ver.exe 악성코드 분석 보고서  

 


1. 분석 정보


악성파일 ver.exe는 http://l****o***b.co.kr/upload/ver.exe 로부터 최초 발견 되었으며 유포경로가 특정 지어지지 않았다. 다운로드 경로인 해당 사이트(l****o***b.co.kr) 는 이용자가 많은 컴퓨터분야 사이트이기에 사이트의 규모, 크기에 상관없이 공격 표적이 될 수 있음을 보여준다. 


ver.exe 는 실행 시 C:\Program Files\ 하위에 fuck.dll 파일을 생성하고, 이 파일을 사용하여 서비스를 생성하며 동작을 마친 ver.exe는 자신을 삭제하고 종료한다.



[그림]다운로드된 ver.exe





fuck.dll을 사용해 생성된 악성 서비스의 이름은 I16410687K이며 “Microsoft Device Madnddagdedddddrdx”란 이름으로 자신을 위장한다. 이후 모든 악성 동작은 이 서비스에서 이뤄진다.



[그림]악성 서비스






악성 서비스는 최초 실행 시 PC에 백신프로그램의 설치유무를 검사하며, 설치되었다면 해당 파일 설치 경로 하위의 galaxy.dat 파일의 삭제를 시도한다. 


악성 서비스는 지속적으로 http://u***.q****.**.com/1****8***3 및 다른 주소들에 접속을 시도한다. C&C서버의 주소를 알아오는 용도로 보이는 해당 주소들은 현재 접속되지 않으며 악성동작을 수행하지 않으나 접속이 가능해지면 각종 악성동작을 수행할 수 있다.



114.***.***.57

= u***.q****.**.com/1****8***3

23.*.**.208

 

183.***.**.26

 

[표]접속 시도 주소





C&C서버와 연결이 된다면 우선 PC식별 정보로 쓰일 것으로 보이는 각종 값(CPU, 드라이브, 프로세스정보 등)을 전송하며, 이때 각종 Anti-Virus 제품이 실행 중인지 검사하여 함께 전송한다. 검사 대상이 되는 Anti-Virus 제품은 실행중인 프로세스 파일명을 기준으로 선정한다.


기본적인 PC정보를 전송한 후에는 일반적인 C&C 클라이언트로 동작하며, 아래와 같은 악성 동작을 수행할 수 있다.



드라이브 정보 전송

cmd 명령 실행

추가파일 다운로드 및 실행

스크린캡처

마우스 키보드캡처

자기자신 삭제

프로세스 상세정보 전송

프로세스 종료

파일, 폴더 삭제

파일 일부, 전체 전송

[표]악성 동작



l  추가 파일 다운로드 및 실행 동작



[그림]추가파일 다운로드 및 실행





l  스크린 캡처 및 전송 동작



[그림]스크린 캡처 및 전송





이 악성 서비스는 최초 실행 시 중국산 Anti-Virus제품의 설치여부를 검사했다는 점과 u***.q****.**.com 에 접속 시도 시 사용 언어로 중국어를 선택 했다는 점, 악성 동작에 중국산 메신저 사이트를 사용했다는 점 등 여러 부분에서 중국에서 만들어진 악성코드임을 의심해 볼 수 있다.





2. 결론


ver.exe는 여러 동작을 통해 최종적으로 C&C 동작을 하는 악성 서비스를 생성한다. 생성된 서비스는 http://u***.q****.**.com/1****8***3 로부터 C&C서버의 주소를 받아 악성동작을 수행한다. 다행히 해당 주소는 접속이 이뤄지지 않지만 해커가 해당 URL을 접속이 가능하게 수정한다면 언제라도 추가적인 악성 동작이 가능하다.


ver.exe 및 생성파일은 잉카인터넷 보안솔루션 nProtect Anti-Virus/Spyware로 진단 및 치료가 가능하다. C&C형 악성코드는 항상 실행되어 있어야 악성 동작을 수행할 수 있기 때문에 주기적인 백신 검사를 수행한다면 피해를 최소화 할 수 있다.



[그림]nProtect Anti-Virus/Spyware 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

df.exe 악성코드 분석 보고서

 


1. 분석 정보


df.exe는 출판사 홈페이지 http://www.a****o*k.net/upload_data/temp_files/df/df.exe 에서 발견됐으며 정확한 유포경로는 밝혀지지 않았다.


악성코드 df.exe는 260140.txt(랜덤숫자.txt)의 특정 파일을 임시폴더에 생성하고 실행시킨 후 자신을 삭제한다. 생성된 파일은 확장자명이 txt지만 사실 dll파일이며 *rundll32.exe를 통해 실행된다.

(*rundll32.exe : 자체적으로 실행할 수 없는 dll 파일을 실행할 때 사용되는 윈도우 정상 프로그램) 


260140.txt 는 rundll32.exe를 사용해 함수 xx를 호출한다. 함수 xx는 레지스트리 키 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 에 반복적으로 자신을 추가한다. 이 레지스트리 키는 윈도우 시작 시 자동으로 시작되는 프로그램을 나타낸다.



[그림]자동실행 등록





260140.txt는 자신을 실행시킨 프로세스 rundll32.exe의 메모리를 조작해 정상 프로세스처럼 보이는 악성동작을 수행하도록 한다. 이 작업은 파일이 아닌 메모리상에서 이뤄지므로 만약, 다른 프로그램에서 rundll32.exe를 사용하여도 문제없이 동작한다



[그림]변조된 rundll32.exe





이후 정상 프로세스 explorer.exe 및 하위 모든 프로세스에 인젝트되어 게임 관련 특정 사이트와 프로세스에 대하여 계정 정보 탈취를 시도한다.


계정정보 탈취를 위해 사용하는 방법 중엔 API후킹이 있는데, 이는 프로그램 제작을 위해 제공되는 API함수의 명령코드 일부를 수정하여 해당 정상 함수가 동작을 마치기 전에 해커가 원하는 동작을 수행하게 하는 기법이다. 


260140.txt 는 인터넷 통신에 반드시 사용되는 send함수를 후킹하기 때문에, 패치/업데이트로 바뀔 수 있는 게임 프로세스 계정정보 탈취에 실패해도 인터넷으로 전송되는 계정정보를 탈취할 수 있다. 탈취된 계정 정보는 임시폴더안에 ini파일을 이용해 임시 저장되고, 악성 URL로 전송된다.



[그림]후킹된 API



함수이름

함수 설명

ReadFile

PC상의 파일 읽기

MultiByteToWideChar

문자 형식 변환

InternetReadFile

인터넷상의 파일 읽기

HttpSendRequest

웹 페이지 요청

Send

네트워크를 통한 데이터 송신

[표]후킹된 API의 역할





[그림]유출된 계정정보







또한, 로그인 시 계정정보는 https 통신을 통해 암호화되어 전송돼야 하지만 df.exe에 감염된 이후엔 정상적인 로그인 통신이라도 계정정보가 암호화되지 않고 전송되는 것을 확인할 수 있다.



[그림]암호화되지 않는 패킷





3. 결론


게임 내 자산이 현금으로 거래 가능하게 된 이후 PWS(password stealer)계열의 악성코드는 지속적으로 발전해 왔다. 특히 OTP(One Time Password, 일회용 비밀번호)사용을 하여도 해킹된 사례가 발견되면서 계정에 대한 2, 3중의 안정장치가 필수가 되었다. 


이를 막고자 대부분 게임사이트에선 로그인 시 문자 알림 서비스를 제공하고 있다. 비정상으로 로그인되어도 알림 서비스를 이용한다면 빠른 사실 인지와 비밀번호 변경을 할 수 있어 설령 계정정보가 유출되어도 자산 피해를 최소화 할 수 있을 것이다.


df.exe는 잉카인터넷 nProtect Anti-Virus/Spyware로 진단명 Trojan-PWS/W32.WebGame.76921로 진단 및 치료가 가능하다. 가장 중요한 것은 주기적 백신검사, 업데이트로 악성코드에 감염되지 않게 하고 사이트 별로 다른 아이디와 비밀번호를 사용하여 하나의 계정정보가 유출되더라도 피해가 확산되지 않도록 해야한다.



[그림]nProtect Anti-Virus/Spyware 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

nasdfgf.exe 악성코드 분석 보고서  

 


1. 유포 경로


nasdfgf.exe는 가짜 네이버 사이트를 통해 유포된다. 가짜 네이버 사이트 http://www.n****r.com 실제 네이버 사이트와 유사한 URL을 사용하고 동일한 화면을 출력하기때문에 구분하기가 어렵다.


가짜 네이버 사이트에 접속시 사용자 모르게 http://www.n****r.com/nasdfgf.exe 가 다운로드 및 실행되고, 실행된 nasdfgf.exe http://182.***.***.107/polo/polo17.exe 를 다운받아 실행한다. polo17.exe는 또다시 서비스용 dll을 드랍하고 이 dll파일을 이용하여 서비스를 생성한다.

[그림]자동실행 등록된 레지스트리



[그림]nasdfgf.exe 아이콘





2. 악성 동작


여러 단계에 걸쳐 드랍 및 다운로드 되는 악성파일들은, 각각 악성 드라이버 드랍, 가짜 네이버 사이트 방문기록 삭제, 안티 백신 등 여러 악성동작들을 내포하고 있다. 일련의 악성 동작들을 거쳐 최종적으로 드랍 및 생성된 서비스는 메모리에 상주하며 악성 동작을 수행한다.


생성된 악성 서비스는 http://s****k***6.o***.net/ip/polo17.txt 를 요청하여 IP주소를 가져온다. IP주소는 테스트한 날짜에 따라 유동적이다. IP로 계속 접속을 시도하지만 현재 접속되지 않는 상태이다.

 


2.1. 서비스의 악성 동작


polo17.exe는 악성 서비스를 구동하는데 필요한 모듈을 C:\windows\system32 하위에 드랍한다. 드랍하는 파일명은 시간을 기준으로한 랜덤한 숫자값을 갖고 있기 때문에 드랍하는 시간에 따라 파일명이 다르다.


[그림]드랍된 서비스 모듈




서비스는 안티 백신 동작 등 일련의 초기화 과정을 거친 후 http://s****k***6.o***.net/ip/polo17.txt로 접근을 시도한다. URL에 접근이 실패할 경우 q****k***0.o***.net d****b****22.x***.net에 차례로 접근을 시도한다. 외부 파일 polo17.txt로 부터 IP를 얻어 오고, 해당 IP에 지속적으로 접속을 시도한다.


테스트 결과 서버 s****k***6.oicp.net 에는 이 서비스에서 접근하는 외부 파일 polo17.txt외에도 동일한 내용의 추가 파일들(polo16.txt, polo18.txt )이 존재한다. 해당 파일들은 내부 내용에 IP 정보만 다르며 동일한 용도로 사용된다.


분석 시점에는 polo17.txt에서 받아온 IP로 접속은 되지 않았기 때문에 추가적인 악성 동작은 하지 않으나, 연결에 성공할 경우 스크린 캡처 / 마우스위치 전송 / 프로세스 정보 유출 / 다운로더 / 프로세스 생성 / 프로세스 인젝션의 악성 동작을 수행할 수 있다.



 s****k***6.o***.net/ip/polo17.txt

 q****k***0.o***.net

 d****b****22.x***.net

[표]접속 시도 URL 목록





3. 결론


nasdfgf.exe는 여러 동작을 통해 최종적으로 서비스를 생성한다

생성된 서비스는 http://s****k***6.o***.net/ip/polo17.txt 로 부터 IP정보를 받아와 해당 IP를 이용하여 원격지로 접속을 시도하며, 접속에 성공 시 추가적인 악성동작이 수행 가능하다.


현재 받아오는 IP주소는 정상 접속이 이루어지지 않지만 해커가 polo17.txt 파일을 변경하여 접속이 가능한 다른 주소로 수정한다면 언제라도 추가적인 악성 동작이 가능하다.


해당 악성파일은 잉카인터넷 nProtect Anti-Virus/Spyware에서  진단 및 치료 가능하다


[그림]진단 및 치료 가능

 

 

 


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

 kaulj.exe 악성코드 분석 보고서  

 

1. 개요


1.1. 파일정보

 

 파일명

 kaulj.exe

 파일크기

 96,710 byte

 진단명

 Trojan/W32.KRBanker.96710

 악성동작

 인터넷 뱅킹 파밍인증서 탈취

 특징

 hosts hosts.ics파일 변조를 통한 위조 사이트 유도 및 인증서 탈취

 자동실행으로 지속적인 악성동작 유지

 파일 드랍



1.2. 분석환경


 운영체제

 Windows XP SP3 32bit (한글)

 분석도

 IDA, PEview, OllyDbg, ProcExp


 

 

2. 분석정보

2.1. 파일 유포 경로

이번 샘플은 10월 첫째 주 주말 동안 *******wire.com외 의류쇼핑몰, 건강식품쇼핑몰, 어린이집 등 40여개에 이르는 사이트를 통해 유포되었다*******wire.com 외에 아래 표에 나열된 최초 경유사이트들은 공통적으로 www.k****.co.kr/cd1.html 를 중간 경유사이트로 사용하였고, 최종 경유사이트 180.**.***.131/Us******sc*****x.html를 거쳐 www.t*****a*s.com/kaulj.exe에서 다운로드 되었다.



www.e****.co.kr

p*****.ar*****e.com

www.bo****nd****a.co.kr

www.b***.co.kr

www.s****.co.k******ain.asp

www.r****.co.kr

www.s****w**.biz

www.t*****a**.com

www.m*******im.pe.kr

www.e***b.co.kr

www.y***.com

www.b*****y.com

www.h****b.co.kr

www.c***u.com

www.n******en.or.kr

t****erc******ing.co.kr

www.vi*******rl.kr

***.**s.or.kr

www.i******t.co.kr

www.a***d.com

www.s****n.pe.kr

www.r***a.co.kr

www.a****op.co.kr

이하생략

[표]최초 경유 사이트 목록


2.2. 샘플 분석

Kaulj.exe는 KRBanker 진단명을 갖고 있으며 인터넷뱅킹 사용자를 위조 인터넷뱅킹 사이트 접속을 유도(파밍)한다. 본 보고서는 샘플 내부 상세 동작에 중점을 두고 분석을 진행했다.

 

2.2.1. kaulj.exe 상세 분석


악성동작은 다운로드된 실행파일이 아닌 kaulj.exe에서 드랍된 dllrundll32.exe를 통해 실행되어 동작한다. 이 때 실행파일은 드랍퍼 역할만 수행하는 것이다. 파일 드랍 과정에서 각종 안티 디버깅 기법이 존재하기에 분석 시간이 오래 걸리며 진단이 늦춰지고, 악성동작 생명주기를 연장시킨다. 결과적으로 샘플 실행 시, D:\5자리 랜덤 문자열의 폴더가 숨김 속성으로 생성되고, 그 안에 확장자가 6자리 랜덤 문자열인 dll파일이 드랍된다. D드라이브가 존재하지 않을 경우엔 C:\에 생성한다.



 


[그림]드랍된 파일




이후 rundll32.exe를 실행시켜 드랍한 dll파일의 export함수 Dialer를 실행하고, 재부팅해도 이 과정이 실행되도록 레지스트리를 수정한다. 모든 악성동작은 드랍한 dll파일의 Dialer함수 안에 구현되며, 자동실행등록을 마친 실행파일은 자신을 삭제한 후 종료된다.

 



[그림]자동실행 설정된 레지스트리





2.2.2. Dialer 함수 상세분석

Dialer함수는 C:\경로에 wiseman.exe의 유무를 확인 후, 있다면 실행시킨다하지만 이 파일은 테스트 환경에서 드랍되거나 다운로드 되지 않기 때문에 실제 동작하지는 않는다여기서 wiseman.exe는 유명 애드웨어의 파일명으로 다른 KRBanker의 변종 중 이 파일을 드랍하고 실행하는 샘플이 존재도 한다.

 

 


[그림]wiseman.exe stov.exe 실행




이후 174.***.65.**2으로 접속을 시도한다. 이 주소로부터 전송 받은 데이터를 기반으로 C:\lang.ini파일을 기록하거나, 파일을 다운로드 하는 등의 동작을 수행하지만 현재 174.***.65.**2에 접속되지 않아 실제 데이터는 확인되지 않는다.


C:\lang.ini
에 기록하는 내용은 인증서파일 전송지 주소이다. 지금처럼 서버와 통신이 되지 않는 경우에는 전송지 주소를 기본 174.***.35.**3/u.php로 설정한다.


다운받는 새로운 모듈은
“5자리랜덤문자.mp3”로 저장하여 서비스나 프로세스를 생성하는데 사용된다. 특히 서비스 생성에 사용될 땐 레지스트리 …\CurrentControlSet\Services\RemoteAccess\RouterManagers\IP Dllpath의 값을 수정하는데, 정상적인 Dllpath의 값은 “%WIDDIR%\system32\iprtrmgr.dll”이다.
이 레지스트리는 “Routing and Remote Access” 서비스에 필요한 dll을 명시한 것으로, 정상 dllPC가 라우터 기능을 하는데 필요한 함수를 export하고 있다. 레지스트리 수정 후에는 동일 모듈을 사용해 랜덤한 31자리 문자열을 이름으로 서비스를 생성하는 루틴이 있다.



[그림]다운로드 및 서비스/프로세스 생성



[그림]서비스 생성의 경우



[그림]프로세스 생성의 경우




다운로더 및 인증서 탈취 동작 이후에는 hosts파일 변조를 수행한다. 특이사항으론 가상환경이 탐지되었을 루틴이 추가된다는 점이다.



샘플은 아래의 레지스트리를 확인하여 VMwareHostOpen.exe키의 존재로 가상 환경을 식별한다. HKCR\Applications\ 하위에는 해당 PC에서 실행되는 각종 실행파일명과 그 실행에 관련된 옵션들이 명시되어 있다. 따라서 이 레지스트리 하위에 가상환경에서 주로 사용되는 VMwareHostOpen.exe가 존재한다면 가상PC임을 식별할 수 있다.




 [HKCR\Applications\cmd.exe]

  [HKCR\Applications\access.exe]

[HKCR\Applications\VMwareHostOpen.exe]

[표]레지스트리 예시




가상 PC로 식별된다면 샘플은 다른 악성 주소 http://b***.s***.com.**/u/5*****98** 로 접속을 시도하고 위의 루틴과 마찬가지로 파일을 다운로드 해 서비스 혹은 프로세스로 실행시키는 추가동작을 수행한다.






[그림]가상PC에서의 추가동작






3. 결론


kaulj.exe는 인터넷뱅킹 파밍 이라는 수행한다는 점에서 KRBanker로 진단된 다른 샘플들과 큰 차이는 없으나 상세분석 결과 내부적으로 동작하지 않는 여러 악성 루틴이 존재하는 것으로 확인되었다. 이는 악성샘플들도 다른 프로그램들과 마찬가지로 계속 개발 및 기능추가가 되고 있고 새로 배포되는 악성샘플들은 언제라도 추가적인 악성동작을 수행할 가능성이 있음을 시사한다. 또한 40여개에 이르는 최초 경유사이트의 숫자에서 해커가 악성코드 배포에 더욱 공격적으로 임하고 있음을 알 수 있다.



현재 nProtect AVS에선 드랍퍼 kaulj.exe와 드랍된 dll파일도 진단하고 있다

 


 

[그림]진단 및 치료 가능

 

 

 

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect