포스팅 내용

악성코드 분석 리포트

원격 제어 프로그램인 ‘NanoCore’를 실행하는 악성 메일 주의!



안녕하세요.

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


5/25 OLE 내부에 PE가 포함된 형태의 악성문서가 첨부된 메일이 발견되었습니다.


"Scan Copy_PO#~~"라는 제목의 이 악성 메일에는 공격자에 의해 조작된 Word 문서가 포함되어 있으며, 메일 본문은 어색한 한국어로 작성되어 있습니다. 


ESRC에서는 해당 피싱 메일에 첨부된 악성 파일 (SCAN+COPY.doc/Scan+Copy.docx.exe)에 대해 분석해 보았습니다.


유포 중인 악성 이메일은 첨부된 사진 스캔 사본을 확인하라는 내용을 담고 있습니다. 



  [그림 1] 악성 메일 본문



첨부된 doc 문서를 확인하면 아래와 같이 ‘보안 파일을 보려면 누르십시오’라는 안내를 보여주며 사용자의 클릭을 유도합니다.



  [그림 2] 사용자의 클릭을 유도하는 DOC 문서 화면



사용자가 안내를 따라 클릭을 하면 ‘Scan+Copy.docx.exe’라는 악성코드가 실행됩니다.



  [그림 3] 악성코드 실행 화면



실행 파일은 난독화되어 있으며 디코딩 결과 원격 제어 프로그램인 ‘NanoCore’인 것으로 확인되었습니다.



[그림 4] NanoCore 디코딩 코드



이 악성코드는 %temp% 경로 하위 win32.exe 파일명으로 자가복제하여 정상 파일로 위장하며 부팅 시에도 자동 실행되도록 레지스트리에 등록합니다. 


주 악성 행위로 C&C 서버와 통신하여 키로깅, 원격제어 등의 해킹이 가능한 백도어 기능을 수행하게 되며 감염된 시스템으로부터 데이터를 수집하게 됩니다.



  [그림 5] 키로깅 데이터



수집된 데이터는 사전에 공격자가 세팅해둔 C&C로 전송됩니다. 


따라서 출처가 불분명한 메일을 확인할 경우에는 미리보기 기능을 활용하고, 메일 열람에 각별한 주의를 기울여야 합니다. 


현재 알약에서는 해당 악성 샘플에 대해 "Trojan.Downloader.DOC.Gen, Trojan.Agent.Wacatac, Backdoor.RAT.MSIL.NanoCore"으로 탐지 중입니다.



티스토리 방명록 작성
name password homepage