사용자 로그인 계정 정보를 탈취하는 악성코드 감염 주의
1. 개요
최근 사용자의 PC에서 웹 브라우저에 저장된 로그인 계정 정보를 탈취하는 악성코드가 발견되었다. 그뿐만 아니라 비트코인 지갑 정보와 특정 응용프로그램의 사용자 계정 정보까지 탈취한다.
이번 보고서에서는 사용자의 로그인 계정 정보 및 비트코인 지갑 정보를 탈취하는 악성코드의 동작에 대해 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
|
구분 |
내용 |
|
파일명 |
[임의의 파일명].exe |
|
파일크기 |
263,533 bytes |
|
진단명 |
Trojan-Exploit/RTF.CVE-2017-11882 |
|
악성동작 |
다운로더 |
|
구분 |
내용 |
|
파일명 |
INVOICE.exe |
|
파일크기 |
115,200 bytes |
|
진단명 |
Trojan-PSW/W32.DP-infoStealer.115200 |
|
악성동작 |
사용자 계정 정보 탈취 |
2-2. 유포 경로
해당 파일은 이메일의 첨부파일을 통해 유포되었을 것으로 추정된다.
2-3. 실행 과정
해당 악성 워드 문서에는 공격자의 쉘 코드가 삽입된 수식 객체가 포함되어있다.
![[그림 1] 수식 객체가 포함된 워드 문서](https://t1.daumcdn.net/cfile/tistory/99CAE4385C233BD419)
![[그림 2] 삽입 된 쉘 코드](https://t1.daumcdn.net/cfile/tistory/9998CD375C2337B32C)
문서에 포함된 수식 객체를 처리하기 위해서는 MS 오피스의 수식 편집기 프로그램 ‘EQNEDT32.EXE’ 이 사용되는데, 이점을 악용해 악성 쉘코드가 동작하여 자동으로 'INVOICE.exe' 악성코드를 다운로드 하고 실행한다.
![[그림 3] 실행 흐름](https://t1.daumcdn.net/cfile/tistory/9935E5375C2337B430)
3. 악성 동작
3-1. INVOICE.exe 악성 파일 다운로드
해당 워드 문서를 열람하면, 수식 개체 내부에 존재하는 쉘 코드가 동작하게 되면서 공격자의 C&C 서버로부터 ‘INVOICE.exe’ 악성 파일을 ‘C:\Users\사용자 계정\AppData\Roaming’ 위치에 다운로드한다.
![[그림 4] ‘INVOICE.exe’ 악성 파일 다운로드](https://t1.daumcdn.net/cfile/tistory/995EAD375C2337B40F)
![[그림 5] ‘INVOICE.exe’ 악성 파일](https://t1.daumcdn.net/cfile/tistory/99E65A375C2337B514)
3-2. 웹 브라우저 로그인 계정 정보 탈취
해당 악성코드는 사용자 PC에서 사용하는 모든 종류의 웹 브라우저를 탐색하며 사용자의 편의를 위해 저장된 쿠키 및 로그인 계정 정보를 수집한다.
![[그림 6] 로그인 정보 자동저장 기능](https://t1.daumcdn.net/cfile/tistory/995543375C2337B638)
구글 크롬 같은 경우 저장된 계정 정보를 ‘C:\Users\사용자계정\AppData\Local\Google\Chrome\User Data\Default’ 경로에 ‘Login Data’ 파일명으로 저장한다. SQLite Database 형태로 저장되어 있으며 Password 값은 암호화 되어있다.
![[그림 7] ‘Login Data’ 파일](https://t1.daumcdn.net/cfile/tistory/99AAB9375C2337B60C)
해당 악성코드는 %TEMP% 경로에 ‘Login Data’ 파일을 복사한 뒤 암호화된 Password를 CryptUnprotectData 함수로 해독하고, 아래와 같이 저장된 로그인 계정 정보를 수집한다.
![[그림 8] 브라우저 로그인 계정 정보 수집](https://t1.daumcdn.net/cfile/tistory/99E2CE375C2337B609)
3-3. 응용프로그램 로그인 계정 정보 및 비트코인 지갑 정보 탈취
또한 PC를 탐색하며 Outlook, FileZilla, WinSCP, Thunderbird, Skype, steam 응용프로그램의 사용자 계정 및 민감한 정보를 수집한다.
![[그림 9] 특정 응용프로그램의 사용자 정보 수집](https://t1.daumcdn.net/cfile/tistory/99EEDF3B5C2337B705)
![[그림 9] 특정 응용프로그램의 사용자 정보 수집](https://t1.daumcdn.net/cfile/tistory/99A6263B5C2337B82A)
.wallet경로를 탐색하며 Ethereum, Electrum, Electrum-LTC, Jaxx, Exodus, MultiBitHD 비트코인 지갑 정보를 탈취한다.
![[그림 10] 비트코인 지갑 정보 탈취](https://t1.daumcdn.net/cfile/tistory/99927E3B5C2337B815)
3-4. 사용자 PC 시스템 정보 탈취
사용자의 PC 정보를 수집하며 현재 실행 중인 프로세스와 설치된 프로그램까지 수집한다.
![[그림 11] 사용자 PC 정보 수집](https://t1.daumcdn.net/cfile/tistory/995D073B5C2337B816)
3-5. 탈취한 정보 전송 및 자가 삭제
악성코드가 수집한 모든 정보(사용자 PC 정보, 저장된 로그인 계정정보, 응용프로그램 및 비트코인 지갑 정보, 쿠키 정보)는 아래와 같은 형식으로 정리되어 암호화 후 C&C 서버로 전송된다. C&C 응답에 따라 추가로 악성코드가 다운될 수 있다.
![[그림 12] 탈취한 정보](https://t1.daumcdn.net/cfile/tistory/99F6993B5C2337B910)
![[그림 13] 탈취한 정보 암호화 패킷](https://t1.daumcdn.net/cfile/tistory/99933F3B5C2337BA09)
전송이 끝나면 마지막으로 cmd.exe를 이용해 자가 삭제를 한다.
![[그림 14] 자가 삭제](https://t1.daumcdn.net/cfile/tistory/99332E3B5C2337BB0E)
4. 결론
이번 보고서에서 알아본 사용자 로그인 계정 정보 탈취형 악성코드는 현재 분석 시점까지도 C&C 서버가 연결되어 있으며 추가적인 악성코드를 다운로드 할 수 있기 때문에 사용자의 주의가 필요하다. 출처가 불분명한 워드 파일을 열람할 시 주의해야 하며 백신 제품을 설치해 악성코드의 감염을 미리 방지할 수 있다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
![[그림 15] TACHYON Internet Security 5.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/99321A3E5C2337BB1B)
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석]광고성 스팸메일을 발송하는 악성코드 주의 (0) | 2019.01.24 |
|---|---|
| [악성코드 분석]트위터 이미지 이용한 악성 프로그램 감염 주의 (0) | 2019.01.07 |
| [악성코드 분석]한글 문서에 포함된 매크로 악성코드 분석 (0) | 2018.11.28 |
| [악성코드 분석]경고 메시지 없이 실행되는 MS 워드 비디오 삽입 취약점 주의 (0) | 2018.11.12 |
| [악성코드 분석] KONNI Malware의 변종으로 알려진 NOKKI Malware 주의 (0) | 2018.10.24 |