[악성코드 분석]nProtect KeyCrypt 관련 파일로 위장한 다운로더 주의

nProtect KeyCrypt 관련 파일로 위장한 다운로더 주의

1. 개요

얼마 전, 자사에서 개발한 nProtect KeyCrypt 제품과 관련된 파일로 위장한 악성 파일이 발견되었다. 해당 파일은 자사에서 개발한 파일 중 하나인 “npkpdb.dll” 로 위장한 파일 정보를 가지고 있으나, 실제로는 다른 악성 파일을 다운로드하여 실행하는 exe 파일이다. 또한 Adobe, Mozilla 재단과 같이 유명 기업에서 개발한 파일로 위장한 유사 샘플이 존재하기 때문에 주의가 필요하다. 

 

이번 보고서에서는 정상 기업 파일로 위장한 다운로더의 악성 동작에 대해 알아보고자 한다.

 

 

 

[그림 1] npkpdb.dll 로 위장한 파일

 

 

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	[임의의 파일명].exe
파일크기	158,040 bytes
진단명	Trojan/W32.Downloader.158040
악성동작	파일 다운로드

2-2. 유포 경로

해당 악성 파일의 정확한 유포 경로는 알려지지 않았다.

 

2-3. 실행 과정

실행 시, 먼저 감염된 시스템의 버전을 확인하며 Windows Vista 보다 이전 버전일 경우 악성 행위 없이 종료된다. 이후 COM 개체를 생성하여 백그라운드에서 “iexplore.exe” 를 실행시키고, 외부 서버와 통신을 시도한다. 통신 과정에서 추가적인 악성 데이터를 다운로드하고, Powershell 을 이용하여 악성 파일을 실행한다. 모든 작업이 완료된 후에는 자기 자신을 삭제하여 흔적을 지운다.

 

 

 

3. 악성 동작

3-1. 시스템 윈도우 버전 확인

가장 먼저 시스템의 윈도우 버전을 확인하여 악성 행위 실행 여부를 결정한다. 프로세스 환경 블록(PEB) 에 저장된 Windows Major Version 정보를 확인하여 6 보다 낮으면 악성 행위 없이 실행을 종료한다. 이는 시스템 환경이 Windows Vista 보다 낮은 버전인지 확인한다는 것을 의미한다. 

 

[그림 2] 시스템 윈도우 버전 확인 코드

 

 

 

3-2. 악성 페이로드 다운로드 및 실행

이후 Internet Explorer 의 COM 객체를 생성하여 백그라운드에서 “iexplore.exe” 를 실행한다.

 

[그림 3] COM 객체를 이용한 Internet Explorer 호출

 

[그림 4] Internet Explorer 의 CLSID 관련 레지스트리

 

 

 

 

현재는 C&C 서버가 연결되지 않지만, 만약 연결된다면 추가 악성 파일을 다운로드한 후 아래와 같은 명령을 완성하여 실행시킬 것으로 추측된다.

 

 

 

 

forfiles /s /p C:\WINDOWS\System32 /m p*ll.*e /c “cmd /c @file iex (gp ‘HKCU:\\Identities\{[레지스트리 Key]}’).[레지스트리 Value]”

 

위 명령어는 “HKCU:\\Identities\[레지스트리 Key]\[레지스트리 Value]” 경로의 레지스트리 값을 명령어로 받아 powershell에서 실행시킨다.

 

 

 

3-3. 자기 삭제

모든 작업이 완료된 후에는 아래와 같은 명령어를 실행하여 자신을 삭제하고 흔적을 지운다.

 

“/C timeout /t [딜레이 시간] && del [악성 파일 경로]”

 

 

 

 

4. 결론

이번에 분석한 샘플은 정상 파일로 위장하면서 악성 행위를 실행하나, 인증서 기간이 만료되었거나 이미 폐기된 인증서를 사용하고 있기 때문에 쉽게 구분할 수 있다. 이처럼 악성 파일을 위장하기 위해 파일 정보를 조작하거나 폐기된 인증서를 사용하는 경우가 많기 때문에 이와 같은 파일을 발견한다면 악성 여부를 확인할 필요가 있다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면