system1.exe 악성코드 분석 보고서
1. 개요
1.1. 파일정보
|
파일명 |
system1.exe |
|
파일크기 |
145,408 byte |
|
진단명 |
Trojan/W32.KRBanker.145408.B |
|
악성동작 |
인터넷 뱅킹 파밍, 인증서 탈취 |
|
특징 |
hosts 및 hosts.ics 파일 변조를 통해 가짜 사이트로 유도 인증서를 드라이브, 폴더 별로 압축하여 보관 자동실행으로 지속적 인증서 탈취 |
1.2. 분석환경
|
운영체제 |
Windows XP SP3 32bit (한글) |
|
분석도구 |
Process Explorer, Wireshark, NetMon, OllyDbg 등 |
1.3. 전체흐름도
2. 분석정보
2.1. 파일 유포 방식
온라인 쇼핑몰 www.we******ak**.com 로 접속 시 98.***.***.19/index.html 로 리디렉트 되며 admin.*****shop.co.kr/system1.exe 파일이 다운로드 된다. 여기서 주목할 점은 *****shop.co.kr 의 admin 페이지에서 악성파일이 다운로드 되고 유포지로 사용됐다는 점에서 악성파일 배포 방식이 다양해짐을 볼 수 있다.
2.2. 샘플 분석
악성동작은 Trojan/W32.KRBanker의 변종으로 인터넷뱅킹 사용자를 가짜 인터넷뱅킹 사이트(파밍 사이트)로 유도한다는 점에서 기존 분석샘플 Trojan/W32.KRBanker.129024.F(nv.exe)과 흡사하다. 하지만 두 악성파일엔 차이가 있는데, 악성 동작 지속성에 있어 nv.exe는 1회만 실행됐으나 system1.exe는 PC가 재부팅하여도 자체적으로 자동 실행됀다. 즉, 악성코드를 치료하지 않으면 PC에 연결된 모든 외부 저장매체의 인증서를 탈취하기 때문에 사용자의 각별한 주의가 요구된다.
|
|
Trojan/W32.KRBanker.145408.B (system1.exe 진단명) |
Trojan/W32.KRBanker.129024.F (nv.exe 진단명) |
|
최초실행 시 인터넷뱅킹 파밍 |
O |
O |
|
최초실행 시 인증서 탈취 |
O |
O |
|
재부팅 시 인터넷뱅킹 파밍 |
O |
O |
|
재부팅 시 인증서 탈취 |
O |
X |
*Trojan/W32.KRBanker.145408.B(계속실행) / Trojan/W32.KRBanker.129024.F(1회 실행)
[표]Trojan/W32.KRBanker.145408.B과 Trojan/W32.KRBanker.129024.F 비교
2.2.1. system1.exe의 동작
system1.exe는 실행 중엔 특정 서버(u***.q****.**.com/f**-***/cgi_get_portrait.fcg)에 대해 지속적인 쿼리(질의, 문의)를 보내고 그 결과로 hosts및 hosts.ics 파일을 변조∙생성한다.
|
hosts 174.***.**.46 www.kbstar.com 40931 174.***.**.46 kbstar.com 39727 174.***.**.46 obank.kbstar.com 19862 174.***.**.46 www.kbstar.com.ch 11853 174.***.**.46 open.kbstar.com 42239 174.***.**.46 www.nonghyup.com 25640 174.***.**.46 nonghyup.com 19254 174.***.**.46 banking.nonghyup.com 14013 174.***.**.46 open.nonghyup.com 38722 …이하 생략 |
hosts.ics 174.***.**.46 www.kbstar.com 30357 174.***.**.46 kbstar.com 11458 174.***.**.46 obank.kbstar.com 12131 174.***.**.46 www.kbstar.com.ch 12558 174.***.**.46 open.kbstar.com 42113 174.***.**.46 www.nonghyup.com 14876 174.***.**.46 nonghyup.com 43510 174.***.**.46 banking.nonghyup.com 14277 174.***.**.46 open.nonghyup.com 34556 …이하 생략 |
[표]변조된 hosts.ics, hosts파일 내용
system1.exe 동작으로 hosts파일이 변조 생성되고, 이로 인해 연결된 가짜 사이트는 다른 악성코드 샘플(nv.exe)로 인해 연결된 가짜사이트와 비교해봤을 때 차이가 있다
[그림]system1.exe의 가짜 네이버 사이트
[그림]nv.exe의 가짜 네이버 사이트
또한, Trojan/W32.KRBanker.129024.F(nv.exe)과 마찬가지로 탈취한 인증서를 %TEMP%폴더에 zip파일로 압축해 서버에 전송한다. 여기서 주의할 점은 악성파일이 자체적으로 자동실행되기 때문에 USB등 외부저장매체에 인증서를 저장하여도 감염된 PC에 연결되면 이 또한 유출이 가능해진다는 점이다.
[그림]탈취된 증명서가 담긴 압축파일
3. 결론
service1.exe가 유포되려면 전체 유포 경로에 접속이 원활해야 하지만 현재 경로 중 하나에 접속이 안 되는 상태로 추가적인 배포는 이뤄지지 않는다. 하지만 가짜 사이트의 주소를 쿼리하는 URL은 계속 동작중인 상태이므로 추가 변종 출현이 가능하다. 실제로 2015/09/30기준 가짜 사이트 주소로 사용된 174.***.**.44는 다운되어 악성 동작을 하지 않았으나, 2015/10/01 다시 테스트한 결과, 가짜 사이트의 주소는 174.***.**.46로 바뀌었고, 해당 주소를 이용하여 파밍동작을 수행했다.
밝혀진 가짜 사이트 주소는 바로 차단되지만 이를 쿼리 하는 대상 URL이 정상 사이트이므로 근본적인 차단에 어려움이 있다. 당장은 동작하지 않더라도, 새로운 주소를 받아 언제라도 다시 파밍동작을 수행할 수 있기 때문에 주기적인 백신 검사로 바이러스를 치료하는 것이 중요하다.
[그림]진단 및 치료 가능
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석] kaulj.exe (인터넷 뱅킹 파밍, 인증서 탈취) (0) | 2015.10.23 |
|---|---|
| [악성코드 분석] BERPOY.exe (인터넷 뱅킹 파밍, 인증서 탈취) (0) | 2015.10.22 |
| [악성코드 분석] nv.exe (인터넷 뱅킹 파밍, 인증서 탈취) (0) | 2015.10.15 |
| 북한 사이버공격은 휴전이 아닌 현재 진행형 위협 (0) | 2014.07.03 |
| [주의]포털사 계정중지 내용으로 사칭한 스피어피싱 공격 (0) | 2014.02.18 |