분석 정보/악성코드 분석 정보

[악성코드 분석] 평창 올림픽 이벤트성 프로그램으로 위장한 악성코드 주의

TACHYON & ISARC 2018. 2. 22. 10:26

평창 올림픽 이벤트성 프로그램으로 위장한 악성코드 주의


1. 개요 


2018년 평창 올림픽을 맞이하여 이를 노린 사이버 공격도 기승을 부리고 있다. 이번에 발견된 'OlympicGames.exe' 파일 역시 그러한 공격들 중에 하나로써 실행할 경우 사용자의 정보를 전송하고 추가 데이터를 사용자 몰래 다운로드한다. 악성코드의 메인 화면 역시 올림픽 이벤트 프로그램으로 보이기 위해서 그럴듯한 배경으로 사용자를 현혹한다. 자세하게 살펴보면 배경화면에 보이는 로고들이 평창올림픽과 다르다는 점을 찾을 수 있지만, 쉽게 알아차릴 수 없어 사용자의 피해가 우려된다.


이번 보고서에서는 올림픽과 관계된 요소들을 넣어 사용자들을 속이고 이벤트성 프로그램으로 위장한 'OlympicGames.exe' 파일에 대해서 알아보고자 한다.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

OlympicGames.exe

파일크기

1,199,104 byte

진단명

Trojan-Dropper/W32.Agent.1199104

악성동작

드롭퍼




구분

내용

파일명

winupdate.exe

파일크기

130,048 byte

진단명

Trojan-Dropper/W32.Sysn.130048.B

악성동작

추가 데이터 다운로드






2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만, 이벤트성 프로그램을 위장하고 있어 국내 불특정 다수를 대상으로 웹사이트에서 공유되어 유포되었을 것으로 추정된다.




2-3. 실행 과정

'OlympicGames.exe' 를 실행할 경우 사용자를 속이기 위해, 2018 평창 올림픽 관련 이벤트성 프로그램인 것처럼 아래 [그림 1]과 같은 메인 화면을 띄운다. 자세히 살펴보면 평창 올림픽 로고 모양이 다르다는 것을 알 수 있지만 생각보다 많은 사용자들이 별다른 의심 없이 이름과 이메일 주소를 기입하게 된다. 이때 기입한 정보는 공격자의 서버로 전송된다.


[그림 1] 악성코드 실행시 메인화면[그림 1] 악성코드 실행시 메인화면




실행된 'OlympicGames.exe' 파일은 %Temp% 경로에 'winupdate.exe' 라는 또 다른 악성코드를 생성하고 실행한다.


[그림 2] 'winupdate.exe' 드랍 후 실행[그림 2] 'winupdate.exe' 드랍 후 실행




'winupdate.exe' 파일은 윈도우 부팅시 자동으로 실행될 수 있도록 'Run' 레지스트리 값에 자기 자신을 등록한다. 이는 사용자가 PC 를 재부팅 할 경우에도 동작하기 위한 의도로 보인다.


[그림 3] 자동시작 레지스트리 값 등록[그림 3] 자동시작 레지스트리 값 등록




추가적으로 윈도우가 부팅되어 있는 평소에도 지속적으로 실행될 수 있도록 %Temp% 경로 내의 'c.bat' 파일을 생성하여 실행시킨다. 'c.bat' 파일 내부에는 스케줄러에 예약작업으로 'winupdate.exe' 파일을 등록하는 코드가 존재한다.


[그림 4] 생성된 c.bat 파일 [그림 4] 생성된 c.bat 파일


[그림 5] c.bat 파일 내부에 존재하는 코드[그림 5] c.bat 파일 내부에 존재하는 코드








3. 악성 동작


3-1. 사용자 정보 전송

처음 'OlympicGames.exe' 파일이 실행되면서 사용자를 속이기 위해 보여주었던 메인화면에서 사용자가 이름과 이메일을 입력하게 되면 입력한 정보는 공격자의 서버로 전송된다.


[그림 6] 사용자 정보 전송[그림 6] 사용자 정보 전송




만약 공격자의 서버와 통신이 실패할 경우 아래와 같은 오류 메시지가 출력된다. 악성코드에서 흔하게 나오지는 않는 방식으로, 오류창을 띄워 정상 프로그램으로 보이기 위한 위장으로 보인다.


[그림 7] 통신 시도 실패 오류창[그림 7] 통신 시도 실패 오류창





3-2. 추가 데이터 다운로드

'winupdate.exe' 파일은 몇개의 특정한 도메인과 통신하며 추가적인 데이터를 다운로드 받는다. 현재 분석시점에서는 통신만 되는 상태로 제대로된 데이터는 존재하지 않는 상태이다.


[그림 8] 추가 데이터 다운로드[그림 8] 추가 데이터 다운로드




4. 결론

이번 보고서에서 알아본 것처럼 특별한 행사나 축제를 노려 악성코드를 유포하는 방식은 이전부터 자주 사용되었던 방식이다. 이미 오래전부터 써오던 고전적인 방식임에도 불구하고 실행하여 피해를 보는 이들이 많다. 이처럼 정상파일을 위장하고 행사나 축제와 관계된 요소들을 사용하여 유포되기 때문에 피해가 발생하지 않도록 PC를 사용함에 있어서 더욱 주의를 기울여야 한다. 여기서 소개한 'OlympicGames.exe' 파일 외에도 올림픽을 겨냥하여 유포되는 악성코드들이 계속해서 발견되고 있는 추세이기 때문에 신뢰할 수 없는 파일이나 이메일 등을 함부로 열어보지 않도록 유의하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면