상세 컨텐츠

본문 제목

보험회사 위장 악성코드 메일 유포 중!

악성코드 분석 리포트

by 알약2 2020. 12. 17. 10:04

본문

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 

 

2020년 12월 16일 특정 보험사를 사칭한 ‘[00손해보험] 자동차보험 증권입니다.’라는 제목으로 스팸 메일을 통해 원격 제어 악성코드인 ‘NanoCore’가 유포되고 있습니다. 

 

 

[그림 1] 보험회사 위장 이메일 화면

 

 

첨부 파일을 확인해 보면 윈도우에서 소프트웨어 설치에 사용되는 Windows 캐비닛('.cab') 파일이 존재하며, 이 파일은 실행파일인 exe 파일을 포함합니다. 

 

 

[그림 2] 첨부파일 화면

 

 

이 악성코드는 파일을 실행하면 리소스 영역(RCData  WIOSOSOSOW)의 난독화된 쉘코드(Shellcode)를 실행합니다. 

 

 

[그림 3] 난독화된 ShellCode 화면

 

 

리소스 영역(RCData  WIOSOSOSOW) 난독화 된 쉘코드를 복호화하는 코드입니다. 

 

 

[그림 4] 리소스 복호화 코드

 

 

이 쉘코드는 exe 파일 내 숨겨진 난독화 된 데이터를 메모리 상에서 복호화합니다. 이때 생성된 PE 내 리소스 영역에는 실제 악성 행위를 수행하는 ‘NanoCore’ 페이로드가 존재합니다. 

 

 

[그림 5] 복호화 전/후 화면

 

[그림 6] 리소스에 숨겨진 페이로드



이 페이로드는 최종 자식 프로세스에 인젝션되어 실행됩니다. ‘NanoCore’는 RAT(Remote Access Trojan)으로 감염된 PC를 공격자의 서버(185.140.53.155)로부터 명령을 받아 원격 조작됩니다. 원격제어 기능은 키로깅, 스크린샷 캡처 및 계정 정보 수집과 같은 다양한 기능들을 지원합니다.

 

 

[그림 7] NanoCore 화면

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Gen:Variant.Razy.802650’, ‘Trojan.GenericKD.30598436’ 탐지 중입니다.




관련글 더보기

댓글 영역