분석 정보/악성코드 분석 정보

[악성코드 분석]사용자 PC 정보를 탈취하는 악성코드 감염 주의

TACHYON & ISARC 2018. 9. 17. 16:50

사용자 PC 정보를 탈취하는 악성코드 감염 주의

1. 개요

본 보고서에서 다루게 될 내용은 사진 파일 아이콘(.JPEG 형태)을 사용하여 위장한 정보탈취형 악성코드에 대한 내용이다.
대부분의 PC 사용자들이 확장자 보다는 아이콘을 보고 파일을 실행하는데, 이 점을 노려서 이와 같은 형식으로 유포하고 있는 것으로 보인다.

위장 된 악성코드를 사진 파일로 착각하여 실행 할 경우 감염된 PC 정보 탈취 뿐만 아니라 공격자에게 전달받은 명령을 통해서 추가적인 악성동작을 수행하게 되는데, 각각의 추가 기능에 특정 캐릭터 이름을 붙여놓아 변칙적으로 수행하는 점을 통해서 이전에 해외에 등장했던 악성코드의 변종으로 추정된다.

악성코드가 가지고 있는 기능중에는 추가 악성파일을 다운받아 실행하는 기능이 포함되어 있어 2차 악성동작이 발생하지 않도록 각별한 주의가 요구 된다.

 

이번 보고서에서는 사용자의 PC 정보를 탈취하는 악성코드에 대해서 알아보고자 한다.

 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

1,591,296 bytes

 진단명

Trojan/W32.InfoStealer.1591296

 악성동작

사용자 PC 정보 탈취

 


2-2. 유포 경로

해당 악성코드의 정확한 유포경로는 밝혀지지 않았으나, 이메일을 통해 유포되었을 것으로 추정된다.

 

 


2-3. 실행 과정

해당 '[임의의 파일명].exe' 파일은 'JPEG' 아이콘으로 위장하였으며 해당 파일 실행시 실제 사진파일을 드롭하여 실행한다. 이를 통해 사진파일로 위장하여 유포되었을 것으로 추정되며 실제 그림파일로 사용자의 주의를 돌린 후 화면 뒤에서는 사용자 PC 정보를 수집하여 공격자의 서버로 전송한다.
이후 해당 악성코드는 공격자 서버로부터 명령을 받아 추가적인 악성동작들을 수행하게 된다.
(현재 분석시점에서는 도메인과 통신은 가능하지만 명령어는 남아있지 않다.)
 

 

[그림 1] JPEG 아이콘 위장[그림 1] JPEG 아이콘 위장

 

 

 

 

 

[그림 2] 실제 드롭하여 실행하는 사진파일[그림 2] 실제 드롭하여 실행하는 사진파일

 

 

 

 

 

3. 악성 동작

3-1. 특정 경로에 자가 복제

해당 악성코드는 실행시 '%Temp%' 경로 하위에 'PhoneProvidersHandler' 폴더를 생성하여 자신의 자가복제본을 드롭한다.

 

 

[그림 3] 특정 경로에 드롭되는 자가복제 파일[그림 3] 특정 경로에 드롭되는 자가복제 파일

 

 

 

 

 

3-2. 사용자 PC 정보 전송

자가 복제 및 정상 사진파일을 보여준 후, 악성코드는 일정 대기시간이 지나면 공격자의 서버로 수집한 사용자 PC 정보를 포함하여 패킷을 전송한다. 수집하는 정보로는 컴퓨터 이름과 함께 현재 사용중인 'Anti-Virus' 제품을 검색하여 전송한다.

 

 

[그림 4] 사용자 PC 정보 전송[그림 4] 사용자 PC 정보 전송

 

 

3-3. 추가 악성동작 수행

사용자 정보를 전송하고 응답으로 전달받은 명령어를 통해서 수행하고자 하는 동작을 결정한다. 추가적으로 수행될 수 있는 동작들에는 시스템 재부팅, 추가 악성파일 다운로드 및 실행, 사용자 PC 의 스크린샷 전송 등의 기능을 가지고 있다.

 

 

[그림 5] 시스템 재부팅 코드[그림 5] 시스템 재부팅 코드

 

 

[그림 6] 추가 악성파일 다운 및 실행 코드[그림 6] 추가 악성파일 다운 및 실행 코드

 

 

 

[그림 7] 사용자 PC 화면 캡쳐 및 전송 코드[그림 7] 사용자 PC 화면 캡쳐 및 전송 코드

 

 

 

 

 

4. 결론

이번 보고서에서 알아본 악성코드는 감염 시 사용자 PC 정보를 탈취하거나 제어하는 것을 목적으로 두고 있다.
이러한 종류의 악성코드는 일반적으로 수집한 정보를 토대로하여 추가적인 공격에 사용되는 경우가 많으며, 이에 대한 2차 피해가 발생하지 않도록 주의를 기울여야 한다.

감염에 의한 피해를 최소한으로 막기 위해서 사용하고 있는 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 하며, 신뢰할 수 없는 사이트에서 다운받은 파일을 실행할때에 주의를 기울여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.
 

 

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면