상세 컨텐츠

본문 제목

[악성코드 분석리포트] Spyware. Banker. Dridex

악성코드 분석 리포트

by 알약(Alyac) 2015. 3. 2. 15:03

본문

Spyware. Banker. Dridex


이메일을 통한 공격은 과거부터 성공률이 매우 높은 공격 방법 중 하나입니다. 얼마 전 크게 이슈가 되었던 국가시설의 악성코드를 비롯해, 2013년에 성행했던 카드명세서 위장 악성코드 링크 첨부 메일, 뉴스에 자주 보도되는 한글문서 취약점 악용 메일 등 이메일 공격은 매년 크고 작은 보안 사고에 시발점이 되었습니다.


이메일 공격의 감염 방식은 다양합니다. 하나는 악성코드 실행파일을 메일에 직접 첨부하는 기본적인 방법입니다. 또는 메일 내에 악성코드가 감염될 수 있는 웹링크를 삽입합니다. 첨부되는 파일 또한 다양한데, 사용자 PC 취약점을 통해 악성 실행파일이 설치되는 문서 파일을 보내기도 합니다.


한편, 최근 외국계 은행을 대상으로 여러 악성행위를 할 수 있는 이메일이 발견되었습니다.


공격자는 메일에 악성코드가 포함된 문서파일을 첨부하는 방법을 사용했으며, 해당 이메일은 불특정 다수에게 대량 유포되었습니다. 


[그림 1] 스팸으로 전달되는 이메일



악성파일 동작 방법




악성코드 상세 분석


※ 악성파일 분석(첨부파일)


첨부 파일은 워드 형식입니다. 특이한 점은 문서에 매크로가 포함되어 있다는 것입니다.


[그림 2] 첨부 워드 파일


실행되는 매크로는 아래와 같습니다.


[그림 3] 워드 파일에서 실행하는 스크립트


스크립트가 실행되면, 아래의 주소에 접속하여 temp 폴더에 악성코드를 다운로드합니다.


[그림 4] 다운로더 IP주소



※ 악성파일 분석(zxcvb.exe)


[그림 5] ESET 백신 레지스트리 접근


사용자가 ESET NOD32를 사용할 경우, 생성되는 레지스트리 경로에 접근하여 설치 여부를 확인합니다.


[그림 6] DataDir 경로 확인


[그림 5]의 Decrypt 이후, 레지스트리 경로에서 ‘AppDataDir’가 저장된 경로를 획득한다.


[그림 7] 삭제된 파일 목록


[그림 6]의 폴더는 특정 안티 바이러스 프로그램의 업데이트 파일로, 악성코드는 이에 접근한 후 ‘updfiles’의 하위 폴더에 모든 파일 삭제를 수행합니다.


[그림 8] 설치된 프로그램 정보 수집


실행중인 PC에 설치된 프로그램의 DisplayName, DisplayVersion 2개의 정보가 존재하거나, “KB” 라는 문자열(윈도우 업데이트)이 포함될 경우 수집합니다.


[그림 9] 생성된 감염PC정보

  

[그림 10] C&C와 통신하기 위한 봇넷의 설정 정보

   

[그림 11] C&C와 통신

 

C&C에 접속하여, 실제 악성행위를 수행하는 ‘RC4로 암호화된 봇메인’을 다운로드 받습니다.


[그림 12] 다운받은 봇메인 실행


C&C 서버와 통신하여 내려 받은 DLL을 통해, ‘rundll32.exe’를 이용하여 ‘NotifierInit’ Export 함수를 실행합니다.



※ 악성파일 분석(zxcvb.dll)


해당 악성코드는 하이재킹에 의해 실행되는 DllMain이 특이하게 구성되어 있는 것이 특징입니다.


[그림 13] 공격자의 의도된 분석 방해


공격자는 일반적으로 사용되지 않는 예약 인자 lpReserved의 값을 확인하며, 이후 실행에 사용합니다. 이는 하이재킹 과정에서 대입되어 사용되므로, 분석가가 단독으로 dll 행위기반 분석 시도했을 경우, 아무런 실행 결과를 얻을 수 없게 의도되어 있습니다.


그리고 현재 하이재킹된 프로세스가 다음과 같을 경우, 봇넷 기능 및 용도별 추가 악성행위를 수행합니다.

   

          · explorer         · iexplorer           · chrome          · firefox

  

 No

 기능명 

 1

 다운로드 및 실행

 2

 파이어폭스 유저 데이터 탈취

 3

 크롬 유저 데이터 탈취

 4

 지정 레지스트리 삭제

 5

 윈도우 인증서 탈취

 6

 SYSTEMINFO 타입 확인

 7

 Fixed Drive 타입 확인

 8

 봇넷 종료

 9

 MBR 파괴 및 봇넷 종료

[표 1] 주요 봇넷의 기능


explorer의 경우, 지속적으로 프로세스 목록을 확인하여 위에 언급된 브라우저가 확인되면 하이재킹을 수행합니다.


IE, 크롬, 파이어폭스의 경우, 아래 3가지 공통적인 행위를 실행합니다.

    

1. Trusteer 사 Rapport 보안솔루션 브라우저 모듈 메모리해킹 시도

2. Network 관련 주요 함수 인라인 후킹

3. 키로깅 및 스크린샷


[그림 14] 특정 브라우저에 대한 후킹#1

  

[그림 15] 특정 브라우저에 대한 후킹#2

  

 [그림 16] 특정 브라우저에 대한 후킹#3

   

악성코드는 위 브라우저에 대한 기술을 기반으로, 아래와 같은 기능을 C&C로부터 XML 내용으로 명령 받아 처리합니다.

 기능

 기능설명

 Httpshots

 URL이 패턴과 일치할 경우 스크린샷

 Formgrabber

 URL이 패턴과 일치할 경우 접근 통제 

 Clickshots

 URL이 패턴과 일치하고 클릭횟수가 조건에 다다르면 스크린샷

 Bconnect

 백도어 연결

 Vncconnect

 VNC 연결

 Redirects

 지정 url 진입 시 리다이렉트

 Httpinjects

 지정 url 집입 시 http 인젝션

[표 2] 브라우저용 주요 명령


아래는 Redirects 및 httpinjects기능에 대한 xml 예제 명령입니다. 


[그림 17] 특정 은행 대상 악성 행위 C&C 명령



악성코드 분석 결론


이번에 분석한 악성코드는 기존 제우스 봇이라 알려진 악성코드와 유사하며, Blackhole Exploit Kit이란 전문적인 악성코드 제작 도구를 이용해 만들어졌습니다.


우연하게 얻어낸 작은 정보를 활용하여 지인이나 특정 그룹을 공격하는 이메일 악성코드는 오래 전부터 매우 큰 효과를 발휘했습니다. 공격자들은 기술적으로 신종을 만들기보다는, 어떻게 하면 사람들을 좀 더 쉽게 악성코드에 감염되도록 속일 수 있을까 고민하고 있습니다. ‘사회공학적 기법’을 이용하여 악성코드를 응용하는 것입니다. 


따라서 사용자들은 평소 PC∙인터넷 관련 보안 수칙을 준수하여, 의심스러운 메일 내 첨부파일은 열어보기 전 백신으로 먼저 검사하는 등 주의를 기울여야 합니다.

   


※ 관련 내용은 알약 보안동향보고서 1월호에서도 확인하실 수 있습니다. 

   


관련글 더보기

댓글 영역