포스팅 내용

악성코드 분석 리포트

제품 견적문의로 위장한 악성 데이터 탈취 프로세스


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2019년 05월 20일 오전, 제품 견적문의로 위장한 악성 파일이 포함된 피싱 메일이 유포된 정황이 확인되어 사용자들의 주의가 필요합니다. 


[그림 1]  '제품 문의 합니다.' 제목으로 전달된 악성 피싱 메일


이번에 발견된 악성 메일은 국내 포털 사이트 도메인인 'nate.com'을 악용하였으며, 이전에 유포되었던 피싱메일처럼 간단한 내용이 작성되어 있습니다.


해당 피싱 메일에는 '제품문의.egg'라는 제목의 압축 파일(.egg)이 첨부되어 있습니다.


해당 메일을 수신한 담당자가 제품 문의 관련 파일로 착각하여 압축 해제하면, 다음과 같이 Excel 파일처럼 보이는 실행 파일(.exe)을 확인하실 수 있습니다.



[그림 2] Excel 파일을 위장한 악성 실행 파일 화면


이번에 발견된 악성파일은 지금까지 발견된 악성파일과 다르게 파일명에 pdf, doc, xls와 같은 확장자명을 넣은 것이 아니라 파일 아이콘만 MS Excel 파일인 것처럼 꾸몄으며 확장자는 실행파일 확장자를 그대로 보여줍니다.


악성 프로세스 상세 분석


1. 키로깅   


실행 중인 프로세스 창 이름, 입력한 키를 레지스트리 'HKCU\Software\253f75f6c3a3329a440620364e726ce1'의 '[kl]' 값에 저장합니다. 아래는 저장되는 키로깅 데이터입니다.


[그림 3] 레지스트리에 키로깅 데이터를 저장하는 코드


2. 정보 전송


위에 저장된 키로깅 데이터는 공격자의 C&C(114.201.160.144:2677)으로 전송됩니다. 전송된 항목에는 컴퓨터 이름, 사용자 이름, 감염 시간, OS 정보, 현재 실행 중인 프로그램 이름 등이 있습니다.


[그림 4] C&C 연결 화면


[그림 5] 정보 수집 코드


3. 봇 기능 


이 악성 프로세스는 사용자 정보 전송 이후, 봇 기능을 수행하며, 주요 봇 기능에는 ‘다운로더’, ‘키로깅 데이터 전송’이 존재합니다. 봇 기능 중 다운로더 코드는 아래와 같습니다.


[그림 6] 봇 기능 중 다운로더 코드


이번에 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성파일에 대해 'Trojan.Agent.921600'으로 탐지 중에 있습니다.




티스토리 방명록 작성
name password homepage