분석 정보/악성코드 분석 정보

[악성코드 분석] Sorano Stealer 악성코드 분석 보고서

TACHYON & ISARC 2019. 12. 5. 09:34

사용자 정보를 탈취하는 Sorano Stealer

 

1. 개요

최근, 사용자 정보를 탈취하는 악성 코드가 등장하였다. 기존의 Stealer 와 유사하지만, 안티바이러스 정보를 포함하여 소프트웨어 DB 정보와 스크린 사이즈 등 광범위한 데이터를 탈취한다. 이러한 악성 공격은 이차적인 피해를 유발할 수 있기 때문에 큰 주의가 필요하다.
이번 보고서에는 최근 등장한 Sorano Stealer 에 대해서 알아보고자 한다.


2. 분석 정보

2-1. 파일 정보

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드와 같이 이메일을 통해 유포되었을 것으로 추정된다.


2-3. 실행 과정

Sorano Stealer 이 수행한 악성 동작에 대해 저장되어있는 ‘C:\ProgramData\debug.txt’ 파일의 유무에 따라 악성 동작이 진행된다. 해당 파일이 존재하지 않으면, 악성동작이 시작된다. 먼저, ‘%LOCALAPPDATA%’ 경로에 Volume Serial Number 를 인코딩하여 디렉토리 이름으로 지정하고, 그 디렉토리에 획득하는 정보를 분류하여 저장한다. 특정 웹 브라우저의 “Login Data”, “Cookies”, “Web Data” 를 비롯하여, 암호 화폐 정보, IP, 도시, User name, Antivirus 등을 정보를 탈취한다. 그리고 저장된 파일을 압축하여 서버에 전송을 한다. 하지만 해당 서버는 현재 접속되지 않는다.

 

[그림 1] 정보 탈취 및 “debug.txt” 데이터 저장 코드



 

[그림 2] 수행한 악성 동작 정보(“debug.txt”)



3. 악성 동작

3-1. 웹 브라우저 데이터 획득

특정 웹 브라우저의 “Login Data”, “Cookies”, “Web Data” 정보를 탈취하고 획득한 데이터는 생성한 디렉토리 아래에 ‘Browsers’ 폴더에 저장한다. 또한, 특정 소프트웨어에 저장된 사용자의 개인정보 및 Cache 등을 획득한다. 하기의 표를 참고하여, 정보 탈취 대상을 확인할 수 있다.

[표 1] 정보 탈취 대상

대상 폴더에 “Login Data” 파일 데이터를 모두 획득한다.
 

[그림 3] “Login Data” 파일 접근 코드

 

 

획득한 “Login Data” 정보를 복사하여 ‘C:\Users\\AppData\Local\Temp\임의의 파일명.fv’ 에 저장한다.
 

[그림 4] 데이터 저장 코드



[그림 5] 원본 파일과 생성된 파일

 

“Cookies” 와 “Web Data” 정보도 각각 생성한 “임의의 파일명.fv” 에 저장한다. 
 

[그림 6] Cookies 정보 탈취 코드

 



[그림 7] Web Data 정보 탈취 코드



다양한 데이터를 가지고 있는 “Discord” 와 “Telegram”, “Stream” 사용자에 대해, 사용자의 개인정보 및 캐시를 포함한 각 종 DB 정보를 획득한다.
 

[그림 8] Discord 정보 탈취



 

[그림 9] Telegram 정보 탈취



 

[그림 10] Stream 정보 탈취



 

3-2. 암호 화폐 지갑 정보 획득

“BitcoinCore”, “DashCore”, “Ethereum”, “monero-project” 암호 화폐 지갑 정보를 획득하여 “wallet.dat” 에 저장한다. 
 

[그림 11] 암호화폐 탈취 코드



 

3-3. C&C 서버 연결 및 서버 정보 탈취

C&C 서버에 연결하여 IP 주소와 도시, 나라, 나라 코드 등을 획득한다.
 

[그림 12] 서버 연결 및 정보 획득

 

이어서 User name. Machine name, OS Version, Screen Size, Antivirus, CPU name, GPU name 을 포함하여 실행중인 프로세스 정보도 탈취한다. 이렇게 획득한 정보를 “info.txt” 파일에 저장한다. 
 

[그림 13] 탈취한 정보 저장




3-4. 탈취한 정보 전송 시도

저장된 정보의 디렉토리를 “[국가코드]IP_VolumeSerialNumber인코딩.zip” 파일명으로 압축하여 전송을 시도한다. 그리고 생성한 파일과 디렉토리를 모두 삭제하여 흔적을 지운다.
 

[그림 14] 압축된 디렉토리


 

[그림 15] 압축된 파일 전송 코드

 

Zip 파일을 C&C 서버에 전달을 시도하지만 현재 해당 서버는 연결이 불가능하여 전송되지 않는다.
 

 

[그림 16] 연결 실패




4. 결론

이번 보고서에서 알아 본 Sorano Stealer 는 사용자의 개인정보를 포함한 광범위한 정보를 탈취하여 2차적인 피해가 발생할 수 있어, 사용자는 각별한 주의가 필요하다. Sorano Stealer 의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹브라우저를 항상 최신 버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.
 

[그림 8] TACHYON Endpoint Security 5.0 진단 및 치료 화면