트위터 이미지 이용한 악성 프로그램 감염 주의
1. 개요
얼마 전 트위터에 업로드한 이미지를 활용하여 악성 동작 명령을 받는 악성 프로그램이 발견되었다. 이 프로그램은 특정 트위터 계정의 이미지를 다운로드한 후, 이미지 내부에 저장된 명령을 추출하여 그에 따른 악성 동작을 실행한다. 문제가 되는 계정은 현재 정지된 상태지만 유사한 방식으로 동작하는 프로그램의 존재 가능성이 있기 때문에 주의가 필요하다.
이번 보고서에서는 트위터 이미지를 이용한 악성 프로그램의 동작에 대해 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
|
구분 |
내용 |
|
파일명 |
svghost.exe |
|
파일크기 |
35,840 bytes |
|
진단명 |
Trojan-Dropper/W32.DN-InfoStealer.35840 |
|
악성동작 |
파일 드랍 및 프로세스 생성 |
|
구분 |
내용 |
|
파일명 |
Application Framework.exe |
|
파일크기 |
21,504 bytes |
|
진단명 |
Trojan-Spy/W32.DN-InfoStealer.21504.B |
|
악성동작 |
사용자 정보 탈취 |
2-2. 유포 경로
해당 악성코드의 정확한 유포 경로는 알려지지 않았다.
2-3. 실행 과정
이 악성 프로그램은 “svghost.exe” 와 “Application Framework.exe” 라는 두 파일로 구성되어 있다. 먼저 “svghost.exe” 가 실행되면 시스템 내에 “Application Framework” 프로세스가 실행 중인지 확인하고 없다면 사용자의 시작 프로그램 그룹 폴더에 “Application Framework.exe” 파일을 생성하고 실행한다. “Application Framework.exe” 은 특정 트위터 계정에서 이미지를 다운로드한 후, 해당 이미지에 숨겨져 있는 공격 명령을 추출한다. 이후 추출한 명령에 따라 개인 정보 탈취, 스크린샷 찍기 등의 악성 행위를 실행한다. 악성 행위 후에는 “pastebin.com” 사이트에서 공격자 서버 주소를 읽어 탈취한 정보를 전송한다.
3. 악성 동작
3-1. 악성 파일 드랍 및 프로세스 유지
“svghost.exe” 실행 시 “Application Framework” 프로세스의 실행 여부를 확인한 후, 실행되지 않고 있다면 사용자의 시작 프로그램 그룹 폴더에 “Application Framework.exe” 파일을 생성하고 실행한다. 이후에도 “svghost.exe” 는 지속적으로 프로세스 실행 여부를 확인하며 악성 행위를 지속시킨다.
![[그림 1] 악성 행위를 수행하는 두 프로세스](https://t1.daumcdn.net/cfile/tistory/99FFC74C5C331BFE2D)
3-2. 트위터 이미지 다운로드 및 악성 명령어 추출
“Application Framework.exe” 은 주기적으로 특정 트위터 계정의 이미지를 다운로드한 후, 해당 이미지에 숨겨져 있는 명령어를 추출한다. 이후 추출한 명령어가 이전에 실행한 명령어와 다른 새로운 명령이라면, 명령어에 따라 [표 1]과 같은 악성 동작을 수행한다. 이러한 동작 방식으로 볼 때 공격자가 새로운 명령을 내릴때 마다 트위터에 새로운 명령어가 숨겨진 이미지를 업로드할 것으로 추측할 수 있다.
|
명령어 |
기능 |
|
/processos |
현재 실행 중인 프로세스 목록 수집 |
|
|
사용자 화면 스크린샷 캡처 |
|
/clip |
현재 클립보드에 저장된 데이터 수집 |
|
/username |
시스템 사용자 이름 수집 |
|
/docs |
MyDocuments, Desktop, MyPictures 하위 파일명 및 크롬 로그인 정보 수집 |
[표 1] 공격자 명령에 따른 악성 행위
3-3. 시스템 정보 업로드
마지막으로 “pastebin.com” 사이트에서 공격자가 생성한 것으로 추정되는 페이지에 접속하여 수집한 데이터를 업로드할 URL 정보를 가져온다. 해당 페이지는 현재 사라진 상태이며, 공격자가 스스로 삭제했거나 관리자에 의해 삭제한 것으로 추정된다.
![[그림 2] 삭제된 업로드 URL 페이지](https://t1.daumcdn.net/cfile/tistory/9973BA4C5C331BFE28)
4. 결론
이번 보고서에서 분석한 프로그램은 주소가 삭제되면서 작동하지 않지만, 기능이 추가된 유사 파일이 발견되고 있다. 이와 같은 프로그램은 정상 사이트와 통신하면서 악성 정보를 전달하는데, 이처럼 정보의 존재 자체를 은닉하여 전달하는 방법을 스테가노그래피라 한다. 스테가노그래피를 이용한 공격은 일반적인 악성 공격보다 탐지가 어렵기 때문에 관리자가 평소와 다른 통신 상태에 유의할 필요가 있다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
![[그림 3] TACHYON Internet Security 5.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/993CB34C5C331BFF2B)
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석]저장된 로그인 정보를 탈취하는 악성코드 감염 주의 (0) | 2019.01.31 |
|---|---|
| [악성코드 분석]광고성 스팸메일을 발송하는 악성코드 주의 (0) | 2019.01.24 |
| [악성코드 분석]사용자 로그인 계정 정보를 탈취하는 악성코드 감염 주의 (0) | 2018.12.26 |
| [악성코드 분석]한글 문서에 포함된 매크로 악성코드 분석 (0) | 2018.11.28 |
| [악성코드 분석]경고 메시지 없이 실행되는 MS 워드 비디오 삽입 취약점 주의 (0) | 2018.11.12 |