분석 정보/악성코드 분석 정보

[악성코드 분석]사용자 로그인 계정 정보를 탈취하는 악성코드 감염 주의

TACHYON & ISARC 2018. 12. 26. 17:38

사용자 로그인 계정 정보를 탈취하는 악성코드 감염 주의

1. 개요

최근 사용자의 PC에서 웹 브라우저에 저장된 로그인 계정 정보를 탈취하는 악성코드가 발견되었다. 그뿐만 아니라 비트코인 지갑 정보와 특정 응용프로그램의 사용자 계정 정보까지 탈취한다.

 

이번 보고서에서는 사용자의 로그인 계정 정보 및 비트코인 지갑 정보를 탈취하는 악성코드의 동작에 대해 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

263,533 bytes

 진단명

Trojan-Exploit/RTF.CVE-2017-11882

악성동작

 다운로더

 

 

 

구분 

내용 

 파일명

INVOICE.exe

 파일크기

115,200 bytes

 진단명

Trojan-PSW/W32.DP-infoStealer.115200

악성동작

사용자 계정 정보 탈취

 

 

2-2. 유포 경로

해당 파일은 이메일의 첨부파일을 통해 유포되었을 것으로 추정된다.

 

2-3. 실행 과정

해당 악성 워드 문서에는 공격자의 쉘 코드가 삽입된 수식 객체가 포함되어있다.

 

[그림 1] 수식 객체가 포함된 워드 문서[그림 1] 수식 객체가 포함된 워드 문서

 

 

[그림 2] 삽입 된 쉘 코드[그림 2] 삽입 된 쉘 코드

 

 

 

 

 

문서에 포함된 수식 객체를 처리하기 위해서는 MS 오피스의 수식 편집기 프로그램 ‘EQNEDT32.EXE’ 이 사용되는데, 이점을 악용해 악성 쉘코드가 동작하여 자동으로 'INVOICE.exe' 악성코드를 다운로드 하고 실행한다.

 

 

[그림 3] 실행 흐름[그림 3] 실행 흐름

 

 

 

 

 

3. 악성 동작

3-1. INVOICE.exe 악성 파일 다운로드

해당 워드 문서를 열람하면, 수식 개체 내부에 존재하는 쉘 코드가 동작하게 되면서 공격자의 C&C 서버로부터 ‘INVOICE.exe’ 악성 파일을 ‘C:\Users\사용자 계정\AppData\Roaming’ 위치에 다운로드한다. 

 

 

[그림 4] ‘INVOICE.exe’ 악성 파일 다운로드[그림 4] ‘INVOICE.exe’ 악성 파일 다운로드

 

 

 

[그림 5] ‘INVOICE.exe’ 악성 파일[그림 5] ‘INVOICE.exe’ 악성 파일

 

 

 

3-2. 웹 브라우저 로그인 계정 정보 탈취

해당 악성코드는 사용자 PC에서 사용하는 모든 종류의 웹 브라우저를 탐색하며 사용자의 편의를 위해 저장된 쿠키 및 로그인 계정 정보를 수집한다. 

 

[그림 6] 로그인 정보 자동저장 기능[그림 6] 로그인 정보 자동저장 기능

 

 

 

 

 

구글 크롬 같은 경우 저장된 계정 정보를 ‘C:\Users\사용자계정\AppData\Local\Google\Chrome\User Data\Default’ 경로에 ‘Login Data’ 파일명으로 저장한다. SQLite Database 형태로 저장되어 있으며 Password 값은 암호화 되어있다.

 

[그림 7] ‘Login Data’ 파일[그림 7] ‘Login Data’ 파일

 

 

 

 

 

해당 악성코드는 %TEMP% 경로에 ‘Login Data’ 파일을 복사한 뒤 암호화된 Password를 CryptUnprotectData 함수로 해독하고, 아래와 같이 저장된 로그인 계정 정보를 수집한다.

 

 

[그림 8] 브라우저 로그인 계정 정보 수집[그림 8] 브라우저 로그인 계정 정보 수집

 

 

 

3-3. 응용프로그램 로그인 계정 정보 및 비트코인 지갑 정보 탈취

또한 PC를 탐색하며 Outlook, FileZilla, WinSCP, Thunderbird, Skype, steam 응용프로그램의 사용자 계정 및 민감한 정보를 수집한다.

 

 

[그림 9] 특정 응용프로그램의 사용자 정보 수집[그림 9] 특정 응용프로그램의 사용자 정보 수집

 

 

 

[그림 9] 특정 응용프로그램의 사용자 정보 수집[그림 9] 특정 응용프로그램의 사용자 정보 수집

 

 

 

 

 

 

.wallet경로를 탐색하며 Ethereum, Electrum, Electrum-LTC, Jaxx, Exodus, MultiBitHD 비트코인 지갑 정보를 탈취한다.

 

[그림 10] 비트코인 지갑 정보 탈취[그림 10] 비트코인 지갑 정보 탈취

 

 

 

3-4. 사용자 PC 시스템 정보 탈취

사용자의 PC 정보를 수집하며 현재 실행 중인 프로세스와 설치된 프로그램까지 수집한다.

 

[그림 11] 사용자 PC 정보 수집[그림 11] 사용자 PC 정보 수집

 

 

 

3-5. 탈취한 정보 전송 및 자가 삭제

악성코드가 수집한 모든 정보(사용자 PC 정보, 저장된 로그인 계정정보, 응용프로그램 및 비트코인 지갑 정보, 쿠키 정보)는 아래와 같은 형식으로 정리되어 암호화 후 C&C 서버로 전송된다. C&C 응답에 따라 추가로 악성코드가 다운될 수 있다.

 

[그림 12] 탈취한 정보[그림 12] 탈취한 정보

 

 

 

[그림 13] 탈취한 정보 암호화 패킷[그림 13] 탈취한 정보 암호화 패킷

 

 

 

 

전송이 끝나면 마지막으로 cmd.exe를 이용해 자가 삭제를 한다.

 

[그림 14] 자가 삭제[그림 14] 자가 삭제

 

 

 

 

 

4. 결론

이번 보고서에서 알아본 사용자 로그인 계정 정보 탈취형 악성코드는 현재 분석 시점까지도 C&C 서버가 연결되어 있으며 추가적인 악성코드를 다운로드 할 수 있기 때문에 사용자의 주의가 필요하다. 출처가 불분명한 워드 파일을 열람할 시 주의해야 하며 백신 제품을 설치해 악성코드의 감염을 미리 방지할 수 있다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 15] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 15] TACHYON Internet Security 5.0 진단 및 치료 화면