분석 정보/악성코드 분석 정보

[악성코드 분석] ebay_4181254791235_091015.exe

TACHYON & ISARC 2015. 10. 30. 13:13

ebay_4181254791235_091015.exe 악성코드 분석 보고서  

 


1. 개요


1.1. 파일정보

 

 파일명

 kaulj.exe

 진단명

 Trojan/W32.Yakes.41984.I

 악성동작

 termservice 시작, MpsSvc WinDefend 서비스 중지

 특징

 Ebay 를 사칭한 메일에 첨부되어 배포되는 악성파일



 

2. 분석정보

2.1. 파일 유포 경로

본 악성파일은 ebay를 사칭한 메일을 업체 그룹메일(외부 공개용)에 전송한다. 해당 메일은 모니터링하거나 응답하는 주소가 아니니 답장하지 말아주십시오. 청구서를 보려면 첨부파일을 확인하십시오. 첨부파일은 PDF 형식으로 되어있어 열람을 위해서는 Adobe Acrobat Reader 가 필요합니다.” 는 내용과 첨부파일로 구성되있다.


[그림]ebay사칭 메일 내용




​메일 내용대로 청구서를 보기위해 첨부파일을 확인할 경우, zip파일을 내려받게 되는데 이 zip파일을 압축 해제 툴로 열어보면 exe 확장자의 실행파일이 담겨있는 것을 확인할 수 있다.


 

 

 

[그림]압축해제 툴로 열어본 첨부된 zip파일 내용





해당 zip파일을 압축 해제할 경우, 파일 아이콘이 pdf 아이콘이고 긴 파일명때문에 해당파일이 exe파일인지 pdf파일인지 한번에 확인하기 어려워 의심 없이 실행할 확률이 높아진다.


[그림] 압축 해제 후 첨부파일






2.2. ebay_4181254791235_091015.exe 분석

PDF처럼 보이는 실행파일은 C:\windows\system32 하위에 존재하는 정상적인 svchost.exe 파일을 일시정지 상태로 실행시키고 시작점의 실행코드를 변경하는 code injection 을 수행한 뒤 동작시킨다.


[그림] ebay~.exe 파일에 의해 실행된 svchost.exe




svchost.exe 는 윈도우에서 서비스를 동작시키기 위해 실행하는 프로세스로서 여러 개가 동시에 동작할 수 있고 ebay~.exe 파일은 바로 종료되기 때문에 svchost.exe 가 단독으로 실행되는 것으로 보이므로 사용자가 인지하지 못하는 사이에 원하는 동작을 수행한다.

 



2.3. code injection 되어 실행된 svchost.exe  분석


code injection svchost.exe 가 실행되면, 실행파일 ebay_4181254791235_091015.exe를 삭제한다.


[그림]파일 삭제





네트워크를 통해 특정 IP (**3.**3.**7.*) 에서 파일을 다운로드 하여 C:\Documents and Settings\Administrator\Local Settings\temp\philipwog.exe 로 저장한 뒤 실행시킨다

 

[그림]파일 다운로드 패킷



[그림] 다운로드 한 파일 데이터






파일을 다운로드 하기 위한 IP (**3.**3.**7.*)는 변경되어 확인이 어려운데, 이는 파일이 직접 정보를 가지고 있는 것이 아닌 몇 가지 과정을 통해 IP정보를 얻어오기 때문이다.

우선, 네트워크를 통해 특정 도메인 (M**p.d*******c.com)에서 문자열을 받아온다.

IP로 보이도록 만든 문자열은 복호화 과정을 거쳐 특정 문자열로 변환되고 이를 이용하여 특정 IP (**7.**9.*0.**6:1***6) 에 요청해 실제로 사용할 IP (**3.**3.**7.*)정보를 가져온다





2.4. C:\DOCUME~1\ADMIN~\LOCALS~1\TEMP\PHILIPWOG.EXE

파일을 다운로드 한 직후에는 C:\DOCUME~1\admin~\LOCALS~1\Temp 경로에서 실행되기 때문에 우선적으로 자신이 실행된 경로를 확인한다.


C:\windows 가 아니라면 C:\windows 하위에 랜덤한 이름 (: XvciYQOJImWDIQj.exe, yoAdgPAroTQQOCB.exe )으로 자신을 복제한 뒤 실행 종료한다.

 

[그림]C:\windows 경로에 생성된 실행파일





자신이 실행된 경로가 C:\windows 라면, 실행중인 프로세스 목록에 정상적으로 동작하고 있는 svchost.exe 에 원하는 동작을 수행하는 Threadinjection 시켜 동작시킨다.


2.5. Injection된 Thread

정상 동작하던 svchost.exeinjectionThreadcmd“schtasks /create” 명령어를 이용하여 C:\windows 하위에 생성된 랜덤.exe 파일을 1분 간격으로 실행하도록 작업 스케줄러에 등록한다.


[그림]작업 스케줄러에 등록하기 위한 명령어


[그림]작업 스케줄러에 등록된 작업 속성




서비스의 제어 동작을 수행하는 정상파일 C:\windows\system32\sc.exe 를 이용하여 TermService 서비스의 시작 속성을 자동으로 변경하여 윈도우 시작시에 서비스가 자동으로 시작되도록 한다.

[그림]TermService 시작 속성 변경 명령어





서비스 시작/중지 등의 동작을 수행하는 정상파일 C:\windows\system32\net.exe 를 이용하여 TermService 를 시작한다.

[그림]TermService 시작 명령어





TermService (Remote Desktop Service) 는 원격지에서 PC에 연결할 수 있도록 하는 서비스로, 이 서비스를 시작시킴으로써 다른 사용자가 PC에 원격으로 접속할 수 있게 된다.


[TermService 서비스 속성]




 

또한, 정상파일 C:\windows\system32\net.exe 를 이용하여 MpsSvc 서비스와 WinDefend 서비스를 중지한다.


[MpsSvc 서비스 중지 명령어]



 

[WinDefend 서비스 중지 명령어]

 





MpsSvc (Windows Firewall) 서비스는 권한 없이 네트워크를 통해 PC에 접근하는 것을 방지해주는 방화벽 역할을 하며, WinDefend (Windows Defender) 서비스는 스파이웨어와 사용자 동의 없이 설치된 소프트웨어로부터 PC를 보호하는 역할을 한다.

[MpsSvc 서비스 속성]



 

[WinDefend 서비스 속성]