분석 정보/악성코드 분석 정보

[악성코드 분석] 한국 사용자의 호기심을 자극하는 KONNI Malware 분석

TACHYON & ISARC 2017. 8. 11. 09:29

KONNI Malware 분석 




1. 개요 


최근 시스코 인텔리전스 그룹 탈로스에 의하여 KONNI 라고 명명된 악성코드가 발견되었다. 해당 악성코드는 사회적으로 관심을 가질만한 내용의 이메일을 보내 사용자들이 문서 파일인지 알고 내용을 열람 할 경우, 악성코드가 실행되도록 되어 있어 주의가 필요하다. 


이번 보고서에서는 ‘KONNI’ 악성코드는 어떠한 동작을 수행하는지 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

How can North Korean hydrogen bomb wipe out Manhattan.scr

파일크기

266,752 byte

진단명

Trojan/W32.Konni.266752

악성동작

드롭퍼











구분

내용

파일명

winnit.exe

파일크기

104,960 byte

진단명

Trojan-Downloader/W32.Konni.104960

악성동작

악성 DLL 로딩 / 백도어











구분

내용

파일명

conhote.dll

파일크기

40,960 byte

진단명

Trojan/W32.Konni.40960

악성동작

정보탈취













2-2. 유포 경로

해당 악성코드는 사용자가 첨부된 이메일 파일을 확인 시, 실행 되도록 유도하여 유포되고 있다.



2-3. 실행 과정

이메일에 첨부되어 있는 'Word'문서로 위장한 '.scr'파일을 사용자가 문서파일로 인식하여 열람할 경우, 시작 프로그램 폴더에 LNK파일을 생성하고 또다른 경로인 %TEMP%\..\ 상위 경로에 'winnit' 폴더를 만든다. 그 후 'conhote.dll' 파일과 'winnit.exe' 파일을 추가로 생성하여 실행 한다.


[그림 1] 동작 흐름도[그림 1] 동작 흐름도






[그림 2] 첨부 된 파일 열람[그림 2] 첨부 된 파일 열람





3. 숙주 파일 악성 동작


3-1. 파일 드롭

메일에 첨부 된 '.scr'파일은 추가적인 파일 드롭을 하기 위해 'Word'문서 아이콘으로 위장하고 있다. 이는 사용자가 실제 문서 파일을 열람한 것처럼 유도하여 추가적인 악성파일 동작을 수행하기 위한 것으로 확인 된다.


[그림 3] Word아이콘으로 위장한 파일[그림 3] Word아이콘으로 위장한 파일





[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭


[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭



3-2. 시작 프로그램 등록

해당 숙주파일을 실행하면 자동 실행 등록을 위해 시작 프로그램에 링크 파일을 생성하는 것을 확인할 수 있다. 링크 파일은 %TEMP%\..\ ‘winnit’ 폴더에 생성된 ‘winnit.exe’ 파일을 가리키고 있다.


[그림 5] 생성 된 LNK 파일[그림 5] 생성 된 LNK 파일




3-3. 문서 파일 위장

해당 숙주 파일은 실행 된 경로에 동일한 이름의 ‘.doc’ 형식 문서 파일을 만들어 OPEN 한다. 이는 사용자에게 메일에 첨부 된 파일이 실제 문서 파일을 실행 시킨 것과 동일하게 느끼도록 위장하기 위한 것으로 확인 된다. 원본 숙주 파일은 cmd.exe 를 이용하여 삭제 된다. 


[그림 6] 문서 파일 위장[그림 6] 문서 파일 위장





4. 드롭 된 파일 악성 동작


4-1. 정보 전송 및 다운로드

숙주파일에서 드롭 된 실행파일에서는 아래와 같이 특정 파일의 데이터를 읽어 원하는 정보를 수집하여 전송한다.


[그림 7] 특정 서버로 정보 전송[그림 7] 특정 서버로 정보 전송



[그림 8] 데이터를 수집하여 전송하는 부분[그림 8] 데이터를 수집하여 전송하는 부분




또한 추가로 파일을 다운로드하여 추가적인 악성 동작을 수행 할 수 있도록 한다.


[그림 9] 특정 파일 추가 다운로드[그림 9] 특정 파일 추가 다운로드





4-2. 악성 DLL 로딩

숙주파일에서 같이 드롭 된 악성 DLL파일을 로드 하여 추가적인 악성 동작을 수행하도록 한다. 


[그림 10] 악성 DLL 로드[그림 10] 악성 DLL 로드





4-3. 마우스 입력 정보 탈취

공격자는 앞서 드롭 된 실행파일에서 만들어 놓은 ‘Babylone’ 폴더 내부에 “screentmp.tmp” 생성하고 마우스 입력 이벤트를 가로채는 함수를 이용하여 사용자의 마우스 입력 정보를 기록하여 가로챌 수 있다. 


[그림 11] 마우스 이벤트 후킹[그림 11] 마우스 이벤트 후킹


[그림 12] 로그 저장[그림 12] 로그 저장





5. 결론

이번 보고서에서 분석한 악성 파일은 사회공학기법을 이용해 사용자가 관심을 가질만한 주제로 호기심을 자극하여 악성파일을 실행하도록 유도하고 있다. ‘KONNI’ 악성파일은 실행하였을 때, 실제 문서파일도 보여주기 때문에 일반 사용자가 이를 알아차리기가 쉽지 않아 주의가 필요하다.

백도어의 경우 공격자에 의해 또 다른 추가적인 악성파일을 다운로드 할 수 있으며, 지속적으로 사용자의 개인 정보가 탈취 당할 수 있다. 따라서 출처가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.

위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면