분석 정보/악성코드 분석 정보

[악성코드 분석] 인터넷 쇼핑몰 I사 해킹에 사용된 악성코드 상세 분석

TACHYON & ISARC 2016. 8. 4. 11:11

인터넷 쇼핑몰 I사 해킹에 사용된 악성코드 상세 분석



1. 개요 


최근 국내 대형 인터넷 쇼핑몰 I사가 지능형 지속가능 위협(APT) 공격을 받아 회원 1030만명의 개인 정보가 유출되었다. 본 보고서에선 당시 APT 공격에 사용된 것으로 추정되는 악성 파일 ‘우리가족.abcd.scr’을 분석하고자 한다. 


해당 악성코드는 정상적인 화면 보호기 파일로 위장하기 위해 확장자 scr(Screensaver)을 사용하며, 실제 화면 보호기처럼 동작하기도 한다. 또한 문서, 미디어, 프로세스 정보를 공격자에게 전송하는 등 PC 정보 수집이 목적인 것으로 보인다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

우리가족.abcd.scr

파일크기

9,097,216 byte

진단명

Trojan-Dropper/W32.Agent.9097216

악성동작

악성 파일 생성

 

구분

내용

파일명

msoia.exe, ielowutil.exe

파일크기

921,600 byte

진단명

Backdoor/W32.Agent.921600.AE

악성동작

시스템 정보 송신, 추가 DLL다운로드

네트워크

192.xxx.xxx.125

220.xxx.xxx.110

202.xxx.xxx.198

 




2-2. 유포 경로

이 악성코드는 메일의 첨부 파일을 통해 유포된 것으로 알려져 있으며 화면 보호기 확장자인 .scr을 가지고 있어 사용자가 해당 파일을 의심 없이 실행시킬 가능성이 높다. scr 확장자는 제어판-디스플레이 설정에서 화면 보호기로 설정하지 않고 사용자가 직접 더블 클릭을 통해 실행하면 exe 파일과 유사하게 실행되기 때문에 악성코드에 자주 사용되는 확장자이다.




2-3. 실행 과정

실행된 ‘우리가족.abcd.scr’은 ‘%LocalAppData%\Microsoft\Office\15.0’ 경로에 msoia.exe를 생성한다. 그 다음 msoia.exe를 “/update” 인자와 함께 실행시키고, 정상 파일로 위장하기 위해 화면 보호기 동작을 수행한다. msoia.exe는 ‘%LocalAppData%\Microsoft\Internet Explorer\IECompatData’ 경로에 자기 자신을 ielowutil.exe로 복사하고, “/AUTOSTART”를 인자로 주어 실행시키고 종료된다. 복사된 ielowutil.exe는 총 10가지의 명령을 처리하며, 추가 모듈 다운로드(명령어 86 1A 36 88 15 94 98) 기능을 제외한 나머지 기능은 감염된 PC 정보를 공격자의 서버로 전송하는 기능이다.

[그림] 실행 과정[그림] 실행 과정





3. 악성 동작


3-1. C&C 서버 연결

ielowutil.exe는 아래와 같은 서버에 연결을 시도한다. 서버를 분석한 결과 각각 온두라스, 타이완, 뉴질랜드에 위치한 것으로 나타났다.


[그림] C&C 서버 IP 및 PORT 정보[그림] C&C 서버 IP 및 PORT 정보




3-2. 추가 모듈 다운로드

ielowutil.exe는 공격자의 서버에서 다운로드한 ‘iehmmapi.dll’를 실행된 경로에 생성하고, 메모리에 다시 로드하여 ‘iehmmapi.dll’가 동작하도록 한다.

[그림] iehmmapi.dll 생성과 로드[그림] iehmmapi.dll 생성과 로드


[그림] iehmmapi.dll의 함수 호출[그림] iehmmapi.dll의 함수 호출





4. 결론


해당 파일은 결과적으로 다른 악성 파일에 비해 악성 동작을 많이 수행 하진 않지만 추가되는 모듈의 동작에 따라 피해량이 커질 수 있어 각별한 주의가 필요하다. 


scr 파일은 일반 사용자들에게 다소 생소할 수 있으며, exe 파일과 같은 실행 계열의 PE파일이므로 악성코드에 많이 사용되고 있으며, 화면 보호기뿐만 아니라 그림, 동영상 등의 파일 이름으로도 유포되기 때문에 악성코드로 많이 사용된다. 따라서 해당 파일을 실행할 땐 항시 주의해야하며 정상 파일로 판단이 되더라도 제어판-디스플레이 설정을 통해 사용하면서 만약의 경우를 대비해야 할 것이다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면