’ 실행 화면

수집된 정보를 C&C로 전송하는 화면은 아래와 같습니다.

[그림 13] 수집된 정보를 C&C로 전송하는 화면

C&C 목록은 아래와 같습니다.

ii.ackng.com pp.abbny.com oo.beahh.com 153.92.4.49

2. 3 다운로더 기능

C&C로부터 명령을 받아 배치파일로 생성 및 실행합니다. 배치파일은 ‘%SYSTEMROOT%\temp’경로에 생성됩니다. 공격자의 명령으로부터 실행되는 배치파일은 “http://27.102.128.144/aio.dat %appdata%\aio.exe”로부터 파일을 다운받아 서비스 등록 및 실행을 수행합니다.

[그림 14] 파일 다운로드 및 서비스 등록하는 배치 파일 코드

C&C로부터 다운로드되는 채굴기 드로퍼 기능을 수행하며 생성된 파일은 Monero채굴기능을 수행합니다. 이 파일은 오픈소스 기반으로 제작되었습니다. 아래는 최종 페이로드 실행을 보여줍니다.

[그림 15] 모네로 채굴 화면

결론

‘ii.dat’ 악성코드는 SMB 취약점을 통한 악성코드 전파, 그리고 정보 전송 및 다운로더 기능을 수행합니다. 그리고 ‘mn.dat’는 다운로더 기능을 통해 가상화폐 채굴 악성코드를 다운로드 및 실행합니다. 이 파일들은 두 개의 동일한 C&C를 가지고 있습니다.

외부와 분리된 망을 가진 기업이더라도 SMB 취약점으로 인해 내부 네트워크를 통해 전파가 가능하며 가상화폐 채굴 기능 감염으로 인한 PC 속도 저하 문제 등으로 피해가 발생할 수 있어 주의가 필요합니다.

따라서 악성코드 예방을 위해 윈도우 업데이트 및 주로 사용하는 애플리케이션을 최신으로 업데이트하고, 백신으로 정기적으로 검사/치료해야 합니다.