분석 정보/악성코드 분석 정보

[악성코드 분석]개인정보를 탈취하는 SeafkoAgent 분석 보고서

TACHYON & ISARC 2019. 8. 21. 10:57

 개인정보를 탈취하는 SeafkoAgent 분석 보고서

 

 

 

1. 개요

최근 발견된 Saefko RAT는 Saefko Attack System유료프로그램의 크랙버전으로 알려져 있으며, 현재 Saefko RAT의 실행 파일은 정확히 확인되지 않는다. 

해당 RAT의 기능을 이용하면 SeafkoAgent.exe라는 이름의 파일이 생성되며, 해당 파일이 실행되면 Saefko RAT와 통신을 통해 악위적인 동작을 수행한다. 

해당 실행 파일은 Saefko RAT의 정책 설정에 따라 내용이 달라질 가능성이 있으며, Saefko라는 RAT의 이름과 달리 SeafkoAgent.exe라는 파일명을 사용하고 있다. 

이러한 공격방식은 추가 악성코드 다운로드, 키로깅 등 다양한 악성동작을 통해 치명적인 피해를 발생시킬 수 있으며 사용자의 주의가 필요하다.
이번 보고서에서는 개인정보를 탈취하는 SeafkoAgent에 대해 알아보고자 한다.

 



2. 분석 정보

2-1. 파일 정보

 

 

2-2. 실행 과정

 SeafkoAgent.exe가 실행되면 \AppData\Local 경로에 explorer.exe이름으로 복사한 뒤 실행시키며, 시스템 시작 시 자동실행 되도록 복사된 파일을 레지스트리에 설정한다. 그리고 수 백여개의 인터넷 사이트 방문 기록과 PC 정보 등을 수집하여 공격자의 C&C 서버로 전송하며, 이후 새 페이로드 다운로드, 키로깅, IRC 연결, USB 악성파일 복사와 같은 악성 동작을 수행한다.

 

[그림 1] SeafkoAgent 실행 과정


 



3. 악성 동작

3-1. 파일 복사 및 레지스트리 등록

SeafkoAgent.exe 실행 시 “\AppData\Loca”’ 경로에 “explorer.exe” 파일명으로 원본을 복사하고 실행시킨다. 그리고 복사한 파일을 시스템 재 시작 시 자동실행 되도록 아래 [그림 2]와 같이 레지스트리 키에 등록한다.

 

[그림 2] 레지스트리 설정


 



3-2. 개인정보 수집

정보수집 전 clients3.google.com/generate_204에 연결하여 인터넷 연결이 활성화 되어있는지 확인 후 공격대상자의 개인정보를 수집한다.

 

[그림 3] 인터넷 연결 확인

 

 


인터넷 연결이 활성화 되어있다면 \Google\Chrome\User Data\Default\History의 로그를 확인하여 아래의 [표1]의 목록과 일치하는 접속 기록을 수집한다.

 

[표 1] 접속기록 수집 대상 URL 목록

 

 


그리고 https://ipinfo.io/geo에 연결하여 IP, 국가, 위치 정보 등을 수집한다.

[그림 4] 개인정보 수집

 

 


이외에 현재 화면 스크린샷, irc 서버 및 닉네임 그리고 패스워드, png 파일 수 등 다양한 공격대상자의 개인정보를 공격자의 C&C 서버로 전송한다.

 



3-3. 데이터 전송

수집한 데이터는 아래 그림과 같이 C&C 서버로 전송 후 응답이 되돌아오면 페이로드 다운로드, IRC 연결, 키로깅, 이동식 드라이브 감염 동작을 수행하며, 아니라면 이동식 드라이브 감염 만 수행한다. 

 

[그림 5] C&C 서버로 데이터 전송


 

[그림 6] 전송되는 개인정보

 

 


3-4. 페이로드 다운로드

 정보를 C&C 서버로 전송한 뒤 추가 페이로드를 다운로드하여 실행한다.

 

[그림 7] 추가페이로드 요청 및 실행


 

 

 
3-5. IRC 연결 

 임의의 7자 이름의 닉네임을 생성하여 지정된 IRC 서버로 연결하고 응답을 기다린다. 이후 다음 [표 2]와 같이 수신된 명령에 따라 각각의 악성 동작을 수행한다.

 

[표 2] C&C로부터 전달받은 명령





3-6. 키로깅

 \AppData\Local 경로에 log.txt 파일을 생성하여 [표 3]의 목록의 키 입력 로그를 기록한다. 

 

[표 3] 키로깅 목록



3-7. 이동식 드라이브 감염

드라이브 유형이 이동식 드라이브인지 확인한 후 해당 이동식 드라이브에 Sas.exe, USBStarter.exe, usbspread.vbs를 생성한다. Sas.exe는 SeafkoAgent.exe에 복사본, USBstarer.exe는 Sas.exe 실행하는 파일이다.

 

[그림 8] 이동식 드라이브 파일 생성


 

 


usbspread.vbs는 현재 이동식 드라이브에 존재하는 파일과 디렉토리를 대상으로 lnk 파일을 생성하며, 원본 파일과 디렉토리를 숨김속성으로 변경시킨다. 해당 lnk 파일은 USBStarter.exe가 실행되도록 연결되어 있어 사용자가 의심없이 lnk 파일을 클릭하면 SeafkoAgent에 감염되도록 설계되어 있다.

 



4. 결론

 이번 보고서에서 알아본 SeafkoAgent는 다양한 악성 동작을 보유하고 있으며, 연결된 C&C 서버로부터 추가 페이로드 다운을 통해 언제든지 다른 악성 행위로 변모할 수 있기 때문에 주의가 필요하다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 9] TACHYON Endpoint Security 5.0 진단 및 치료 화면