포스팅 내용

악성코드 분석 리포트

[악성코드 분석리포트] Spyware.Infostealer.AuNet

Spyware.Infostealer.AuNet


이번에 분석할 악성코드는 구매 내역 관련 내용이 기재된 메일 혹은 이와 유사한 방식의 금융권에서 발송되는 메일을 가장하고 있으며 주로 이메일을 통해 유포되고 있습니다. 송금정보 등의 단순한 스팸 메일이 아닌, 실제로 자신이 인터넷 상에서 이용한 구매 내역 혹은 결제 관련 내용을 포함하여 사용자들이 해당 메일을 정상 메일로 착각하게 만든 후 악성코드를 실행하도록 유도합니다.


이번 악성코드 분석리포트에서는 이와 같이 구매 내역 관련 메일로 위장하여 배포되는 악성코드에 대해서 살펴보았습니다.



첨부된 PO INQUIRY.PDF.ZIP 파일은 압축실행 형태인 PO INQUIRY.PDF.exe 파일을 포함하고 있습니다.




악성코드 순서도




악성코드 상세 분석


※ 악성파일 분석(PO INQUIRY.PDF.exe)

   

-파일 정보

Detection Name 

File Name 

MD5 

Size(Byte) 

 Trojan.Dropper.SFX

 PO INQUIRY.PDF.exe

 19E55CAAB888ED976231D71F0A74DBEE

1,231,823


[그림 1] 압축 파일 내부 파일 정보


PO INQUIRY.PDF.exe는 RAR SFX 타입의 실행압축파일이며, 다음과 같은 핵심 악성 파일들을 포함하고 있습니다.


  No 

 파일명 

 설명 

 악성여

 1

 Hotlss.exe

 AutoIt 스크립트 엔진 실행 파일

 X

 2

Swqtcntxrk.XIM 

RC4 암호화된 추가 악성 실행 파일

  O 

 3

 Unklce.TNQ

악성코드 엔진 환경설정 파일  

 O

 4

Wdsrvqxx 

AutoIt 악성 엔진 스크립트 파일 

 O

[표 1] 각 파일 별 개요


PDF 파일로 위장한 ‘PO INQUIRY.PDF.exe’ 파일이 실행되면 4개의 파일이 %USER%\krn7gn86g46fl\ 경로에 설치됩니다. 이때 최초 실행되는 파일은 ‘Hotlss.exe’ 이며 해당 파일은 AutoIt3 기반에 스크립트를 실행하는 파일로 악성 스크립트 포함하고 있지 않으므로 해당 파일 자체는 악성코드가 아닙니다. 따라서 악성행위를 하기 위해서는 해당 스크립트 파일인 ‘Wdsrvqxx’ 파일의 경로를 ‘Hotlss.exe’ 파일 실행 시 전달하여 AutoIt 스크립트가 동작합니다.


※ 악성파일 분석(Wdsrvqxx)

  

-파일 정보

Detection Name 

File Name 

MD5 

Size(Byte) 

 Spyware.Infostealer.AuNet

Wdsrvqxx

 0FAA537180A9B4A30C10145867EC8975

229,568,493


본 악성 스크립트는 화면 캡처, 프로세스 생성, 작업관리자 실행 방해, 관리자 권한 실행 등의 다양한 악성 기능이 포함되어 있습니다. 이와 같이 여러 악성 기능들이 포함되어 있지만, 생성된 파일 중 환경 설정을 저장하고 있는 ‘uzklce.TNQ’ 파일에 기록된 명령어들을 읽어 특정 기능들만 동작하게 됩니다.


[그림 2] 악성코드 명령 목록


[그림 2]을 참고하면 여러 기능들 중 3개의 행위에 대하여서만 동작하는 것을 확인할 수 있습니다.


5745268 명령


[그림 3] 악성 스크립트 실행 VB 스크립트 생성 및 실행 코드


5074122 명령


[그림 4] 시작 시 자동실행 스크립트 생성


지속적인 실행을 위하여 자동실행을 등록해 최초 실행 이후에도 동작할 수 있도록 합니다.


4414011 명령


[그림 5] 복호화된 실행파일 하이재킹 실행


[그림 5] 의 4414011 명령이 핵심적인 기능을 동작하는 모듈을 실행시키는 부분입니다. RC4 알고리즘으로 암호화된 ‘swqtcntxrk.XIM’ 파일을 복호화한 후 실제 동작하는 악성코드를 실행하여 정보 수집 기능이 동작됩니다.


※ 악성파일 분석(swqtcntxrk.XIM)


-파일 정보

Detection Name 

File Name 

MD5 

Size(Byte) 

 Spyware.Infostealer.AuNet

swqtcntxrk.XIM

2FE47B1669A24CC494D026464841CDCA

514,560


최종적으로 동작하는 악성코드 ‘Spyware.Infostealer.AuNet’ 입니다. 정보 탈취 기능을 제외한 기능들은 대부분 비활성화된 기능이며, 비활성화된 기능들은 대체로 정보 탈취 기능과 무관한 특정 프로세스(cmd, msconfig 등 운영체제 기본 프로세스) 차단 기능들로 악성코드의 수행 목적과는 동떨어진 기능들이므로 실제 악성코드 동작에는 아무런 영향이 없는 것으로 확인되었습니다.


[그림 6] 기능 비활성화 여부 변수에 대한 초기화 코드


[그림 7] 기능 동작 여부에 대한 판단 코드


기능의 동작여부를 판단하는 악성코드 내부의 문자열로 문자열의 시작 부분에 Disable 이라는 단어를 추가하여 해당 문자열이 존재할 경우 해당 기능은 동작하지 않습니다. [그림 6]과 [그림 7]을 확인해보면 logger 변수에 ‘logger’ 라는 문자열을 저장하고 있으며, [그림 7]에서는 해당 변수에 저장된 문자열이 ‘Disablelogger’ 인지 확인 하고 있습니다. 만일 해당 문자열이 아닐 경우, 아래의 기능들을 수행하여 키보드 입력정보에 대한 수집 기능을 동작시킵니다.


 활성화 기능 목록

 비활성화 기능 목록  

 시스템 정보 습득

 메일 계정 정보 습득

 웹 접속 정보 습득

 키보드 입력 정보 수집

 마인크래프트 로그인 파일 탈취

 추가 기능 다운로드

 SSL 통신

 Regedit 차단

 cmd 차단

 Msconfig 차단

 스팀 차단


각 기능별 상세 구현 분석 내용은 다음과 같습니다.


- 메일 계정 정보 습득 기능 구현


[그림 8] 메일 계정 정보 습득


StealMail 메소드는 리소스 내 프로그램 [mailpv]를 실행하여 수집된 메일 계정 정보를 텍스트 파일로 저장합니다.


\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /stext "%TEMP%\holdermail.txt


이후 해당 텍스트 파일을 다시 읽어 내용을 보관하고, 파일은 삭제합니다.


- 웹 접속 정보 습득 및 시스템 정보 수집 기능 구현


[그림 9] 웹 접속 정보 습득 및 시스템 정보 수집 기능


stealWebroswers 메소드는 StealMail 메소드와 마찬가지로, 리소스 내 프로그램 [WebBrowserPassView]를 실행하여 수집된 웹 접속 정보를 텍스트 파일로 저장합니다.


\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /stext "%TEMP%\holderwb.txt


이후 해당 텍스트 파일을 다시 읽어 내용을 보관하고, 파일은 삭제합니다.


본 악성코드에서 사용된 ‘Mail PassView’ 및 ‘WebBrowserPassView’는 nirsoft사에서 제공되는 무료 유틸리티이나, 민감한 정보 수집에 있어 악성행위로 간주하므로 알약에서는 Misc.HackTool.WebBrowserPassView, Misc.HackTool.MailPassView로 탐지하고 있습니다. 


- 키 보드 입력정보 수집 기능


[그림 10] 입력된 키보드 정보를 수집하기 위하여 LowLevelKeyboardProc 설치


LowLevelKeyboardProc으로 전달받은 현재 입력된 키보드 정보를 문자열로 치환합니다.


[그림 11] 최종 정보 저장 코드


입력된 키와 더불어 현재 입력된 프로그램의 타이틀, 입력 시간 등을 기록하여 어떠한 프로그램에서 입력되었는지 식별 가능하도록 구성하여 저장합니다.


- 마인크래프트 계정 정보 습득 기능 구현


[그림 12] 마인크래프트 로그인 파일 전송 코드


정보 수집 이유는 알 수 없지만 %APPLICATION DATA%폴더 내 마인크래프트의 데이터 파일 중 로그인 파일을 추출하여 로그인 정보를 수집합니다. 최종적으로 수집된 정보들은 악성코드 배포자에게 다시 전달됩니다. C&C 서버 등과 같은 통신이 아닌 Email, FTP업로드 등의 방식을 통하여 수집된 정보를 전송합니다.



결론


공격자는 특정 은행권 혹은 인터넷 사이트의 결제 메일을 위장한 문서 파일을 사용자들에게 전송하는 방식으로 악성코드를 유포시키고 있습니다. 만일 문서파일에 적혀있는 사이트들이 이용한 경험이 있는 경우라면 악성파일을 정상 파일로 오인하고 실행시킬 수 있습니다. 그러나 해당 파일을 클릭하면 악성코드가 실행되며 악성코드가 실행된 상태에서 해당 사이트에 접속할 경우, 키보드 입력정보 탈취 기능 등을 이용하여 해당 사이트의 계정정보가 유출될 수 있습니다. 더불어 이는 2,3차 피해로 이어질 가능성이 매우 큽니다.


시스템 혹은 프로그램이 지속해서 발전하고 있지만, 틈새를 파고드는 공격방식은 날로 진화하고 있습니다. 이러한 스피어피싱 류의 공격을 예방하기 위해서는 사용자 스스로 판단하여 의심스러운 메일의 첨부파일은 실행하지 말아야 하며, 최소한의 피해 예방대책으로 해당 첨부파일을 신뢰할 수 있는 백신으로 검사한 이후 실행할 것을 권장드립니다.







티스토리 방명록 작성
name password homepage