분석 정보/악성코드 분석 정보

[악성코드 분석]POS 시스템을 대상으로 한 ‘RtPOS’ 악성코드 감염 주의

TACHYON & ISARC 2018. 9. 10. 10:17

POS 시스템을 대상으로 한 ‘RtPOS’ 악성코드 감염 주의

1. 개요

얼마전 EternalBlue와 Doublepulsar 취약점을 통해 추가 악성코드를 전파하는 악성코드가 5만여대 이상의 판매시점정보관리(POS) 시스템을 감염시켜 정상적인 통신에 악영향을 주는 이슈가 있었다. 해당 악성코드는 8월 16일자 잉카인터넷 공식 블로그에 게시한 바 있다. 최근에는 마그네틱 카드의 정보를 수집하는 POS 시스템 대상의 악성코드 ‘RtPOS’ 가 발견되었다. POS 시스템에서는 결제와 관련된 카드의 고유 정보가 오가는 만큼 정보 유출 시 카드 도용으로 이어질 수 있어 각별한 주의가 필요하다.

 

이번 보고서에서는 POS 시스템을 대상으로 하는 ‘RtPOS’ 악성코드에 대해서 알아보고자 한다.

 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

226,304 byte

 진단명

Ransom/W32.RtPOS.226304

 악성동작

정보 수집

 

2-2. 실행 과정

마그네틱 카드에는 ‘Track’ 정보가 있는데 신용카드 번호, 만료일, 이름 등의 중요한 정보가 들어 있다. ‘RtPOS’ 악성코드는 프로세스 메모리에서 마그네틱 카드의 ‘Track1’ 또는 ‘Track2’의 정보를 조회하여 수집한다.


3. 악성 동작

3-1. 카드 고유 정보 수집

‘RtPOS’ 악성코드 실행 시 자기 자신을 ‘WinLogOn’이라는 이름의 서비스로 등록하여 실행시킨다. 이러한 서비스명은 윈도우 운영체제의 정상적인 서비스로 보이기 위함으로 보인다.

 

[그림 1] 서비스명 ‘WinLogOn’으로 자기 자신을 등록하여 실행하는 코드[그림 1] 서비스명 ‘WinLogOn’으로 자기 자신을 등록하여 실행하는 코드

 

 

 

 

[그림 2] 서비스명 ‘WinLogON’ 으로 실행된 ‘RtPOS’ 악성코드[그림 2] 서비스명 ‘WinLogON’ 으로 실행된 ‘RtPOS’ 악성코드

 

 

 

 

 

 

서비스로 실행된 ‘RtPOS’ 악성코드는 C:\Windows\System32 또는 C:\Windows\SysWOW64 폴더에 ‘sql8514.dat’ 라는 파일명으로 카드 정보를 저장할 데이터 파일을 생성한다.

 

 

 

[그림 3] ‘sql8514.dat’ 파일을 생성하는 코드[그림 3] ‘sql8514.dat’ 파일을 생성하는 코드

 

 

 

 

[그림 4] 카드 정보 수집을 위한 ‘sql8514.dat’ 파일 생성[그림 4] 카드 정보 수집을 위한 ‘sql8514.dat’ 파일 생성

 

 

 

 

 

 

이후 vmtoolsd.exe, System, windbg.exe, ntsd.exe 프로세스를 제외한 모든 프로세스의 메모리 내용을 ‘ReadProcessMemory’를 사용하여 순차적으로 수집한다.

 

[그림 5] 프로세스 정보 수집[그림 5] 프로세스 정보 수집

 

 

 

[그림 6] 프로세스의 메모리 데이터 수집[그림 6] 프로세스의 메모리 데이터 수집

 

 

 

 

 

 

수집한 프로세스의 메모리 데이터에서 마그네틱 카드 정보인 ‘Track1’과 ‘Track2’를 조회하는데 그 조건으로 세미콜론(;) 으로 시작하는지, 정보의 길이가 일치하는지, Separator 기호 '='를 포함하는지, End sentinel 기호 '?'를 포함하는지 등의 정보를 확인한다. 아래 그림은 해당 정보를 확인하는 코드의 일부이다.

 

 

[그림 7] 카드 고유 정보를 확인 코드[그림 7] 카드 고유 정보를 확인 코드

 

 

 

 

 

 

‘Track1’ 또는 ‘Track2’로 확인된 정보는 이전에 생성한 ‘sql8514.dat’에 저장한다.

 

 

[그림 8] ‘Track1’ 또는 ‘Track2’로 확인된 내용을 ‘sql8514.dat’에 저장하는 코드[그림 8] ‘Track1’ 또는 ‘Track2’로 확인된 내용을 ‘sql8514.dat’에 저장하는 코드

 

 

 [그림 9] ‘sql8514.dat’ 에 저장된 카드 고유 정보 예시[그림 9] ‘sql8514.dat’ 에 저장된 카드 고유 정보 예시

 

 

 

 

 

4. 결론

이번 ‘RtPOS’ 악성코드는 POS 시스템을 대상으로 카드 정보를 수집하는 기능의 악성코드이다. 정보를 수집할 뿐 외부로 유출하는 기능은 없어 개발중인 악성코드 이거나 외부 유출 시도로 인한 탐지를 회피하려는 목적일 수도 있다. 만약 탐지 회피의 목적이라면 장기적으로 카드 정보를 수집하여 대량을 유출할 의도로 보인다. POS 시스템을 대상으로 하는 정보유출 기능의 악성코드는 정보의 특성에 따라 금전적인 피해로 이어질 가능성이 높기 때문에 각별한 주의가 필요하다. 이러한 정보유출의 피해를 최소화하기 위해서는 백신 제품을 설치하고 윈도우 및 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료를 할 수 있다.

 

 

 

[그림 10] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 10] TACHYON Internet Security 5.0 진단 및 치료 화면