분석 정보/악성코드 분석 정보

[악성코드 분석] Gold Dragon 악성코드 주의

TACHYON & ISARC 2018. 3. 14. 15:54

Gold Dragon 악성코드 주의



1. 개요 


최근, 국내에서 열렸던 2018년 평창 올림픽이 무사히 막을 내렸다. 올림픽 기간 중에도 보안과 관련된 이슈는 끊임없이 계속 발생하였지만 그 중, 흥미롭게도 해외 한 백신 업체에서 평창 올림픽을 겨냥한 것으로 추정되는 악성코드에 대한 보고서를 기재하였다.

게시된 글을 확인해보면 ‘Gold Dragon’ 이라고 불려지고 있는 파일에 대하여 내용이 다루어져 있다는 것을 확인할 수 있었는데, 이번 블로그에서는 해당 악성코드에 대해 어떠한 동작을 하는지 간단히 알아보도록 하자.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

49,152 byte

진단명

Trojan/W32.Agent.49152.CRX

악성동작

정보 탈취 / 추가 악성코드 다운 및 실행













2-3. 실행 과정

해당 '[임의의 파일명].exe' 를 실행하면 특정 프로세스를 탐색하여 종료하고, 특정 경로에 파일을 생성한다. 생성된 파일에 사용자의 바탕화면 목록, 실행중인 프로세스 목록, 랜카드 정보 등의 다양한 정보를 15분 간격으로 수집하며 이외에도 추가적인 악성코드를 다운로드 받아 실행시킨다.







3. 악성 동작


3-1. 특정 프로세스 종료

해당 악성코드는 실행 시 현재 실행 중인 프로세스 목록을 불러와서 'v3.exe' 또는 'Cleaner.exe' 같은 사용자의 PC를 보호하기 위한 프로그램 종료를 시도한다


[그림 1] 특정 프로세스 종료 코드[그림 1] 특정 프로세스 종료 코드





3-2. 사용자 정보 탈취

실행된 악성코드는 '%AppData%\Microsoft' 하위에 'HNC' 라는 이름의 폴더를 생성하고 '1.hwp' 파일을 'HNC' 폴더 안에 생성한다.


[그림 2] 수집한 정보 임시저장 파일[그림 2] 수집한 정보 임시저장 파일





이후 명령프롬프트 창에 아래와 같은 명령어를 인자로 주어 실행시킨다. 이러한 방식을 이용하여 다양한 정보를 수집한 후에 이전에 생성했던 임시 저장 파일인 '1.hwp' 파일에 저장한다.


[그림 3] 정보 탈취 명령어의 일부[그림 3] 정보 탈취 명령어의 일부





저장되는 정보의 종류로는 기본적인 PC 의 관련된 정보와 함께 랜카드 정보, 바탕화면 목록, 최근 오픈한 문서파일 정보, 실행중인 프로세스 정보 등이 해당된다.


[그림 4] 탈취하는 정보의 일부[그림 4] 탈취하는 정보의 일부




[그림 5] 랜카드 정보[그림 5] 랜카드 정보






필요한 정보를 저장한 후에 저장한 정보를 인코딩하여 특정 도메인의 공격자 서버로 전송한다. 이러한 정보수집 및 전송 행위는 15분 간격으로 반복하여 수행하며, 그 때문에 계속해서 변화하는 정보를 수집할 수 있다.


[그림 6] 수집한 정보 전송[그림 6] 수집한 정보 전송






3-3. 추가 악성코드 다운로드 및 실행

추가 악성코드를 실행하기 위해서 이전의 정보를 전송했던 곳과 같은 도메인을 통해 추가적인 데이터를 다운로드 요청한다.


[그림 7] 다운로드 요청[그림 7] 다운로드 요청





추가적인 데이터를 다운 받을 경우 이를 이전에 생성했던 '%Appdata%\Microsoft\HNC' 경로 하위에 'hupdate.ex' 파일로 생성하여 받아온 데이터를 파일에 덮어씌운다.


[그림 8] 다운받은 파일[그림 8] 다운받은 파일





새롭게 생성한 'hupdate.ex' 파일을 프로세스로 실행한다. 현재는 서버와 연결되지 않아 추가 악성코드의 실행 위험은 없으나 서버가 활성화되면 언제라도 추가적으로 악성코드를 다운받아 실행할 수 있다.


[그림 9] 추가 다운로드 파일 실행 코드[그림 9] 추가 다운로드 파일 실행 코드






4. 결론

이번 보고서에서 알아 본 'GoldDragon' 악성코드는 사용자 PC 의 정보를 수집하고 추가 악성코드를 다운받아 실행함으로써 추후의 공격을 위한 정찰병과 같은 역할로 생각할 수 있다. 

평창 올림픽 기간처럼 특별한 기간을 노리는 악성코드들의 움직임들은 빈번히 발생되었다. 평상시에도 주의를 기울여야 하지만 올림픽 기간과 같이 전세계적으로 이목이 집중 되는 기간에는 좀 더 사용자들의 주의가 필요할 것으로 보여진다.
또한, 신뢰할 수 없는 이메일의 첨부파일이나 다운받은 파일들을 실행하지 않도록 하고 사용하고 있는 OS 나 백신 제품을 항상 최신 버전으로 업데이트 하도록 하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면