분석 정보/악성코드 분석 정보

[악성코드 분석] 정보 탈취형 Krypton Stealer 악성코드 분석 보고서

TACHYON & ISARC 2019. 9. 10. 16:40

정보 탈취형 Krypton Stealer 악성코드 감염 주의 

 

 

 

1. 개요

최근 해외 보안업체에 따르면 ‘Krypton Stealer’ 정보 탈취형 악성코드가 새롭게 발견되었다고 알려진다. ‘Krypton Stealer’ 악성코드 제작자는 다크 웹 포탈에서 악성코드를 서비스 형태(MaaS: Malware-as-a-Service)로 판매하고 있으며, 2019년 4월경 1.1버전 이후 현재 1.2 버전으로 업데이트되었다. 이번 보고서에서는 정보 탈취형 ‘Krypton Stealer’ 악성코드의 주요 악성 동작에 대해 알아본다.

 

 

 

2. 분석 정보

2-1. 파일 정보

 

 



2-2. 실행 과정

해당 악성코드를 실행하면 탈취한 정보를 저장하기 위해 “C:\Users\Public” 경로에 폴더를 생성하고 폴더 명은 하드웨어 프로필에 대한 GUID 값을 사용한다. 그리고 윈도우 OS 버전을 확인하고 C&C 서버와 연결을 시도한 뒤 응답에 따라 브라우저, FTP, VPN, 암호 화폐 지갑과 관련된 응용프로그램의 계정 정보를 수집하고, 특정 확장자와 관련된 사용자 파일도 함께 탈취한다. 마지막으로 탈취한 모든 데이터를 하나의 압축파일로 생성한 뒤 C&C 서버로 전송한다.

 

[그림 1] 탈취한 사용자 정보



 

3. 악성 동작

3-1. C&C 서버 연결 시도

‘Krypton Stealer’ 악성코드는 먼저 C&C 서버와 연결을 시도하며 서버의 응답에 따라 악성 행위가 달라진다. 현재 분석 시점에서는 C&C 서버와 연결되지 않는다.

 

[그림 2] C&C 서버 연결 시도

 

 

 

3-2. 이메일, 브라우저 로그인 계정 정보 수집

그리고 Mozilla Thunderbird와 FireFox 에 저장된 로그인 계정정보를 수집하기 위해 응용프로그램이 설치된 경로에서 ‘logins.json’ 파일에 접근한다. ‘logins.json’ 파일에는 암호화된 로그인 계정 정보가 저장되어 있으며, 이를 복호화한 뒤 각각 ‘Thunderbird.txt’, ‘Firefox.txt’ 파일로 저장한다.

 

[그림 3] Thunderbird.txt’ 

 

 

 

[그림 4] Firefox.txt


 

 

또한 [표 1]에 해당하는 브라우저의 쿠키 및 히스토리, 자동 완성 기록, 다운로드 목록, 로그인 계정 정보 등 브라우저에 기록된 사용자 데이터를 수집한다. 

 

[표 1] 대상 브라우저 클라이언트 목록



 

3-3. FTP 계정, 암호 화폐 지갑 및 사용자 데이터 수집 

해당 악성코드는 FTP 클라이언트인 ‘FileZilla’, ‘TotalCommander’, ‘WinSCP’, ‘FTPNavigator’ 대상으로 FTP 로그인 계정 정보를 수집한다.

 

[그림 5] FTP Navigator의 FTP 로그인 계정 정보 수집

 

 

그리고 Exodus, Etherum, Electrum, Jaax 암호화폐 지갑 정보를 수집한다. 또한 사용자 PC의 바탕화면, 문서, 다운로드 폴더를 탐색하며 .log, .doc, .txt 확장자를 가진 파일을 수집하고 수집한 파일들을 ‘Grabbed.zip’ 압축파일로 생성한다.

 

[그림 6] 암호화폐 지갑 정보 수집

 

 

 

[그림 7] 사용자 데이터 수집 코드

  

 

 

3-4. 수집한 사용자 정보 탈취

해당 악성코드가 탈취한 모든 정보가 담긴 폴더를 zip 압축파일로 생성하고 생성한 압축 파일을 C&C 서버로 전송한다.

 

[그림 8] 압축파일 생성

 

 

[그림 9] 탈취한 정보 전송


 


4. 결론

이번 보고서에서 알아본 ‘Krypton Stealer’ 정보 탈취형 악성코드는 기본적인 정보 탈취 기능을 가진 악성코드지만, MaaS 형태로 배포되어 추가 업데이트의 가능성이 있기 때문에 주의가 필요하다. 사용자는 출처가 불분명한 파일의 실행을 주의해야 하며 안티바이러스 제품을 설치해 악성코드의 감염을 미리 방지할 수 있다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 10] TACHYON Internet Security 5.0 진단 및 치료 화면