분석 정보/악성코드 분석 정보

[악성코드 분석]트위터 이미지 이용한 악성 프로그램 감염 주의

TACHYON & ISARC 2019. 1. 7. 18:36

트위터 이미지 이용한 악성 프로그램 감염 주의

1. 개요

얼마 전 트위터에 업로드한 이미지를 활용하여 악성 동작 명령을 받는 악성 프로그램이 발견되었다. 이 프로그램은 특정 트위터 계정의 이미지를 다운로드한 후, 이미지 내부에 저장된 명령을 추출하여 그에 따른 악성 동작을 실행한다. 문제가 되는 계정은 현재 정지된 상태지만 유사한 방식으로 동작하는 프로그램의 존재 가능성이 있기 때문에 주의가 필요하다.


이번 보고서에서는 트위터 이미지를 이용한 악성 프로그램의 동작에 대해 알아보고자 한다.


2. 분석 정보

2-1. 파일 정보

 

구분 

내용 

 파일명

svghost.exe

 파일크기

35,840 bytes

 진단명

Trojan-Dropper/W32.DN-InfoStealer.35840

악성동작

파일 드랍 및 프로세스 생성

 

 

구분 

내용 

 파일명

Application Framework.exe

 파일크기

21,504 bytes

 진단명

Trojan-Spy/W32.DN-InfoStealer.21504.B

악성동작

사용자 정보 탈취

 

 

 

2-2. 유포 경로

해당 악성코드의 정확한 유포 경로는 알려지지 않았다.


 

2-3. 실행 과정

이 악성 프로그램은 “svghost.exe” 와 “Application Framework.exe” 라는 두 파일로 구성되어 있다. 먼저 “svghost.exe” 가 실행되면 시스템 내에 “Application Framework” 프로세스가 실행 중인지 확인하고 없다면 사용자의 시작 프로그램 그룹 폴더에 “Application Framework.exe” 파일을 생성하고 실행한다. “Application Framework.exe” 은 특정 트위터 계정에서 이미지를 다운로드한 후, 해당 이미지에 숨겨져 있는 공격 명령을 추출한다. 이후 추출한 명령에 따라 개인 정보 탈취, 스크린샷 찍기 등의 악성 행위를 실행한다. 악성 행위 후에는 “pastebin.com” 사이트에서 공격자 서버 주소를 읽어 탈취한 정보를 전송한다.


 

 

3. 악성 동작

3-1. 악성 파일 드랍 및 프로세스 유지

 “svghost.exe” 실행 시 “Application Framework” 프로세스의 실행 여부를 확인한 후, 실행되지 않고 있다면 사용자의 시작 프로그램 그룹 폴더에 “Application Framework.exe” 파일을 생성하고 실행한다. 이후에도 “svghost.exe” 는 지속적으로 프로세스 실행 여부를 확인하며 악성 행위를 지속시킨다.

 

[그림 1] 악성 행위를 수행하는 두 프로세스[그림 1] 악성 행위를 수행하는 두 프로세스

 

 

 

3-2. 트위터 이미지 다운로드 및 악성 명령어 추출

“Application Framework.exe” 은 주기적으로 특정 트위터 계정의 이미지를 다운로드한 후, 해당 이미지에 숨겨져 있는 명령어를 추출한다. 이후 추출한 명령어가 이전에 실행한 명령어와 다른 새로운 명령이라면, 명령어에 따라 [표 1]과 같은 악성 동작을 수행한다. 이러한 동작 방식으로 볼 때 공격자가 새로운 명령을 내릴때 마다 트위터에 새로운 명령어가 숨겨진 이미지를 업로드할 것으로 추측할 수 있다.

 

 

 

명령어 

기능

/processos

현재 실행 중인 프로세스 목록 수집

 /print

사용자 화면 스크린샷 캡처

 /clip

현재 클립보드에 저장된 데이터 수집

 /username

시스템 사용자 이름 수집

 /docs

MyDocuments, Desktop, MyPictures 하위 파일명 및 크롬 로그인 정보 수집

[표 1] 공격자 명령에 따른 악성 행위

 

 

3-3. 시스템 정보 업로드

마지막으로 “pastebin.com” 사이트에서 공격자가 생성한 것으로 추정되는 페이지에 접속하여 수집한 데이터를 업로드할 URL 정보를 가져온다. 해당 페이지는 현재 사라진 상태이며, 공격자가 스스로 삭제했거나 관리자에 의해 삭제한 것으로 추정된다.

 

[그림 2] 삭제된 업로드 URL 페이지[그림 2] 삭제된 업로드 URL 페이지

 

 

 

 

4. 결론

이번 보고서에서 분석한 프로그램은 주소가 삭제되면서 작동하지 않지만, 기능이 추가된 유사 파일이 발견되고 있다. 이와 같은 프로그램은 정상 사이트와 통신하면서 악성 정보를 전달하는데, 이처럼 정보의 존재 자체를 은닉하여 전달하는 방법을 스테가노그래피라 한다. 스테가노그래피를 이용한 공격은 일반적인 악성 공격보다 탐지가 어렵기 때문에 관리자가 평소와 다른 통신 상태에 유의할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 3] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 3] TACHYON Internet Security 5.0 진단 및 치료 화면