분석 정보/악성코드 분석 정보

[악성코드 분석]저장된 로그인 정보를 탈취하는 악성코드 감염 주의

TACHYON & ISARC 2019. 1. 31. 17:17

저장된 로그인 정보를 탈취하는 악성코드 감염 주의

1. 개요

최근 사용자의 웹 브라우저, 이메일 클라이언트 로그인 정보를 탈취하는 악성코드가 지속적으로 유포되고 있다. 사용자 PC에 저장된 로그인 정보를 수집하기 위해 패스워드 뷰어 프로그램을 악용하고 있으며, 백신 프로그램을 우회하고 사용자 모르게 악성파일을 다운받기 위해 hta 파일을 이용한다.

 

이번 보고서에서는 저장된 로그인 정보를 탈취하는 악성코드의 동작에 대해 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

임의의 문자열.exe

 파일크기

8,358 bytes

 진단명

Trojan-Exploit/RTF.2017-11882

악성동작

악성코드 다운로드


 

구분 

내용 

 파일명

PES.exe

 파일크기

1,362,576 bytes

 진단명

Trojan-PSW/W32.DN-InfoStealer.1362576

악성동작

악성파일 드롭, 로그인 정보 탈취


 

구분 

내용 

 파일명

tmp.exe

 파일크기

565,760 bytes

 진단명

Trojan-PSW/W32.DN-InfoStealer.565760.B

악성동작

로그인 정보 탈취


 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드의 유포경로처럼 피싱 메일을 통해 유포된 것으로 추정된다.


 

2-3. 실행 과정

해당 doc 문서를 열면 MS 오피스의 수식 편집기(EQNEDT32.exe)의 취약점을 이용해 kev4.hta 악성파일을 다운 및 실행하도록 되어있다. 다운로드 된 kev4.hta 파일은 ‘%TEMP%’ 경로에 악성 행위를 하는 A6p.vbs 스크립트를 생성하고 실행한다.

 

[그림 1] 실행 흐름[그림 1] 실행 흐름

 

 

 

 

스크립트 내부에는 ‘%TEMP%’ 경로에 PES.exe를 다운받고 실행하는 코드가 존재한다. 그리고 PES.exe는 특정 경로에 자가 복제를 하며 시스템 재부팅 시 자동 실행되도록 설정한다. 추가적으로 tmp.exe 악성파일을 드롭한 뒤, tmp.exe와 함께 저장된 로그인 정보를 탈취한다.

 

[그림 2] 실행 흐름[그림 2] 실행 흐름

 

 

[그림 3] 로그인 정보 탈취[그림 3] 로그인 정보 탈취

 

 

 

 

 

 

3. 악성 동작

3-1. kev4.hta 악성 파일 다운로드

해당 doc 문서 내부에는 kev4.hta 파일을 다운받는 코드가 존재한다. CVE-2017-11882 취약점을 이용하기 때문에 사용자가 문서를 열기만 해도 공격자가 삽입한 코드가 자동으로 실행되어 kev4.hta 악성 파일이 다운로드 된다.
 

[그림 4] 삽입된 코드[그림 4] 삽입된 코드

 

 

 

HTA(HTML Application)는 mshta.exe 프로그램을 통해 실행되는데 HTML 코드로 작성된 파일을 웹 브라우저와 연결 없이 응용프로그램처럼 바로 실행할 수 있는 특징을 갖고있다. 즉 HTML과 다르게 스크립트 실행 경고 창이 생성되지 않기때문에 사용자 모르게 악성코드가 실행될 수 있다.
문서로부터 다운로드 된 kev4.hta 파일의 내용은 URI로 인코딩 되어있는데 디코딩시 kev4.exe 악성코드를 다운받아 PES.exe 이름으로 실행하는 코드가 작성되어 있다.

 

[그림 5] kev4.hta 디코드[그림 5] kev4.hta 디코드

 

 

 

 

kev4.exe는 %TEMP% 경로에 PES.exe 이름으로 변경되어 다운로드 된다.

 

[그림 6] PES.exe 다운로드 패킷[그림 6] PES.exe 다운로드 패킷

 

 

 

3-2. 자가 복제 및 자동 실행 등록

실행된 ‘PES.exe’는 ‘C:\Users\INCA\AppData\Roaming’ 경로에 ‘buyrN’ 이름의 숨김 속성 폴더를 생성하고 폴더 안에 ‘fefu.exe’ 파일명으로 자가 복제를 하며, 시스템 재부팅 시 자동 실행을 하기 위해 자가 복제한 파일을 가리키는 링크 파일도 함께 만든다.

 

[그림 7] 자가 복제[그림 7] 자가 복제

 

 

 

 

‘HKCU\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\’ 레지스트리 경로에 Load의 값으로 링크 파일 경로를 등록하면 시스템이 시작할 때 fefu.exe 악성코드가 자동으로 실행된다.

 

[그림 8] 자동 실행 등록[그림 8] 자동 실행 등록

 

 

 

3-3. tmp.exe 악성 파일 드롭

또한 PES.exe는 리소스 내부에 존재하는 악성 tmp.exe를 %TEMP% 경로에 드롭 및 실행한다.

 

[그림 9] tmp.exe 드롭 및 실행 코드[그림 9] tmp.exe 드롭 및 실행 코드

 

 

 

[그림 10] 드롭된 tmp.exe[그림 10] 드롭된 tmp.exe

 

 

 

 

3-4. 로그인 정보 탈취

악성 PES.exe와 tmp.exe는 특정 사이트에서 프리웨어로 제공하는 패스워드 뷰어 프로그램으로 웹 브라우저와 이메일 클라이언트에 저장된 로그인 정보를 탈취한다. 패스워드 뷰어 프로그램은 사용자가 잊어버린 암호를 알아내기 위해 이용하는 암호 복구 프로그램이지만 이처럼 악성코드에 악용될 수 있다.

 

[그림 11] 암호 복구 프로그램[그림 11] 암호 복구 프로그램

 

 

 

[그림 12] 탈취한 정보 전송 패킷[그림 12] 탈취한 정보 전송 패킷

 

 

 

4. 결론

이번 보고서에서 알아본 악성코드는 백신 프로그램을 우회하기 위해 ‘hta 파일’ 형식으로 실행하며, 패스워드 뷰어 프로그램을 악용하여 로그인 정보를 탈취한다. 탈취한 이메일 로그인 정보로 2차 피해가 발생 할 수 있기 때문에 사용자의 주의가 필요하다. 출처가 불분명한 메일의 첨부파일은 가급적 열람을 삼가하고 사전에 백신 프로그램을 설치하는 것이 좋다.

 

위 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
 

 

[그림 13] TACHYON Internet Security 5.0 진단 및 치료[그림 13] TACHYON Internet Security 5.0 진단 및 치료