KONNI Malware 분석
1. 개요
최근 시스코 인텔리전스 그룹 탈로스에 의하여 KONNI 라고 명명된 악성코드가 발견되었다. 해당 악성코드는 사회적으로 관심을 가질만한 내용의 이메일을 보내 사용자들이 문서 파일인지 알고 내용을 열람 할 경우, 악성코드가 실행되도록 되어 있어 주의가 필요하다.
이번 보고서에서는 ‘KONNI’ 악성코드는 어떠한 동작을 수행하는지 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
|
구분 |
내용 |
|
파일명 |
How can North Korean hydrogen bomb wipe out Manhattan.scr |
|
파일크기 |
266,752 byte |
|
진단명 |
Trojan/W32.Konni.266752 |
|
악성동작 |
드롭퍼 |
|
구분 |
내용 |
|
파일명 |
winnit.exe |
|
파일크기 |
104,960 byte |
|
진단명 |
Trojan-Downloader/W32.Konni.104960 |
|
악성동작 |
악성 DLL 로딩 / 백도어 |
|
구분 |
내용 |
|
파일명 |
conhote.dll |
|
파일크기 |
40,960 byte |
|
진단명 |
Trojan/W32.Konni.40960 |
|
악성동작 |
정보탈취 |
2-2. 유포 경로
해당 악성코드는 사용자가 첨부된 이메일 파일을 확인 시, 실행 되도록 유도하여 유포되고 있다.
2-3. 실행 과정
이메일에 첨부되어 있는 'Word'문서로 위장한 '.scr'파일을 사용자가 문서파일로 인식하여 열람할 경우, 시작 프로그램 폴더에 LNK파일을 생성하고 또다른 경로인 %TEMP%\..\ 상위 경로에 'winnit' 폴더를 만든다. 그 후 'conhote.dll' 파일과 'winnit.exe' 파일을 추가로 생성하여 실행 한다.
![[그림 1] 동작 흐름도](https://t1.daumcdn.net/cfile/tistory/994B8E33598CF9E31E)
![[그림 2] 첨부 된 파일 열람](https://t1.daumcdn.net/cfile/tistory/99368733598CFA0527)
3. 숙주 파일 악성 동작
3-1. 파일 드롭
메일에 첨부 된 '.scr'파일은 추가적인 파일 드롭을 하기 위해 'Word'문서 아이콘으로 위장하고 있다. 이는 사용자가 실제 문서 파일을 열람한 것처럼 유도하여 추가적인 악성파일 동작을 수행하기 위한 것으로 확인 된다.
![[그림 3] Word아이콘으로 위장한 파일](https://t1.daumcdn.net/cfile/tistory/99B09233598CFA4A24)
![[그림 4] 악성 파일 드롭](https://t1.daumcdn.net/cfile/tistory/99B17F33598CFABA2A)
![[그림 4] 악성 파일 드롭](https://t1.daumcdn.net/cfile/tistory/99950833598CFABA29)
3-2. 시작 프로그램 등록
해당 숙주파일을 실행하면 자동 실행 등록을 위해 시작 프로그램에 링크 파일을 생성하는 것을 확인할 수 있다. 링크 파일은 %TEMP%\..\ ‘winnit’ 폴더에 생성된 ‘winnit.exe’ 파일을 가리키고 있다.
![[그림 5] 생성 된 LNK 파일](https://t1.daumcdn.net/cfile/tistory/993E0B33598CFCAA33)
3-3. 문서 파일 위장
해당 숙주 파일은 실행 된 경로에 동일한 이름의 ‘.doc’ 형식 문서 파일을 만들어 OPEN 한다. 이는 사용자에게 메일에 첨부 된 파일이 실제 문서 파일을 실행 시킨 것과 동일하게 느끼도록 위장하기 위한 것으로 확인 된다. 원본 숙주 파일은 cmd.exe 를 이용하여 삭제 된다.
![[그림 6] 문서 파일 위장](https://t1.daumcdn.net/cfile/tistory/99344E33598CFD3722)
4. 드롭 된 파일 악성 동작
4-1. 정보 전송 및 다운로드
숙주파일에서 드롭 된 실행파일에서는 아래와 같이 특정 파일의 데이터를 읽어 원하는 정보를 수집하여 전송한다.
![[그림 7] 특정 서버로 정보 전송](https://t1.daumcdn.net/cfile/tistory/99B5C033598CFD6B30)
![[그림 8] 데이터를 수집하여 전송하는 부분](https://t1.daumcdn.net/cfile/tistory/99A0CC33598CFD6C32)
또한 추가로 파일을 다운로드하여 추가적인 악성 동작을 수행 할 수 있도록 한다.
![[그림 9] 특정 파일 추가 다운로드](https://t1.daumcdn.net/cfile/tistory/992DBA33598CFDC32E)
4-2. 악성 DLL 로딩
숙주파일에서 같이 드롭 된 악성 DLL파일을 로드 하여 추가적인 악성 동작을 수행하도록 한다.
![[그림 10] 악성 DLL 로드](https://t1.daumcdn.net/cfile/tistory/997DFF33598CFDF734)
4-3. 마우스 입력 정보 탈취
공격자는 앞서 드롭 된 실행파일에서 만들어 놓은 ‘Babylone’ 폴더 내부에 “screentmp.tmp” 생성하고 마우스 입력 이벤트를 가로채는 함수를 이용하여 사용자의 마우스 입력 정보를 기록하여 가로챌 수 있다.
![[그림 11] 마우스 이벤트 후킹](https://t1.daumcdn.net/cfile/tistory/991CA233598CFE5A32)
![[그림 12] 로그 저장](https://t1.daumcdn.net/cfile/tistory/9945C233598CFE5A30)
5. 결론
![[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/99504A33598CFEC001)
![[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/99126033598CFEC031)
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석] 워드 문서 DDE 취약점을 이용한 악성코드 유포 주의 (0) | 2017.11.13 |
|---|---|
| [악성코드 분석] 무단 광고로 사용자를 불편하게 만드는 Adware 배포 주의 (0) | 2017.09.20 |
| [악성코드 분석] 회사 메일을 이용한 피싱 메일 C&C 감염 주의 (0) | 2017.06.01 |
| [악성코드 분석] ‘게임 핵’ 으로 위장한 악성코드 감염 주의 (0) | 2017.05.26 |
| [악성코드 분석] 뱅킹 악성코드 Dyreza의 후속작, TrickBot 분석 (0) | 2017.04.14 |