분석 정보/악성코드 분석 정보

[악성코드 분석] 암호화폐 지갑 정보를 훔치는 InnfiRAT 악성코드 분석 보고서

TACHYON & ISARC 2019. 9. 25. 14:40

암호화폐 지갑 정보를 훔치는 InnfiRAT 주의 

 

 

 

1. 개요

최근 해외 보안업체에 따르면 암호화폐 지갑 정보를 훔치는 ‘InnfiRAT’ 악성코드가 새롭게 발견되었다고 알려진다. 이외에도 ‘InnfiRAT’ 악성코드는 브라우저에 저장된 사용자의 계정 정보를 탈취하고 화면 캡처, 특정 프로세스 종료, 파일 다운로드 및 실행 기능이 포함되어있다. 이번 보고서에서는 ‘InnfiRAT’ 악성코드의 주요 악성 동작에 대해 알아본다.

 

 

2. 분석 정보

2-1. 파일 정보

 


2-2. 유포 경로

해당 악성코드의 정확한 유포 경로는 밝혀지지 않았다.

 

 

2-3. 실행 과정

해당 악성코드를 실행하면 먼저 “%AppData%” 경로에 ‘NvidiaDriver.exe’ 파일명으로 자가 복제 및 실행한다. 실행된 ‘NvidiaDriver.exe’는 내부에 Base64로 인코딩된 PE 파일을 디코딩 후 메모리로 로드한다. 

그리고 악성코드 분석에 사용되는 가상 환경의 여부를 체크하고 특정 프로세스(‘taskmgr.exe’, ‘processhacker.exe’ ‘procmon.exe’, ‘procexp.exe’, ‘pchunter.exe’,  ‘procexp64.exe’)를 종료시킨다. 

가상 환경이 아닐 경우 ipinfo 사이트를 이용해 사용자 PC의 네트워크 위치를 조회한다. 

이후 자동 실행을 위해 ‘WindowsUpdater’ 이름으로 작업 스케줄러를 등록하며 C&C 서버의 응답 데이터에 따라 브라우저, 암호 화폐 지갑과 관련된 사용자 정보를 탈취한다. 

이외에도 특정 프로세스 종료, 파일 다운로드 및 실행, 화면 캡처 등 다양한 기능을 수행할 수 있다.

 


3. 악성 동작

3-1. C&C 서버 연결 시도

‘InnfiRAT’ 악성코드는 C&C 서버와 연결을 시도하고 서버의 응답 데이터에 따라 악성 동작이 달라진다. 현재 분석 시점에서는 C&C 서버와 연결되지 않는다.

 

 [그림 1] C&C 서버 연결 시도

 



 

3-2. 암호화폐 지갑 정보 탈취

해당 악성코드는 “%AppData%”경로에서 라이트코인과 비트코인의 지갑 정보가 담긴 wallet.dat 파일을 찾고 C&C 서버로 전송한다. 

 

[그림 2] 암호화폐 지갑 데이터 탈취 

 



 

3-3. 브라우저 정보 탈취

그리고 ‘Chrome’, ‘Yandex’, ‘Kometa’, ‘Amigo’, ‘Torch’, ‘Orbitum’, ‘Opera’, ‘Mozilla’ 웹 브라우저에 저장된 사용자의 정보를 탈취하기 위해 각 응용프로그램이 설치된 경로에서 로그인 데이터 파일과 쿠키 파일을 수집한다.

 

[그림 3] 사용자 계정 정보 탈취

 

 

 

[그림 4] 브라우저 쿠키 탈취

 




3-4. 추가 파일 다운로드 및 실행

또한 “%AppData%”경로에 ‘Temp’ 폴더를 생성하고 공격자가 지정한 특정 URL에서 파일을 다운로드한다. 이때 다운로드되는 파일명은 특정 URL에서 마지막 슬러시(‘/’)의 뒷부분을 사용한다. 파일 다운로드가 성공하면 해당 파일을 실행한다.

 

[그림 5] 파일 다운로드 

 



[그림 6] 다운로드 된 파일 실행

 

 



3-5. 사용자 PC 정보, 화면 캡처 내용 탈취

사용자 위치와 관련된 정보(ip주소, 도시, 지역, 나라, 위도경도)를 ipinfo 사이트를 이용해 알아내고, 로그온한 사용자의 계정명과 OS 버전 및 플랫폼, CPU 정보, 그래픽 카드 정보를 함께 탈취한다.     

 

[그림 7] 사용자 PC 정보 탈취

 

 

 


사용자 PC의 화면을 캡처하고 스크린 샷 이미지를 C&C 서버로 전송할 수 있다.

 

[그림 8] 화면 캡처

 

 

3-6. 특정 프로세스 종료

사용자 PC에서 실행중인 프로세스의 PID, 이름, 경로를 목록으로 작성하고 C&C 서버로 전송할 수 있으며 해당 프로세스의 PID를 이용해 특정 프로세스를 종료할 수 있다.
 

[그림 9] 실행중인 프로세스 목록화

 



 

 

[그림 10] 특정 프로세스 종료

 




4. 결론

이번 보고서에서 알아본 ‘InnfiRAT’ 악성코드는 암호화폐와 브라우저 관련 프로그램에서 사용자 정보를 탈취하고 추가적으로 파일을 다운로드 및 실행할 수 있는 기능이 존재하기 때문에 주의가 필요하다. 
피해를 최소화하기 위해 사용자는 출처가 불분명한 파일의 실행을 주의해야 하며 안티바이러스 제품을 설치해 악성코드의 감염을 미리 방지할 수 있다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
 

[그림 11] TACHYON Internet Security 5.0 진단 및 치료 화면