분석 정보/악성코드 분석 정보

[악성코드 분석] KONNI Malware의 변종으로 알려진 NOKKI Malware 주의

TACHYON & ISARC 2018. 10. 24. 00:00

KONNI Malware의 변종으로 알려진 NOKKI Malware 주의

1. 개요

‘NOKKI’는 지난 ‘KONNI’ 악성코드와 유사점이 존재하여 붙여진 이름이다. 유사점으로는 사용자의 PC 정보를 수집하는 코드와 문서를 만드는 기능, 그리고 피싱 메일을 통해 유포된다는 점이다. 사용자가 피싱메일에 첨부된 가짜 문서를 열람할 경우 악성코드가 실행되게 되어 있어 주의가 필요하다. ‘KONNI’의 경우 북한과 관련된 내용의 가짜 문서로 첨부파일의 열람을 유도하였고, ‘NOKKI’ 악성코드는 러시아 외무부(МИД России)라는 파일명으로 열람을 유도하였다. 지난 1월에는 캄보디아와 관련된 내용의 가짜 문서로 공격한 사례가 있으며 지속적해서 변종이 만들어지고 있다.


이번 보고서에서는 ‘NOKKI’ 악성코드는 어떠한 동작을 수행하는지 알아보고자 한다.


[참고 : ‘한국 사용자의 호기심을 자극하는 KONNI Malware 분석’] http://erteam.nprotect.com/1273?category=324722


 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

МИД России.scr (원본파일명 : 러시아어)

 파일크기

162,816 bytes

 진단명

Trojan-Dropper/W32.Nokki.162816

 악성동작

드롭퍼, PC 정보 탈취

 

구분 

내용 

 파일명

svServiceUpdate.exe

 파일크기

58,880 bytes

 진단명

Trojan-Downloader/W32.Agent.58880.DU

 악성동작

PC 정보 전송, 추가 악성코드 다운

 



2-2. 유포 경로

해당 악성코드는 사용자가 이메일의 첨부 파일을 확인 시, 실행되도록 유도하여 유포되고 있다.

 


2-3. 실행 과정

메일에 첨부된 ‘Word’ 문서 아이콘으로 위장한 ‘.scr’ 파일을 사용자가 문서 파일로 인식하여 열람할 경우, “C:\Users\사용자계정명\AppData\Local” 경로에 ‘MicroSoft Updatea’ 폴더를 만들고 ‘svServiceUpdate.exe’을 드롭 및 실행한다. 그리고 시작 프로그램 폴더에 ‘svServiceUpdate.exe’을 가리키는 링크 파일을 생성한다. 또한 정상 파일로 위장하기 위해 “%TEMP%” 경로에 ‘.docx’ 파일을 생성하여 아래 [그림 1]과 같이 화면에 띄운다.

 

 

[그림 1] 첨부 된 파일 열람[그림 1] 첨부 된 파일 열람

 

 

 

3. 숙주 파일 악성 동작

3-1. 사용자 PC 정보 탈취

해당 숙주 파일(МИД России.src)을 실행하면 "C:\Users\사용자계정명\AppData\Local” 경로에 ‘MicroSoft Updatea’ 폴더를 만들고. uplog.tmp 파일에 사용자의 IP주소, 컴퓨터 이름, 사용자 계정명, 드라이브 정보, 운영체제 정보, 설치된 프로그램의 정보를 수집하여 기록한다.

 

 

[그림 2] 수집된 사용자의 PC 정보 파일[그림 2] 수집된 사용자의 PC 정보 파일

 

 

 

[그림 3] 사용자의 PC 정보 수집 코드[그림 3] 사용자의 PC 정보 수집 코드

 

 

 

3-2. 악성 파일 드롭 및 시작 프로그램 등록

"C:\Users\사용자계정명\AppData\Local\MicroSoft Updatea" 폴더에 ‘svServiceUpdate.exe’ 파일을 드롭하고 실행한다. ‘svServiceUpdate.exe’가 자동 실행되도록 하기 위해 시작 프로그램에 링크 파일을 생성하는 것을 확인할 수 있다.

 

 

[그림 4] 드롭된 ‘svServiceUpdate.exe’[그림 4] 드롭된 ‘svServiceUpdate.exe’

 

 

 

[그림 5] 생성 된 링크 파일[그림 5] 생성 된 링크 파일

 

 

 

[그림 6] ‘svServiceUpdate.exe’ 드롭 및 실행, 시작프로그램에 링크 파일 생성[그림 6] ‘svServiceUpdate.exe’ 드롭 및 실행, 시작프로그램에 링크 파일 생성

 

 

3-3. 문서 파일 위장

해당 숙주 파일은 “%TEMP%” 경로에 같은 이름의 ‘.docx’ 형식 문서 파일을 만들어 OPEN 한다. 이는 사용자에게 메일에 첨부된 파일이 실제 문서 파일을 실행시킨 것과 동일하게 느끼도록 위장하기 위한 것으로 확인된다.

 

 

[그림 7] 문서 파일 위장[그림 7] 문서 파일 위장

 

 

 

4. 드롭 된 파일 악성 동작

4-1. 탈취한 정보 전송 및 악성 파일 다운로드

숙주파일에서 드롭된 실행파일(svServiceUpdate.exe)은 ‘3-1. 사용자 PC정보 탈취’에서 탈취한 PC 정보(uplog.tmp)를 특정 FTP 서버로 전송하고, 추가로 악성 파일을 다운로드하여 추가적인 악성 동작을 수행할 수 있도록 한다. 특정 FTP 서버는 한국에 존재하는 정상 서버이며, 해당 악성코드는 C&C 서버와 통신하기 위해 이와 같이 정상 서버를 감염시킨다. 현재 분석시점에서는 해당 FTP 서버와 연결이 이루어지지 않는다.

 

 

[그림 8] 탈취한 정보 전송[그림 8] 탈취한 정보 전송

 

 

 

[그림 9] 악성 파일 추가 다운로드[그림 9] 악성 파일 추가 다운로드

 

 

 

5. 결론

이번 보고서에서 분석한 악성 파일은 사회공학 기법을 이용해 사용자가 관심을 가질만한 주제로 호기심을 자극하여 악성 파일를 실행하도록 유도하고 있다. 또한 실제 문서 파일도 보여주기 때문에 일반 사용자가 악성코드가 실행된 사실을 알아차리기가 어렵다. 백도어의 경우 공격자에 의해 또 다른 추가적인 악성코드를 다운로드 할 수 있으며, 지속해서 사용자의 개인 정보가 탈취당할 수 있다. 따라서 출처가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안 되며, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.

 

위 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다

 

 

[그림] TACHYON Inernet Security V5.0 진단 및 치료 화면 [그림 10] TACHYON Inernet Security V5.0 진단 및 치료 화면