[악성코드 분석] BERPOY.exe (인터넷 뱅킹 파밍, 인증서 탈취)

BERPOY.exe 악성코드 분석 보고서  

 

1. 개요

1.1. 파일정보

 

파일명	BERPOY.exe
파일크기	79,368 byte
진단명	Trojan/W32.KRBanker.79368
악성동작	인터넷 뱅킹 파밍, 인증서 탈취
연결대상	**7.**3.**9.**8
특징	DNS 및 host 파일 변조, 인증서를 네트워크로 전송

1.2. 분석환경

운영체제	Windows XP SP3
분석도구	Process Monitor, Process Explorer, Autorun, Regshot, Wireshark

​ 

1.3. 전체흐름도

​

 

 

 

 

​

2. 분석정보

​

2.1. 파일 유포 방식

 

특정 학회 웹 서버에 업로드된 악성파일 (http://ch*********.net/ba********/*/ BERPOY.exe) 이 다운로드 실행된다.

​

2.2. 샘플 분석

​

2.2.1. 파일 생성

 

본 샘플 파일은 실질적인 악성동작을 수행하지 않고, 수행하는 파일을 따로 생성하여 실행시킨다. 실행된 후에는 D드라이브 또는 C드라이브 하위에 랜덤 이름의 폴더를 생성한 후, 랜덤 이름의 파일을 드랍한 뒤 폴더 속성을 숨김으로 지정하여 사용자가 인지하기 어렵게 만든다. 생성된 파일은 각기 다른 이름과 확장자를 가지지만 파일 내용은 동일하다.

대다수 악성파일은 C드라이브 하위 폴더에 파일을 생성하는 데 반해 BERPOY.exe는 D드라이브 하위에 우선 생성하는 것이 첫 번째 특이점이며, 감염 시점마다 폴더와 파일명뿐만 아니라 파일 확장자도 랜덤 생성한다는 것이 두 번째 특이점이다.
(이미 감염된 환경에서의 재감염은 없다.) 

 

 

[그림]BERPOY.exe 악성동작 수행 파일 생성

​

 

2.2.2. 자동실행 레지스트리 등록 

실행 후에는 PC 재 부팅 시에 악성파일이 자동으로 실행될 수 있도록 레지스트리에 값을 등록한다.

​

레지스트리 키: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run                           값 이름: EvtMgr                           값 데이터: c:\windows\system32\rundll32.exe "D:\kpcebbs\zlfne.lnz",Connect

 

 

2.3. ZLFNE.LNZ 악성파일

2.3.1. DNS 변경

 

사용자의 DNS 설정을 변경한다.

 

DNS 1 = 127.0.0.1              DNS 2 = 8.8.8.8

 

이는 이후의 hosts 파일 변조 동작과 파밍을 위한 준비 작업이다.

 

 

2.3.2. HOSTS 파일 변조

 

k*****r.com 의 IP 주소 (**7.**3.**9.**8)를 알아오고 이를 이용하여 C:\windows\system32\drivers\etc\hosts 파일을 변경한 후, 동일한 경로에 복사본 hosts.ics 를 생성한다.

 

**7.**3.**9.**8    search.daum.net **7.**3.**9.**8    search.naver.com **7.**3.**9.**8    www.kbstar.com.ki **7.**3.**9.**8    www.knbank.co.kr.ki **7.**3.**9.**8    openbank.cu.co.kr.ki **7.**3.**9.**8    www.busanbank.co.kr.ki **7.**3.**9.**8    www.nonghyup.com.ki **7.**3.**9.**8    www.shinhan.com.ki **7.**3.**9.**8    www.wooribank.com.ki **7.**3.**9.**8    www.hanabank.com.ki **7.**3.**9.**8    www.epostbank.go.kr.ki

**7.**3.**9.**8    www.lottirich.co.ki **7.**3.**9.**8    www.nlotto.co.ki **7.**3.**9.**8    www.gmarket.net **7.**3.**9.**8    nate.com **7.**3.**9.**8    www.nate.com **7.**3.**9.**8    daum.com **7.**3.**9.**8    www.daum.net **7.**3.**9.**8    daum.net **7.**3.**9.**8    www.zum.com **7.**3.**9.**8    zum.com **7.**3.**9.**8    naver.com

[표]변조된 hosts.ics, hosts파일 내용

 

 

hosts 파일 내에는 naver.com, daum.net 등과 같이 사용자가 주로 접속하는 검색엔진 홈페이지 주소와 kbstar.com, knbank.co.kr 등과 같은 금융권 홈페이지 주소가 등록되어 있다.

검색엔진의 도메인을 입력하면 hosts 파일에 의해 **7.**3.**9.**8 으로 연결되어 가짜 검색엔진 홈페이지가 보여지고 검색, 로그인, 이미지 표시 등이 정상적으로 동작하지 않는다. 또한 홈페이지 가운데에 종료할 수 없는 “금융감독원” 팝업을 발생시켜 사용자가 금융권 페이지로 접속하기를 유도한다.

 

 

 

[그림]가짜 검색엔진 홈페이지

 

팝업창의 은행 로고를 클릭할 경우, 가짜 금융권 사이트로 연결된다. 이 때, 연결된 페이지에서 어느 것을 클릭해도 “보다 안전한 서비스 이용을 위하여 추가 인증이 필요합니다” 라는 내용의 팝업을 발생시키고 변조된 “전자금융사기예방서비스” 홈페이지로 강제 연결된다. 접속된 페이지에선 사용자의 이름, 주민번호, 비밀번호, 보안카드 등 주요 개인정보들의 입력을 유도한다.

 

 

 

 

 

[그림]변조된 전자금융사기예방서비스 페이지

 

 

2.3.3. 인증서 탈취

 

hosts 파일을 변조하여 개인정보 탈취 준비를 마친 후, 특정 경로 하위 NPKI 폴더의 존재여부를 검사하여 인증서의 유무를 확인하고 인증서를 특정 서버 (http://**7.**3.**1.**9:****4 /u.php) 로 전송한다.

 

 

 

[그림]인증서 전송 패킷