Gold Dragon 악성코드 주의



1. 개요 


최근, 국내에서 열렸던 2018년 평창 올림픽이 무사히 막을 내렸다. 올림픽 기간 중에도 보안과 관련된 이슈는 끊임없이 계속 발생하였지만 그 중, 흥미롭게도 해외 한 백신 업체에서 평창 올림픽을 겨냥한 것으로 추정되는 악성코드에 대한 보고서를 기재하였다.

게시된 글을 확인해보면 ‘Gold Dragon’ 이라고 불려지고 있는 파일에 대하여 내용이 다루어져 있다는 것을 확인할 수 있었는데, 이번 블로그에서는 해당 악성코드에 대해 어떠한 동작을 하는지 간단히 알아보도록 하자.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

49,152 byte

진단명

Trojan/W32.Agent.49152.CRX

악성동작

정보 탈취 / 추가 악성코드 다운 및 실행













2-3. 실행 과정

해당 '[임의의 파일명].exe' 를 실행하면 특정 프로세스를 탐색하여 종료하고, 특정 경로에 파일을 생성한다. 생성된 파일에 사용자의 바탕화면 목록, 실행중인 프로세스 목록, 랜카드 정보 등의 다양한 정보를 15분 간격으로 수집하며 이외에도 추가적인 악성코드를 다운로드 받아 실행시킨다.







3. 악성 동작


3-1. 특정 프로세스 종료

해당 악성코드는 실행 시 현재 실행 중인 프로세스 목록을 불러와서 'v3.exe' 또는 'Cleaner.exe' 같은 사용자의 PC를 보호하기 위한 프로그램 종료를 시도한다


[그림 1] 특정 프로세스 종료 코드[그림 1] 특정 프로세스 종료 코드





3-2. 사용자 정보 탈취

실행된 악성코드는 '%AppData%\Microsoft' 하위에 'HNC' 라는 이름의 폴더를 생성하고 '1.hwp' 파일을 'HNC' 폴더 안에 생성한다.


[그림 2] 수집한 정보 임시저장 파일[그림 2] 수집한 정보 임시저장 파일





이후 명령프롬프트 창에 아래와 같은 명령어를 인자로 주어 실행시킨다. 이러한 방식을 이용하여 다양한 정보를 수집한 후에 이전에 생성했던 임시 저장 파일인 '1.hwp' 파일에 저장한다.


[그림 3] 정보 탈취 명령어의 일부[그림 3] 정보 탈취 명령어의 일부





저장되는 정보의 종류로는 기본적인 PC 의 관련된 정보와 함께 랜카드 정보, 바탕화면 목록, 최근 오픈한 문서파일 정보, 실행중인 프로세스 정보 등이 해당된다.


[그림 4] 탈취하는 정보의 일부[그림 4] 탈취하는 정보의 일부




[그림 5] 랜카드 정보[그림 5] 랜카드 정보






필요한 정보를 저장한 후에 저장한 정보를 인코딩하여 특정 도메인의 공격자 서버로 전송한다. 이러한 정보수집 및 전송 행위는 15분 간격으로 반복하여 수행하며, 그 때문에 계속해서 변화하는 정보를 수집할 수 있다.


[그림 6] 수집한 정보 전송[그림 6] 수집한 정보 전송






3-3. 추가 악성코드 다운로드 및 실행

추가 악성코드를 실행하기 위해서 이전의 정보를 전송했던 곳과 같은 도메인을 통해 추가적인 데이터를 다운로드 요청한다.


[그림 7] 다운로드 요청[그림 7] 다운로드 요청





추가적인 데이터를 다운 받을 경우 이를 이전에 생성했던 '%Appdata%\Microsoft\HNC' 경로 하위에 'hupdate.ex' 파일로 생성하여 받아온 데이터를 파일에 덮어씌운다.


[그림 8] 다운받은 파일[그림 8] 다운받은 파일





새롭게 생성한 'hupdate.ex' 파일을 프로세스로 실행한다. 현재는 서버와 연결되지 않아 추가 악성코드의 실행 위험은 없으나 서버가 활성화되면 언제라도 추가적으로 악성코드를 다운받아 실행할 수 있다.


[그림 9] 추가 다운로드 파일 실행 코드[그림 9] 추가 다운로드 파일 실행 코드






4. 결론

이번 보고서에서 알아 본 'GoldDragon' 악성코드는 사용자 PC 의 정보를 수집하고 추가 악성코드를 다운받아 실행함으로써 추후의 공격을 위한 정찰병과 같은 역할로 생각할 수 있다. 

평창 올림픽 기간처럼 특별한 기간을 노리는 악성코드들의 움직임들은 빈번히 발생되었다. 평상시에도 주의를 기울여야 하지만 올림픽 기간과 같이 전세계적으로 이목이 집중 되는 기간에는 좀 더 사용자들의 주의가 필요할 것으로 보여진다.
또한, 신뢰할 수 없는 이메일의 첨부파일이나 다운받은 파일들을 실행하지 않도록 하고 사용하고 있는 OS 나 백신 제품을 항상 최신 버전으로 업데이트 하도록 하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면














Posted by nProtect & TACHYON

평창 올림픽 이벤트성 프로그램으로 위장한 악성코드 주의


1. 개요 


2018년 평창 올림픽을 맞이하여 이를 노린 사이버 공격도 기승을 부리고 있다. 이번에 발견된 'OlympicGames.exe' 파일 역시 그러한 공격들 중에 하나로써 실행할 경우 사용자의 정보를 전송하고 추가 데이터를 사용자 몰래 다운로드한다. 악성코드의 메인 화면 역시 올림픽 이벤트 프로그램으로 보이기 위해서 그럴듯한 배경으로 사용자를 현혹한다. 자세하게 살펴보면 배경화면에 보이는 로고들이 평창올림픽과 다르다는 점을 찾을 수 있지만, 쉽게 알아차릴 수 없어 사용자의 피해가 우려된다.


이번 보고서에서는 올림픽과 관계된 요소들을 넣어 사용자들을 속이고 이벤트성 프로그램으로 위장한 'OlympicGames.exe' 파일에 대해서 알아보고자 한다.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

OlympicGames.exe

파일크기

1,199,104 byte

진단명

Trojan-Dropper/W32.Agent.1199104

악성동작

드롭퍼




구분

내용

파일명

winupdate.exe

파일크기

130,048 byte

진단명

Trojan-Dropper/W32.Sysn.130048.B

악성동작

추가 데이터 다운로드






2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만, 이벤트성 프로그램을 위장하고 있어 국내 불특정 다수를 대상으로 웹사이트에서 공유되어 유포되었을 것으로 추정된다.




2-3. 실행 과정

'OlympicGames.exe' 를 실행할 경우 사용자를 속이기 위해, 2018 평창 올림픽 관련 이벤트성 프로그램인 것처럼 아래 [그림 1]과 같은 메인 화면을 띄운다. 자세히 살펴보면 평창 올림픽 로고 모양이 다르다는 것을 알 수 있지만 생각보다 많은 사용자들이 별다른 의심 없이 이름과 이메일 주소를 기입하게 된다. 이때 기입한 정보는 공격자의 서버로 전송된다.


[그림 1] 악성코드 실행시 메인화면[그림 1] 악성코드 실행시 메인화면




실행된 'OlympicGames.exe' 파일은 %Temp% 경로에 'winupdate.exe' 라는 또 다른 악성코드를 생성하고 실행한다.


[그림 2] 'winupdate.exe' 드랍 후 실행[그림 2] 'winupdate.exe' 드랍 후 실행




'winupdate.exe' 파일은 윈도우 부팅시 자동으로 실행될 수 있도록 'Run' 레지스트리 값에 자기 자신을 등록한다. 이는 사용자가 PC 를 재부팅 할 경우에도 동작하기 위한 의도로 보인다.


[그림 3] 자동시작 레지스트리 값 등록[그림 3] 자동시작 레지스트리 값 등록




추가적으로 윈도우가 부팅되어 있는 평소에도 지속적으로 실행될 수 있도록 %Temp% 경로 내의 'c.bat' 파일을 생성하여 실행시킨다. 'c.bat' 파일 내부에는 스케줄러에 예약작업으로 'winupdate.exe' 파일을 등록하는 코드가 존재한다.


[그림 4] 생성된 c.bat 파일 [그림 4] 생성된 c.bat 파일


[그림 5] c.bat 파일 내부에 존재하는 코드[그림 5] c.bat 파일 내부에 존재하는 코드








3. 악성 동작


3-1. 사용자 정보 전송

처음 'OlympicGames.exe' 파일이 실행되면서 사용자를 속이기 위해 보여주었던 메인화면에서 사용자가 이름과 이메일을 입력하게 되면 입력한 정보는 공격자의 서버로 전송된다.


[그림 6] 사용자 정보 전송[그림 6] 사용자 정보 전송




만약 공격자의 서버와 통신이 실패할 경우 아래와 같은 오류 메시지가 출력된다. 악성코드에서 흔하게 나오지는 않는 방식으로, 오류창을 띄워 정상 프로그램으로 보이기 위한 위장으로 보인다.


[그림 7] 통신 시도 실패 오류창[그림 7] 통신 시도 실패 오류창





3-2. 추가 데이터 다운로드

'winupdate.exe' 파일은 몇개의 특정한 도메인과 통신하며 추가적인 데이터를 다운로드 받는다. 현재 분석시점에서는 통신만 되는 상태로 제대로된 데이터는 존재하지 않는 상태이다.


[그림 8] 추가 데이터 다운로드[그림 8] 추가 데이터 다운로드




4. 결론

이번 보고서에서 알아본 것처럼 특별한 행사나 축제를 노려 악성코드를 유포하는 방식은 이전부터 자주 사용되었던 방식이다. 이미 오래전부터 써오던 고전적인 방식임에도 불구하고 실행하여 피해를 보는 이들이 많다. 이처럼 정상파일을 위장하고 행사나 축제와 관계된 요소들을 사용하여 유포되기 때문에 피해가 발생하지 않도록 PC를 사용함에 있어서 더욱 주의를 기울여야 한다. 여기서 소개한 'OlympicGames.exe' 파일 외에도 올림픽을 겨냥하여 유포되는 악성코드들이 계속해서 발견되고 있는 추세이기 때문에 신뢰할 수 없는 파일이나 이메일 등을 함부로 열어보지 않도록 유의하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면














Posted by nProtect & TACHYON

음란물 사이트를 통해 유포하는 협박성 악성코드 감염 주의


1. 개요 


해외 음란물 사이트를 통해 유포된 이번 악성코드는 아동 음란물 다운로드 및 유포 행위에 대한 신고를 빌미로 사용자에게가상화폐를 요구한다. 감염 시스템상의 피해를 주진 않지만 금전 갈취를 목적으로 사용자PC에서 수집한 정보를 공개하고 있어 주의를 기울여야 한다. 

이번 보고서에는 가상화폐를 요구하는 협박성 악성코드에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

616,448 byte

진단명

Trojan/W32.PornBlackMailer.616448

악성동작

가상화폐 요구 협박













2-2. 유포 경로

해외 음란물 사이트를 통해 유포한다.




2-3. 실행 과정

악성코드를 실행하면 자기 자신을 ‘%appdata%’ 경로에 ‘temps.exe’ 라는 이름으로 복사하여 실행시킨다. 실행된 ‘temps.exe’ 는 사용자의 화면을 캡처하고 위치정보나 PC정보를 수집한다. 이후 바탕화면 경로에 ‘READ_ME.txt’ 파일을 생성한다.


아래 그림은 ‘READ_ME.txt’ 파일의 내용으로 요약하면 “당신은 아동 음란물을 보고 유포하였으며 가상화폐 0.01 코인을 24시간 내에 보내지 않으면 당신의 PC정보가 자동으로 경찰에 발송되어 처벌받게 될 것이다.” 라며 입금할 가상화폐 지갑주소를 안내하고 있다.


[그림 1] READ_ME.TXT 내용[그림 1] READ_ME.TXT 내용







3. 악성 동작


3-1. 사용자 화면 캡쳐

실제 사용자의 PC정보가 탈취되었다는 것을 감염자에게 확신시키기 위해 악성코드가 수집한 정보를 특정 경로에 저장하고사용자가 탈취된 정보를 확인할 수 있도록 ‘READ_ME.txt’ 파일 내용에 경로를 공개한다. 아래 그림은 사용자의 화면을  캡처하고 ‘%appdata%\Robin\server_logs\desktop_screens’ 경로에 파일로 저장한 모습이다.


[그림 2] 사용자 화면 저장[그림 2] 사용자 화면 저장




3-2. 사용자 정보 수집

위 내용과 같은 일환으로 PC정보가 탈취되었음을 사용자에게 확신시키기 위해 ‘%UserProfile%\AppData\Roaming\’  경로에 감염자의 IP, 위치, ISP, OS, CPU 정보 등을 ‘your_infomation.txt’ 파일에 저장하고 ‘READ_ME.txt’ 파일에 저장  경로를 공지하고 있다.


[그림 3] 사용자 화면 저장[그림 3] 사용자 화면 저장



3-3. 브라우저 쿠키 및 히스토리 정보 수집

뿐만 아니라 아래 그림과 같이 웹 브라우저의 쿠키와 히스토리 정보를 수집하는 것을 확인할 수 있다.


[그림 4] 브라우저 쿠키 수집[그림 4] 브라우저 쿠키 수집


[그림 5] 브라우저 히스토리 수집[그림 5] 브라우저 히스토리 수집




3-4. 배경화면 변경

아래와 같이 배경화면을 사용자의 IP 정보가 기입된 그림으로 변경하여 ‘READ_ME.txt’ 파일을 열람하도록 유도한다. ‘READ_ME.txt’ 파일 내용에는 가상화폐의 지갑주소가 공지되고 지갑주소는 아래 [표 1]과 같다.


[그림 6] 바탕화면 변경에 사용되는 그림[그림 6] 바탕화면 변경에 사용되는 그림



 

구분

내용

가상화폐 지갑 주소

1Nzieh*******************

1CKpj2r*******************

18AfNuXM*******************

1CzrDKSSC*******************

12nkyXjw*******************

1GVTebsP*******************

1P8VNkE*******************

[1] 가상화폐 지갑 주소






4. 결론

음란물 다운로드를 통해 유포되는 이번 악성코드는 아동 음란물 다운로드 및 유포 행위에 대한 신고를 빌미로 가상화폐를 요구한다. 파일을 암호화하거나 시스템 자체에 해를 끼치진 않지만 사용자 정보를 탈취하여 금전을 요구하는 협박성 악성코드가 PC나 모바일을 통해 종종 발견되어 사용자의 각별한 주의가 필요하다. 

이러한 피해를 최소화하기 위해 용도에 맞지 않는 확장자 파일은 실행 전 악성파일이 아닌지 의심해 봐야 한다. 또한 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 하는 것을 권고한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면











Posted by nProtect & TACHYON

사용자의 동의 없이 가상화폐 채굴 프로그램을 실행시키는 악성코드 주의




1. 개요 


최근 가상화폐에 대한 가치가 주목받고 있는 가운데 가상화폐 채굴 프로그램을 실행시키는 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 


이번에 발견 된 가상화폐 채굴 프로그램은 사용자 동의 없이 실행되기 위해 불법 윈도우를 이용하는 사용자들을 대상으로 유포하고 있다. 대게 불법 윈도우를 사용하는 이용자들은 정품인증을 받기 위하여 'KMSPico' 프로그램을 사용하는데, 특정 웹사이트에서 배포하는 'KMSPico 10.2.2.exe' 는 설치 시 ‘모네로’ 채굴 프로그램을 동작 시키고 있다.


복잡한 연산을 필요로 하는 채굴 작업은 컴퓨터에 부하를 발생시켜 작업지연이나 갑작스러운 종료를 초래할 수 있기 때문에 주의가 필요하다.


이번 보고서에는 무단으로 가상화폐 채굴을 수행하는 ‘KMSPico 10.2.2.exe’ 악성코드에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

KMSPico 10.2.2.exe

파일크기

2,878,711 byte

악성동작

파일 드롭(Win32.exe)









구분

내용

파일명

Win32.exe

파일크기

673,792 byte

악성동작

가상화폐 채굴기 삽입 및 실행










2-2. 유포 경로

특정 웹 사이트를 통해 채굴 프로그램을 실행시키는 ‘KMSPico 10.2.2.exe’ 를 유포한다. 아래 [그림1]은 해당 ‘KMSPico 10.2.2.exe’ 를 유포하는 웹 사이트 화면이다.


[그림1] 가상화폐 채굴 악성코드 ‘KMSPico 10.2.2’ 유포 웹 사이트[그림1] 가상화폐 채굴 악성코드 ‘KMSPico 10.2.2’ 유포 웹 사이트




2-3. 실행 과정

‘KMSPico 10.2.2.exe’ 설치 시 사용자의 동의 없이 ‘win32.exe’ 를 실행시킨다. ‘win32.exe’ 가 실행되면 운영체제 환경에 따라 특정 프로세스에 코드를 삽입하여 모네로 코인을 채굴한다. 또한, 자동실행 레지스트리를 등록하고 채굴동작을 은폐하기 위해 프로세스 목록을 감시하여 작업관리자(taskmgr.exe) 실행 시 채굴 프로세스를 종료시킨다.






3. 악성 동작


3-1. 코드 삽입을 통한 모네로 코인 채굴

‘KMSPico 10.2.2.exe’ 실행 시 불법 윈도우 정품인증 동작은 수행하지 않고 ‘win32.exe’ 를 드롭하여 실행시킨다. 실행된 ‘win32.exe’ 는 운영체제의 32/64bit환경에 따라 채굴코드를 삽입할 대상 프로세스(wuapp.exe/svchost.exe/notepad.exe/explorer.exe)를 결정하고 채굴코드를 삽입하여 실행한다. 가상화폐 채굴 작업의 경우 복잡한 연산을 수행하기 때문에 CPU 자원에 대한 사용량이 많아 원활한 PC사용에 제한을 준다. 


아래 [그림2]는 채굴기 실행 옵션과 채굴 작업 시 CPU 점유율이 99%에 달하는 화면이다.


 [그림2] 가상화폐 채굴 작업 화면[그림2] 가상화폐 채굴 작업 화면




정상 프로세스에 삽입되는 채굴코드를 추출하여 실행했을 때 아래와 같이 가상화폐의 지갑 주소와 채굴기 옵션에 대한 내용도 확인된다.


[그림3] 추출한 채굴기의 실행 화면[그림3] 추출한 채굴기의 실행 화면



[그림4] 가상화폐 지갑주소와 채굴코드 옵션 내용[그림4] 가상화폐 지갑주소와 채굴코드 옵션 내용




3-2. 채굴 은폐를 위한 작업관리자 프로세스 감시

‘win32.exe’ 는 채굴 프로그램이 삽입된 ‘wuapp.exe’의 동작을 숨기기 위해 아래와 [그림5]와 같이 작업관리자 프로세스인 ‘taskmgr.exe’ 를 감시하다가 작업관리자 실행 시 ‘wuapp.exe’ 종료시킨다.


[그림5] 가상화폐 채굴 은폐를 위한 작업관리자 프로세스 ‘taskmgr.exe’ 감시 코드[그림5] 가상화폐 채굴 은폐를 위한 작업관리자 프로세스 ‘taskmgr.exe’ 감시 코드




3-3. 자동 실행을 위한 레지스트리 등록

‘win32.exe’ 는 시스템 시작 시 채굴 작업이 자동으로 실행될 수 있도록 레지스트리 키 ‘RunOnce’ 에 ‘jXuDlnugma’ 값을 생성하여 ‘win32.exe’ 의 경로를 데이터에 저장한다. 

 

[그림6] 자동 실행을 위한 레지스트리 등록[그림6] 자동 실행을 위한 레지스트리 등록








4. 결론


이번 악성코드와 같이 사용자 동의 없이 설치되는 가상화폐 채굴 프로그램은 실행 시, 자원을 임의로 사용하여 정상적인 PC이용을 할 수 없도록 만들고 사용자가 이를 알아차리기 쉽지 않도록 교묘하게 숨기고 있어 각별한 주의가 필요하다. 


따라서, 안전한 PC 사용환경을 만들기 위해 불법 소프트웨어의 사용을 자제하도록 하고 윈도우 정품을 구입하여 사용하는 것을 권고한다.







Posted by nProtect & TACHYON

HWP2018 실행파일로 위장한 악성코드 유포 주의!


1. 개요 


최근 hwp 문서 파일과 관련된 악성코드 수가 증가하고 있어 국내 사용자의 주의가 요구된다.


이전 대부분의 악성코드가 이력서나 중요 문서들로 위장했다면, 해당 악성코드는 불법 소프트웨어를 사용하려는 사람들을 대상으로 유포되고 있기때문에, P2P 사이트 등 신뢰할 수 없는 사이트에서의 파일 다운로드와 실행을 하지않도록 각별한 주의가 필요하다.


또한, ‘HWP2018 무설치버전’ 실행파일로 되어있고 파일 크기 또한 정상적인 실행파일과 유사하기 때문에, 사용자 입장에서 정상파일과 구분이 어려운 특징을 가지고 있다.


이번 보고서에서는 ‘HWP2018 무설치버전’ 실행파일로 위장한 악성코드에 대하여 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

HWP2018.exe

파일크기

1,495,040 byte

진단명

Trojan-Dropper/W32.Inject.1495040

악성동작

키보드 입력값 탈취 / C&C서버와의 통신 시도












2-2. 유포 경로

해당 악성코드는 불법 소프트웨어를 사용하려는 사용자를 노려 ‘HWP2018’ 파일로 위장하고 토렌트, P2P 사이트를 통해 유포되고 있는 것으로 확인됐다.


[그림 1] 토렌트에 유포되고 있는 악성파일[그림 1] 토렌트에 유포되고 있는 악성파일




2-3. 실행 과정

해당 악성 파일을 다운로드할 경우, [그림2]와 같이 다운로드 받는 파일 목록 내 최상위 폴더에서 실행파일로 위치하여 사용자들이 실행을 유도하고 있다. 


'HWP2018.exe' 로 위장한 악성파일을 실행하면 ‘C:\’ 하위 경로에 office 폴더를 생성하고 'office.exe' 라는 파일명을 가진 파일이 복사 후 실행된다. 실행 된 'office.exe'는 계속해서 C&C 서버와 통신을 시도하며 사용자의 키보드에서 발생하는 입력값을 특정 파일에 저장하여 탈취한다.


[그림 2] 다운로드 받는 파일 목록[그림 2] 다운로드 받는 파일 목록






3. 악성 동작


3-1. 자동 실행 등록

해당 악성코드는 자기 자신을 자동 실행 레지스트리에 등록한다. 이로써 PC를 재부팅 하더라도 사용자가 PC에 로그온하면 자동 실행되어 악성동작을 수행한다.


[그림 3] 자동시작을 위한 레지스트리 값 등록[그림 3] 자동시작을 위한 레지스트리 값 등록




3-2. C&C 서버와의 통신 시도

실행 된 'office.exe'는 특정 도메인을 DNS 서버에 질의하며 통신하는 것으로 확인됐다. 하지만 현재 분석시점에서는 원격지와 정상적으로 연결되지 않는 것으로 보인다.


[그림 4] 통신 시도[그림 4] 통신 시도



해당 악성코드가 접속을 시도하는 도메인을 분석한 결과, [그림 5]와 같이 C&C서버의 위치가 ‘KR’로 되어 있는 것으로 확인할 수 있다. 따라서 해당 특징과 앞서 악성 파일이 한글 문서 편집기 파일로 위장했던 점을 미루어 보아 국내 사용자를 겨냥한 악성코드로 보여진다.


[그림 5] 도메인 정보[그림 5] 도메인 정보




3-3. 키보드 입력 탈취

'HWP2018.exe' 악성코드는 사용자의 키보드 입력값을 탈취하기 위해 다음과 같이 ‘%AppData%\Roaming’ 하위 경로에 ‘office’ 폴더를 생성하고 ‘klg_[랜덤값].dat’ 파일을 만든다.


[그림 6] 키값 로그 파일 생성[그림 6] 키값 로그 파일 생성



해당 파일에는 감염된 사용자의 키보드 입력값 및 키보드 입력이 발생한 프로세스 정보가 base64로 인코딩되어 저장된다. 현재 분석시점에서는 C&C 서버와 정상적으로 연결이 되지 않지만, 만약 C&C 서버와 연결이 이루어질 경우 ‘klg_[랜덤값].dat’ 에 저장된 키보드 입력값을 탈취할 것으로 짐작하게 한다.


[그림 7] 저장된 키보드 입력값[그림 7] 저장된 키보드 입력값






4. 결론



이번 보고서에서 알아본 바와 같이 해당 악성코드는 국내 사용자가 자주 사용하는 소프트웨어로 위장했다는 점과 안티바이러스, 백신 프로그램의 실행을 해지하거나 진단을 무시한 채 사용자가 프로그램을 실행할 수 있다는 점에서 문제가 되고 있다. 이렇게 불법으로 다운받은 소프트웨어가 개인 정보 유출로 이루어질 수 있기 때문에 사용자는 더욱 주의를 기울일 필요가 있다.


따라서, 안전한 PC 사용환경을 만들기 위해 불법 소프트웨어의 사용을 자제하도록 하고 정품을 구입하여 사용하는 것을 권고한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






Posted by nProtect & TACHYON

워드 문서 DDE 취약점을 이용한 악성코드 유포 주의 




1. 개요 


최근 ‘DDE’ 취약점을 이용한 악성코드가 유포되어 사용자들의 주의가 요구되고 있다. 이전에는 악성코드를 실행시키기 위해 MS Office의 매크로 기능 및 'JS', 'VBS' 등의 스크립트언어를 이용하였으나, 최근에는 ‘DDE’ 기능을 활용해 실행시키고 있다. 


DDE란 ‘Dynamic Data Exchange’의 약어로 윈도우 응용 프로그램간의 동일한 데이터를 공유하도록 허용하는 방법 중 하나이다. 해당 기능은 워드뿐만 아니라 엑셀, 비쥬얼 베이직 등 다양한 응용프로그램에서 사용되고 있다. 이 기능은 다른 프로세스를 실행시킬 수 있으며 이 기능을 악용하여 악성코드를 다운로드 받거나, 실행시키기 때문에 문제가 된다. 또한 응용 프로그램을 실행할지 묻는 것 이외에는 어떠한 보안 경고를 표시하지 않아 실행 시 주의를 요한다.


이번 분석 보고서에서는 이러한 ‘DDE’와 해당 기능의 취약점을 이용한 악성코드 유포 사례를 알아보고자 한다.




2. 분석 정보


2-1. 파일 경로

구분

내용

파일명

임의의 파일명.doc

파일크기

43,520 byte

진단명

Suspicious/W97.DDEAuto

악성동작

다운로드, 추가 악성 파일 실행











2-2. 유포 경로

이메일을 통하여 불특정 다수를 대상으로 유포되고 있으며, 이메일의 제목과 본문 등은 유포 시점에 따라 다양하게 변경되고 있다.


[그림 1] 이메일 유포 사례[그림 1] 이메일 유포 사례



2-3. 실행 과정

메일에 첨부된 파일을 실행하면 기본적으로 제한된 보기 기능의 보안 주의 메시지가 보여지게 된다. 해당 메시지를 사용자가 사전에 인지하여 종료를 눌러주면 추가적인 위협에 노출되는 것을 막을 수 있다. 하지만 대부분의 사용자들은 워드 문서를 자주 다운로드해 사용하므로 별다른 문제없이 ‘편집 사용’ 버튼을 누름으로써 실행되게 된다.


[그림 2] 이메일 첨부파일 실행 시 화면[그림 2] 이메일 첨부파일 실행 시 화면




3. DDE 기능


3-1. DDE란

‘DDE’란 윈도우 응용 프로그램간에 정보를 공유하도록 허용하는 방법이다. 예를 들어 다른 데이터 베이스 프로그램에서 폼을 변경하거나 엑셀에서 자료 항목을 변경할 때 다른 어떤 프로그램에서 동시에 사용하고있을 그 폼이나 항목 등을 함께 바뀌도록 정보 공유를 허용할 때 이용하는 기능이다. 먼저 아래의 간단한 예시로 ‘DDE’를 알아보고 이 기능을 어떻게 악의적으로 이용하는지에 대해 알아보자.



3-2. DDE를 이용한 예시

먼저 워드에서 DDE를 사용하기 위해서는 삽입 탭의 빠른 문서 요소 → 필드 → =(Formula)를 선택한다.


[그림 3] 수식 필드 추가[그림 3] 수식 필드 추가


수식 추가 후 [!수식의 끝이 잘못되었습니다.]이라고 적혀있는 오류가 있는 필드가 나타난다. 필드를 마우스 오른쪽 단추로 클릭하여 필드 코드 토글을 누른다.


[그림 4] 필드 코드로 전환[그림 4] 필드 코드로 전환


이제 필드 코드로 전환이 되었으므로 “DDEAUTO” 키워드를 이용하여 다른 프로세스를 실행 시킨다.


DDEAUTO C:\\windows\\system32\\cmd “/k calc.exe”


먼저 “DDEAUTO”DDE필드임을 워드에게 알리고, 문서가 열릴 때 자동 실행된다. “DDEAUTO”의 다음에는 실행할 파일의 전체 경로를 넣고 따옴표 사이는 실행파일의 명령어(인수)로 전달된다.


[그림 5] DDEAUTO[그림 5] DDEAUTO

 

그 다음 워드 문서를 저장 후, 컴퓨터에서 문서를 실행하면 다음과 같은 메시지 창이 두 번 보여진다. 첫번째 창은 문서 업데이트를 묻는다. 확인 시 두번째 메시지 창에서는 응용프로그램을 실행 할 지 여부를 묻는다. 이는 사용자에게 “cmd.exe”를 실행하도록 묻기 때문에 경고로 간주될 수 있지만 이러한 문구는 구문 수정으로 숨길 수 있으므로 사용자가 알아차리기 힘들다.


[그림 6] 문서 실행 시 메시지 창[그림 6] 문서 실행 시 메시지 창


사용자가 해당 메시지박스를 모두 예를 누를 시, 워드 문서 실행만으로 위 필드코드에서 입력한 명령어가 같이 실행되는 모습을 확인할 수 있다.


[그림 7] 계산기가 실행 된 모습[그림 7] 계산기가 실행 된 모습

 



4. DDE 취약점을 이용한 악의적인 문서


4-1. 문서 실행

위의 예시로 사용자가 문서 실행만으로 다른 프로세스를 실행시킬 수 있는 모습을 확인하였다. 다음은 현재 유포되고있는 이 기능을 악용한 문서이다. 해당 문서는 “입금 확인 스크린 샷입니다.” 라는 내용을 담고 있으며 사용자의 궁금증을 유발해 실행을 유도한다.


[그림 8] 실제 악성 문서 실행[그림 8] 실제 악성 문서 실행


메시지 창을 모두 누를 시 파워 쉘이 실행되고, 아래 주소에서 파일을 다운로드 하기 위해 시도한다. 해당 파일은 악성 행위에 사용될 파일로 이렇게 DDE 기능을 이용하여 악의적으로 파일을 다운로드 받거나 실행한다


[그림 9] 파워쉘을 이용하여 파일 다운로드[그림 9] 파워쉘을 이용하여 파일 다운로드


해당 필드 코드는 아래와 같이 확인이 가능하다.


[그림 10] 필드 코드[그림 10] 필드 코드





5. 결론

이번 보고서로 알아본 DDE 취약점은 사용자들에게 잘 알려지지 않은 기능을 악용한 사례이다. 해당 기능은 MS사의 정식기능이기 때문에 패치 되거나 제거 되지 않을 것으로 보여진다. 따라서, 워드 문서를 실행 시 사용자의 주의가 요구된다. DDE 기능을 비활성화 하기 위해서는 워드 프로그램에서 “파일 → 옵션 → 고급 → 일반 → 문서를 열 때 자동 연결 업데이트” 항목의 체크를 해제하면 된다.

[그림 11] 자동 연결 업데이트 체크 해제[그림 11] 자동 연결 업데이트 체크 해제


또한 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 12] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 12] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






Posted by nProtect & TACHYON

무단 광고로 사용자를 불편하게 만드는 Adware 배포 주의


1. 개요 


‘Adware’ 원래의 의미는 프로그램 실행 중 광고를 보여주고, 이를 봄으로써 비용 납부를 대신하는 형태의 프로그램을 야기한다. 광고성 제휴 프로그램은 사용자 동의 안내 등 절차적인 문제가 없으면 적법한 프로그램이기 때문에 백신 프로그램에서 무조건 진단 및 치료를 할 수 없다.


하지만, 해당 ‘Adware’ 는 프로그램 설치 시에 추가로 사용자의 의지와는 상관없이 ‘기본값(default)’ 으로 체크 되어 같이 설치되기 때문에 사용자가 꼼꼼하게 확인 하지 않고 진행하면 많은 광고로 인하여 컴퓨터 사용을 매우 불편하게 할 수 있다.


이번 분석보고서에서는 이러한 ‘Adware’ 를 배포하는 한 유틸리티에 대해서 알아보고자 한다.






2. 관련 법률


정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 50조의5(영리목적의 광성 프로그램 등의 설치) 

정보통신서비스 제공자는 영리목적의 광고성 정보가 보이도록 하거나 개인정보를 수집하는 프로그램을 이용자의 컴퓨터나 그 밖에 대통령령으로 정하는 정보처리장치에 설치하려면 이용자의 동의를 받아야 한다. 이 경우 해당 프로그램의 용도와 삭제방법을 고지하여야 한다.

제76조(과태료) 

① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다.<개정 2011.3.29, 2012.2.17, 2013.3.23, 2014.5.28, 2015.6.22, ..2016.3.22>

(중략)

7. 제50조제1항부터 제3항까지의 규정을 위반하여 영리 목적의 광고성 정보를 전송한 자

8. 제50조제4항을 위반하여 광고성 정보를 전송할 때 밝혀야 하는 사항을 밝히지 아니하거나 거짓으로 밝힌 자

9. 제50조제6항을 위반하여 비용을 수신자에게 부담하도록 한 자

9의2. 제50조제8항을 위반하여 수신동의 여부를 확인하지 아니한 자

10. 제50조의5를 위반하여 이용자의 동의를 받지 아니하고 프로그램을 설치한 자

11. 제50조의7제1항 또는 제2항을 위반하여 인터넷 홈페이지에 영리목적의 광고성 정보를 게시한 자





3. 분석 정보


3-1. 파일 정보


구분

내용

파일명

2_12061_starcraft.zip.exe

파일크기

2,292,520 Byte

진단명

Downloader/W32.W***til.N3.A

악성동작

추가 애드웨어 다운로드

 


3-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만, 국내 한 블로그에 공유된 것으로 확인된다.


[그림 1] 유포 경로[그림 1] 유포 경로



3-3. 실행 과정

2-12061_Starcraft.zip.exe 는 최초 실행 시 실제 다운로드 할 파일의 정보와 추가로 다운로드 할 애드웨어의 정보를 얻어온다. ‘다운로드’ 버튼을 누를 경우 사용자가 원래 받고자 하는 Starcraft.zip 와 함께 10여 개의 애드웨어가 설치된다.


문제는 애드웨어는 원본 프로그램 설치에 있어 필수적이지 않다는 점이다. 아래 [그림 1] 을 확인해보면 사용자가 설치창에서 체크해제를 한다고 하여도, 아주 작은 화살표로 다른 제휴가 있다는 사실을 알기 힘들어, 해제 한 1개를 제외한 나머지 애드웨어는 그대로 설치된다. 


이는 사용자가 충분히 인지할 수 없게 하여 자사 광고를 클릭하여 광고수익을 올리는 동작을 목적으로 한다.


[그림 2] 애드웨어 설치화면[그림 2] 애드웨어 설치화면







4. 악성 동작


4-1. 광고 동작

동시에 설치되는 애드웨어의 종류가 워낙 많기에 각각의 광고동작을 일일이 나열하는 것은 무의미하다. 아래는 일부 애드웨어의 약관을 토대로 해당 기능을 간략히 나열한 것이다. 대부분 추가 광고노출이나 추가 제휴 프로그램 다운로드에 관한 내용인 것을 확인 할 수 있다.


[그림 3] 약관을 토대로 한 애드웨어 동작[그림 3] 약관을 토대로 한 애드웨어 동작


또한, 해당 다운로더에 의하여 설치 된 애드웨어들이 동작하면 사용자는 아래와 같이 다른 작업을 수행하기 힘들만큼 무분별한 광고가 계속해서 실행된다.


 [그림 4] 실행 된 애드웨어 광고 동작[그림 4] 실행 된 애드웨어 광고 동작






4-2. 자동 실행 등록

사용자 의지와는 상관없이 설치 된 애드웨어들 중 일부는 자동 실행 레지스트리에 등록한다. 이를 통해 사용자가 PC를 재부팅 하더라도 다시 PC에 로그온하면 실행되어 광고 동작을 수행한다.


 [그림 5] 자동 실행 등록[그림 5] 자동 실행 등록






4-3. 다운로더 설치 종료 동작

해당 다운로더는 사용자가 다운로드를 원하지 않을 경우에도 설치될 가능성이 매우 높다. 


그 이유는 취소 절차 진행 시, 알림 문구를 교묘하게 작성해놓았기 때문에 확인하지 않고 진행 시 본인 의지와는 상관없이 설치가 진행되어 광고 동작을 수행한다. 


[그림 6] 다운로드 취소 단계[그림 6] 다운로드 취소 단계






5. 결론



애드웨어는 그 존제 자체만으로 악성코드라고 보기 어렵다. 하지만 사용자가 어떠한 프로그램이 추가적으로 설치되고 있음을 인지 하기 힘들뿐 아니라, 동의 및 설치 할 프로그램들이 기본적으로 체크되어 있기 때문에 의사를 물어보기 위한 추가적인 동작이 필요할 것으로 보인다. 


또한 아무리 좋은 프로그램이라고 하여도 사용자의 동의없이 강제로 설치 후 동작하여 정상적인 컴퓨터 사용에 위해성을 준다면 이는 악성코드와 다를 바 없다고 사료된다.


상기 다운로더와 해당 다운로더로 다운로드된 제휴 프로그램은 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




 









Posted by nProtect & TACHYON

KONNI Malware 분석 




1. 개요 


최근 시스코 인텔리전스 그룹 탈로스에 의하여 KONNI 라고 명명된 악성코드가 발견되었다. 해당 악성코드는 사회적으로 관심을 가질만한 내용의 이메일을 보내 사용자들이 문서 파일인지 알고 내용을 열람 할 경우, 악성코드가 실행되도록 되어 있어 주의가 필요하다. 


이번 보고서에서는 ‘KONNI’ 악성코드는 어떠한 동작을 수행하는지 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

How can North Korean hydrogen bomb wipe out Manhattan.scr

파일크기

266,752 byte

진단명

Trojan/W32.Konni.266752

악성동작

드롭퍼











구분

내용

파일명

winnit.exe

파일크기

104,960 byte

진단명

Trojan-Downloader/W32.Konni.104960

악성동작

악성 DLL 로딩 / 백도어











구분

내용

파일명

conhote.dll

파일크기

40,960 byte

진단명

Trojan/W32.Konni.40960

악성동작

정보탈취













2-2. 유포 경로

해당 악성코드는 사용자가 첨부된 이메일 파일을 확인 시, 실행 되도록 유도하여 유포되고 있다.



2-3. 실행 과정

이메일에 첨부되어 있는 'Word'문서로 위장한 '.scr'파일을 사용자가 문서파일로 인식하여 열람할 경우, 시작 프로그램 폴더에 LNK파일을 생성하고 또다른 경로인 %TEMP%\..\ 상위 경로에 'winnit' 폴더를 만든다. 그 후 'conhote.dll' 파일과 'winnit.exe' 파일을 추가로 생성하여 실행 한다.


[그림 1] 동작 흐름도[그림 1] 동작 흐름도






[그림 2] 첨부 된 파일 열람[그림 2] 첨부 된 파일 열람





3. 숙주 파일 악성 동작


3-1. 파일 드롭

메일에 첨부 된 '.scr'파일은 추가적인 파일 드롭을 하기 위해 'Word'문서 아이콘으로 위장하고 있다. 이는 사용자가 실제 문서 파일을 열람한 것처럼 유도하여 추가적인 악성파일 동작을 수행하기 위한 것으로 확인 된다.


[그림 3] Word아이콘으로 위장한 파일[그림 3] Word아이콘으로 위장한 파일





[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭


[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭



3-2. 시작 프로그램 등록

해당 숙주파일을 실행하면 자동 실행 등록을 위해 시작 프로그램에 링크 파일을 생성하는 것을 확인할 수 있다. 링크 파일은 %TEMP%\..\ ‘winnit’ 폴더에 생성된 ‘winnit.exe’ 파일을 가리키고 있다.


[그림 5] 생성 된 LNK 파일[그림 5] 생성 된 LNK 파일




3-3. 문서 파일 위장

해당 숙주 파일은 실행 된 경로에 동일한 이름의 ‘.doc’ 형식 문서 파일을 만들어 OPEN 한다. 이는 사용자에게 메일에 첨부 된 파일이 실제 문서 파일을 실행 시킨 것과 동일하게 느끼도록 위장하기 위한 것으로 확인 된다. 원본 숙주 파일은 cmd.exe 를 이용하여 삭제 된다. 


[그림 6] 문서 파일 위장[그림 6] 문서 파일 위장





4. 드롭 된 파일 악성 동작


4-1. 정보 전송 및 다운로드

숙주파일에서 드롭 된 실행파일에서는 아래와 같이 특정 파일의 데이터를 읽어 원하는 정보를 수집하여 전송한다.


[그림 7] 특정 서버로 정보 전송[그림 7] 특정 서버로 정보 전송



[그림 8] 데이터를 수집하여 전송하는 부분[그림 8] 데이터를 수집하여 전송하는 부분




또한 추가로 파일을 다운로드하여 추가적인 악성 동작을 수행 할 수 있도록 한다.


[그림 9] 특정 파일 추가 다운로드[그림 9] 특정 파일 추가 다운로드





4-2. 악성 DLL 로딩

숙주파일에서 같이 드롭 된 악성 DLL파일을 로드 하여 추가적인 악성 동작을 수행하도록 한다. 


[그림 10] 악성 DLL 로드[그림 10] 악성 DLL 로드





4-3. 마우스 입력 정보 탈취

공격자는 앞서 드롭 된 실행파일에서 만들어 놓은 ‘Babylone’ 폴더 내부에 “screentmp.tmp” 생성하고 마우스 입력 이벤트를 가로채는 함수를 이용하여 사용자의 마우스 입력 정보를 기록하여 가로챌 수 있다. 


[그림 11] 마우스 이벤트 후킹[그림 11] 마우스 이벤트 후킹


[그림 12] 로그 저장[그림 12] 로그 저장





5. 결론

이번 보고서에서 분석한 악성 파일은 사회공학기법을 이용해 사용자가 관심을 가질만한 주제로 호기심을 자극하여 악성파일을 실행하도록 유도하고 있다. ‘KONNI’ 악성파일은 실행하였을 때, 실제 문서파일도 보여주기 때문에 일반 사용자가 이를 알아차리기가 쉽지 않아 주의가 필요하다.

백도어의 경우 공격자에 의해 또 다른 추가적인 악성파일을 다운로드 할 수 있으며, 지속적으로 사용자의 개인 정보가 탈취 당할 수 있다. 따라서 출처가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.

위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





Posted by nProtect & TACHYON

회사 메일을 이용한 피싱 메일 C&C 감염 주의



1. 개요 


이메일 피싱 공격은 요즘 선행하는 악성코드의 공격 기법 중 하나이다. 대게 공격자는 악성코드를 성공적으로 실행시키기 위해, 업무와 관련되거나 사회적으로 이슈화되는 내용의 이메일을 보내어 공격 성공률을 높인다. 이러한 이메일 첨부파일에 한글 문서(.HWP) 로 위장한 C&C 악성코드가 있다면 감염된 PC는 원격지로부터 공격자의 명령을 받아 시스템을 자유자제로 조작하고 감시 당할 우려가 있다. 


이번 보고서에서는 파일명 ‘美 사이버 보안시장의 현재와 미래.hwp’란 한글 문서에서 추가적으로 드롭되어 실행되는 C&C악성코드에 대하여 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

美 사이버 보안시장의 현재와 미래.hwp

파일크기

97,792 Byte

진단명

Trojan-Dropper/HWP.EPS.Gen

악성동작

드롭퍼

 

구분

내용

파일명

jusched.exe

파일크기

70,656 Byte

진단명

Trojan/W32.Snarebot.70656

악성동작

C&C

 



2-2. 유포 경로

특정 회사의 사내 그룹 및 개인 메일 계정으로 유입되었다.


[그림 1] 첨부 된 메일 내용 [그림 1] 첨부 된 메일 내용




2-3. 실행 과정

아래그림과 같이 이메일에 있는 첨부파일(.HWP)을 사용자가 열람할 경우, 시작 프로그램 폴더에 LNK 파일을 생성하고 또다른 경로인 %TEMP%\..\ 상위 경로에 악성 실행파일을 추가로 생성한다. 해당 악성코드는 사용자 PC를 재부팅 하였을 때 생성된 LNK 파일에 특정 인자 값을 지정하여 실행파일을 실행한다.


[그림 2] 동작 흐름도[그림 2] 동작 흐름도





3. 악성 동작


3-1. 파일 드롭

메일에 첨부된 HWP 파일은 취약점을 이용한 공격방식이 아닌 HWP 정상 스크립트를 이용하여 파일 드롭을 수행하는 것으로 확인된다. 해당 HWP 파일 내부에는 파일 다운로드 기능을 하는 스크립트와 함께 드롭 될 파일의 바이너리 값이 존재한다.


[그림 3] HWP파일 내부 스크립트[그림 3] HWP파일 내부 스크립트




아래와 같이 해당 HWP 파일에서 ‘바로가기 파일(.lnk)’, ‘악성실행파일(.exe)’ 두개의 파일이 스크립트를 이용하여 드롭된다.


[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭




3-2. 시작 프로그램 등록

美 사이버 보안시장의 현재와 미래.hwp’ 파일을 열람 하였을 때, 시작 프로그램 폴더에 LNK 파일을 생성하는 것을 확인 할 수 있다. 생성된 LNK파일의 속성값을 확인 하였을 때 실행파일의 경로와 함께 특정 인자 값이 존재한다. 해당 인자 값이 없을 경우 악성 실행파일은 정상적으로 실행이 되지 않는다.


[그림 5] 생성 된 LNK 파일과 인자 값[그림 5] 생성 된 LNK 파일과 인자 값





3-3. 원격지 연결 시도

해당 악성코드는 LNK 파일을 통하여 하기의 원격지 서버에 연결을 시도 한다. 또한 C&C 명령을 받아 동작을 수행 할 때 마다 원격지 서버와 통신을 한다. 이는 해당 공격자의 명령과 데이터를 주고 받기 위한 동작으로 확인된다.

하지만 현재 분석시점에서는 해당 원격지서버는 접속이 정상적으로 이루어지지 않는다. 


[그림 6] 원격지 서버 연결 시도1[그림 6] 원격지 서버 연결 시도1


[그림 7] 원격지 서버 연결 시도2[그림 7] 원격지 서버 연결 시도2



원격지 연결 시도 후, HTTP상태 코드를 확인하여 연결이 성공적으로 이루어 졌는지 확인한다. 


[그림 8] 원격지 서버 연결 상태 확인[그림 8] 원격지 서버 연결 상태 확인





3-4. C&C 명령 테이블

현재 원격지 서버와 연결이 정상적으로 이루어지지 않고 있지만, 원격지 연결이 성공적으로 이루어질 경우 원격지 서버로부터 명령을 받아 추가적인 동작을 수행할 수 있다. 전체적인 C&C 동작 목록은 아래와 같다.


[그림 9] C&C 명령 테이블1[그림 9] C&C 명령 테이블1


[그림 10] C&C 명령 테이블2[그림 10] C&C 명령 테이블2




3-5. C&C 명령 주요 동작

다음은 ‘jusched.exe’ 악성코드의 C&C 명령에 따른 주요 동작을 확인 한 내용이다. 

정보 수집 및 전송

PC 정보

시스템 드라이브 정보

프로세스&모듈 정보

파일 속성 및 데이터

파일 및 폴더 정보

CAB 관련 파일 데이터

[1] 정보 수집 및 전송



해당 악성코드는 감염 PC이름과 시스템 정보를 수집한다.


[그림 11] 사용자 PC정보 수집[그림 11] 사용자 PC정보 수집



또한 감염 PC의 시스템 드라이브의 정보를 수집한다.

[그림 12] 시스템 드라이브 정보 수집[그림 12] 시스템 드라이브 정보 수집



C&C 명령을 통하여 특정 이름과 일치하는 파일이나 디렉토리 정보를 수집한다.


[그림 13] 파일 및 디렉터리 정보 수집[그림 13] 파일 및 디렉터리 정보 수집

 



추가 악성 동작

특정 프로세스 실행

특정 파일 다운로드

지정 프로세스 종료

지정한 파일 변조

 

 

[2] 추가 악성 행위




공격자는 특정 파일의 날짜, 디렉터리 생성 시간, 마지막 접근 시간, 수정 시간을 변경한다.


[그림 14] TimeStamp 변경 시도[그림 14] TimeStamp 변경 시도



아래 그림은 특정 문자열을 디코딩 하였을 때 다음과 같은 문자열로 변경된다. 해당 문자열은 명령프롬프트(cmd.exe)를 이용하여 파일을 실행하는데 사용되는 것을 확인 할 수 있다.


[그림 15] cmd 명령어를 통한 파일 실행[그림 15] cmd 명령어를 통한 파일 실행


 

문자열

디코딩

%7toDt%7tJ>%7

%s /c %s 2>%s

%7toDt%7t>%7tJ>%s

%s /c %s > %s 2>&1

[3] Decoding



C&C 명령 동작 내용중 일부는 원격지 서버로부터 특정 프로세스를 실행한다는 것을 알 수 있다.


[그림 16] C&C 명령을 통하여 특정 프로세스 실행[그림 16] C&C 명령을 통하여 특정 프로세스 실행




원격지 C&C 명령을 통해 파일 이름과 데이터를 받아와 특정 파일을 생성할 수 있다. 이는 파일을 다운로드하여 추가적인 악성 동작을 수행할 수 있도록 한다.


[그림 17] 특정 파일 추가 다운로드[그림 17] 특정 파일 추가 다운로드




4. 결론

이번에 분석한 악성코드는 HWP 첨부파일을 다운로드하여 여는 순간, 사용자 PC가 감염되어 악성 동작을 수행하기 때문에 감염사실을 인지하기 어렵다. C&C악성코드 같은 경우 감염 후 바로 동작을 수행 할 수도 있지만 일정 시간 동안 대기 상태로 존재하다가 추후 공격자의 명령을 수행할 수 있다는 점 때문에 국내주요기관 및 기업은 이메일에 첨부된 파일을 열람 시 주의를 하여야 한다.   


악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 항상 최신으로 업데이트 하여 PC를 보호하여야 한다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 18] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 18] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 19] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 19] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




Posted by nProtect & TACHYON

‘게임 핵’ 으로 위장한 악성코드 감염 주의



1. 개요 


‘오토에임(AutoAim)’ 이란 오토와 조준 겨냥을 뜻하는 에임의 합성어로 FPS와 같은 게임에서 자동 조준을 해주는 게임 핵으로 알려져 있다. 이러한 오토에임 프로그램은 불법임에도 불구하고 몇몇 게임 유저의 호기심 등 때문에 사용되거나 만들어지고 있다.

지난 달, 한 온라인 카페에서 오토에임으로 위장한 악성코드가 발견되어 문제가 되고 있다. 이번 보고서에서는 ‘오토에임’ 으로 위장 한 악성코드에 대하여 어떠한 동작을 하는지 알아보고자 한다. 



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Whindow.exe

파일크기

24,064 byte

악성동작

게임 계정 정보 탈취

 



2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만, 국내 한 온라인 커뮤니티 카페에서 공유된 것으로 확인된다.



2-3. 실행 과정

아래 그림과 같이 온라인 커뮤니티 카페에 공개용 게시 글로 특정 게임의 불법프로그램 ‘오토에임(AutoAim)’ 인 것처럼 사용방법과 함께 .EGG 확장자를 가진 압축파일을 다운로드 할 수 있도록 유도하고 있다. 실제 압축 해제 하였을 때, “오토에임.exe” 실행파일 한 개만 존재한다.


[그림 1] ‘오토에임’ 으로 위장한 악성코드 첨부파일[그림 1] ‘오토에임’ 으로 위장한 악성코드 첨부파일




이를 실행할 경우 %APPDATA%경로에 원본 실행 파일과 동일하지만 ‘Whindow.exe’ 이름으로 변경 된 파일이 복사되어 재 실행 된다.


[그림 2] %APPDATA%경로에서 실행되고 있는 Whindow.exe [그림 2] %APPDATA%경로에서 실행되고 있는 Whindow.exe






3. 악성 동작


3-1. 시작 프로그램 등록

%APPDATA% 에 복사된 ‘Whindow.exe’을 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리 키에 등록하여 부팅 시 자동 실행 되도록 한다.


[그림 3] 레지스트리 값 추가[그림 3] 레지스트리 값 추가




3-2. 해당 파일 방화벽 예외 추가

아래 그림과 같이 해당 악성코드는 네트워크 명령 쉘을 이용하여 방화벽에 ‘Whindow.exe(악성코드)’를 허용하도록 만든다. 이는 [그림 5]와 같이 원격지 IP로 통신을 시도하기 위한 것으로 확인된다.


[그림 4] 악성코드 실행 파일 방화벽 예외 추가[그림 4] 악성코드 실행 파일 방화벽 예외 추가


[그림 5] 해당 IP와 통신을 시도[그림 5] 해당 IP와 통신을 시도




3-3. 사용자 PC의 Cam 카메라 목록 확인

CapGetDriverDescriptionA API 함수를 사용해서 사용자 PC 에 있는 Cam 카메라 정보를 획득하는 것으로 확인된다.


[그림 6] 캠 드라이버 정보 획득[그림 6] 캠 드라이버 정보 획득





3-4. 키로깅

해당 악성코드는 HKCU\Software\b4873ebc6e6f78dfdb2b3345770c744c 경로에 [kl] 값으로 로그 파일 정보를 저장한다. 이는 감염된 사용자PC에서 게임사이트로 접속하여 키보드로 입력 시 계정 정보가 그대로 노출 된다는 것을 확인 할 수 있다.

아래 그림은 게임사이트뿐만 아니라 일반 웹사이트를 방문 시 키보드로 입력한 ID와 패스워드 등의 문자열이 그대로 노출되는 것을 확인 할 수 있다.


[그림 7] 키보드 입력 시 문자열 저장[그림 7] 키보드 입력 시 문자열 저장






4. 결론

해당 악성코드의 경우, 불법 게임 핵인 ‘오토에임’을 위장했다는 점에서, 사용자가 안티바이러스, 백신 프로그램의 실행을 해지하거나 진단을 무시한 채 프로그램을 실행할 수 있어 문제가 되고 있다. 해당 프로그램을 유포한 온라인 카페에서도 이를 근거로 백신 삭제 및 실행 해지를 사용자에게 권하고 있음을 확인할 수 있다. 재미와 호기심으로 다운받은 불법 프로그램이 개인 정보 유출로 이루어질 수 있으므로 사용자의 각별한 주의가 필요하다.


악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 항상 최신으로 업데이트 하여 PC를 보호하여야 한다.



Posted by nProtect & TACHYON