분석 정보/악성코드 분석 정보

[악성코드 분석]사용자의 계정을 탈취하는 악성코드 감염 주의

TACHYON & ISARC 2018. 8. 20. 10:14

사용자의 계정을 탈취하는 악성코드 감염 주의

1. 개요

본 보고서에서 다루게 될 악성코드는 사용자를 속이기 위해 정상 파일 아이콘을 이용하여 유포되며, 감염 시 사용자 PC 의 브라우저와 이메일 계정정보를 탈취한다. 현재 분석 시점인 8월 7일경에도 탈취한 계정정보를 전송하는 FTP 서버는 운영되고 있으며, 해당 FTP 서버 접속 시 탈취된 여러 계정 파일들이 존재한다.

이와 같은 계정 탈취 용 악성코드는 탈취한 계정을 통해서 2차적인 피해가 발생할 수 있으므로 감염을 예방하기 위해서 PC 사용에 주의를 기울여야 한다.

 

이번 보고서에서는 사용자 PC 를 감염시켜 계정정보를 탈취하는 악성코드에 대해 알아보고자 한다.

 

2. 분석 정보

2-1. 파일 정보

 

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

4,811,621 byte

 악성동작

브라우저 및 이메일 계정 탈취

 

 

 

2-2. 유포 경로

해당 악성코드의 정확한 유포 경로는 밝혀지지 않았으나 일반적인 악성코드와 같이 이메일 또는 P2P 사이트를 통해 유포되었을 것으로 추정된다.

2-3. 실행 과정

해당 '[임의의 파일명].exe' 파일은 정상 파일로 위장하기 위한 목적으로 사용자들이 자주 쓰는 정상 파일의 아이콘으로 유포되고 있다.

 

 

[그림 1] 실행파일 속성정보[그림 1] 실행파일 속성정보

 

 

해당 악성코드 실행 시 악성 동작에 필요한 파일들을 %AppData% 하위 특정 경로에 드롭 하여 각 파일이 다른 파일을 실행시켜 주는 형태로 동작한다.

 

 

 

[그림 2] 드롭되는 파일 목록[그림 2] 드롭되는 파일 목록

 

 

 

드롭 되는 다양한 파일들 중 'aijw01.bat' 파일을 자동 시작 레지스트리에 등록하여 시스템 재부팅시에도 악성코드가 실행될 수 있도록 하였다.

 

 

[그림 3] 자동시작 레지스트리 등록[그림 3] 자동시작 레지스트리 등록

 

 

3. 악성 동작

3-1. 연계된 악성파일 실행

자동시작으로 등록된 첫번째 배치 파일 내부에는 추가적으로 'nimiki09.vbs' 파일을 실행시키는 코드가 존재한다. 추가로 실행되는 'nimiki09.vbs' 파일 역시 또 다른 배치파일을 실행시키고 연속적인 추가 실행을 통해서 최종적으로 계정정보를 탈취하는 'adbr01.exe' 파일과 'adbr02.exe' 파일, 탈취한 계정정보를 특정 FTP 서버로 전송하는 'Adobeta.exe' 파일이 실행된다.
 

 

 

[그림 4] aijw01.bat 파일 내용[그림 4] aijw01.bat 파일 내용

 

 

 

[그림 5] nimiki09.vbs 파일 내용[그림 5] nimiki09.vbs 파일 내용

 

 

[그림 6] ggerig03.bat 파일 내용[그림 6] ggerig03.bat 파일 내용

 

 

 

3-2. 계정정보 탈취

위와 같이 여러파일들을 통해서 실행되는 파일 중 하나인 'adbr01.exe' 파일은 사용자 PC 를 탐색하며, 브라우저와 관련된 계정정보를 탈취해 같은 경로에 특정 파일로 저장한다.

 

 

[그림 7] adbr01.exe 파일 동작[그림 7] adbr01.exe 파일 동작

 

 

이후에 실행되는 'adbr02.exe' 파일의 경우 마찬가지로 사용자 PC 를 탐색하며, 이메일과 관계된 계정정보를 탈취해 특정 파일로 저장한다.

 

 

[그림 8] adbr02.exe 파일 동작[그림 8] adbr02.exe 파일 동작

 

 

3-3. 탈취한 정보 전송

계정정보를 탈취하여 파일로 저장한 후 'Adobeta.exe' 파일에 '870.afr' 파일과 'sun.afr' 파일을 인자로 주어 실행한다.
두개의 '.afr' 파일에는 특정 FTP 서버에 대한 계정과 패스워드 등의 접속 정보가 들어있고 두 파일을 통해 실행되는 'Adobeta.exe' 파일은 접속 정보를 참조하여 특정 FTP 서버로 탈취한 파일을 업로드 한다.

 

 

 

 

[그림 9] 특정 FTP 서버와의 통신 패킷[그림 9] 특정 FTP 서버와의 통신 패킷

 

 

파일에 저장되어 있는 접속 정보를 통해서 해당 FTP 서버로 접속하면 분석 시점 인 8월 7일까지도 탈취된 계정정보 파일이 업로드 된 기록이 남아있는 것을 확인 할 수 있다.

 

 

 

[그림 10] 탈취된 정보가 저장된 FTP 서버[그림 10] 탈취된 정보가 저장된 FTP 서버

 

 

 

4. 결론

위와 같이 사용자의 계정을 탈취하여 저장되는 FTP 서버는 현재 분석 시점까지도 원활하게 연결이 되어 운영되고 있다.


이에 따라, 해당 악성코드가 계속해서 유포되어 실행 경우 더욱더 많은 사용자들의 계정 정보가 탈취 되어 2차 피해까지 이어질 소지가 있기 때문에 각별한 주의가 필요할 것으로 보여진다.

 

감염에 의한 피해를 최소한으로 예방하기 위해서 사용하고 있는 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 하며, 신뢰할 수 없는 사이트 방문을 자제하고 이메일의 첨부된 파일을 함부로 실행하지 않는 것이 좋다.