악성 파일 정보

[악성코드 분석] 사용자의 중요 정보를 탈취하는 AZORult 분석 보고서

사용자의 중요 정보를 탈취하는 AZORult 분석 보고서

 

 

1. 개요

최근 활발히 활동 중인 AZORult는 주로 암호 화폐 지갑 정보와 사용자의 비밀번호 정보를 탈취하는 악성코드이다. 지난해 말 판매가 종료된 후, 올해 1분기에 C++로 재제작되어 유포되었다. 새로 유포된 버전은 기존에 사용하던 언어(Delphi)가 아닌 C++로 제작됐다는 점에서 ++버전으로 불린다. AZORult++ 버전이 기존과 다른 점은 원격 데스크톱 프로토콜(RDP) 설정이 추가됐다는 점이다. 아직 원격 데스크톱을 이용한 행위는 확인되지 않았지만, 정보 탈취와 함께 사용되면 많은 영향을 미칠 수 있음으로 주의가 필요하다.

이번 보고서에서는 출시 후 3년 동안의 유포 및 기능의 변화 과정과 올해 1분기에 발견된 AZORult++ 샘플의 동작에 대해 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

 

2-2. 실행 과정

 AZORult가 실행되면 사용자의 다양한 개인정보(암호 화폐, 인터넷 사용 이력 및 쿠키 등)를 수집한다. 이후 해당 파일들을 ZIP 파일 형식의 데이터로 변환한 후, 추가 정보(컴퓨터 정보)와 함께 C&C로 전송한다.


 

3. 악성 동작

3-1. 시스템 언어 확인

[그림 1]은 윈도우 로컬 아이디를 확인하는 코드이다.

 

[그림 1] 시스템 언어 확인 코드



 

사용자 PC를 탐색하여 [표 1]에 해당하는 언어를 사용 중일 경우에는 해당 악성코드를 실행하지 않는다.


[표 1] 시스템 언어 확인




 

3-2. 정보 수집

AZORult++의 정보 수집 코드이다. 

 

[그림 2] 정보 수집 코드



 

수집된 정보는 C&C 서버에 전송하기 전에 압축 파일 형식의 데이터로 변형된다. 압축 파일 데이터의 내용물은 [그림 3]과 같으며 2개의 폴더(Browsers, Coins)와 2개의 텍스트 문서(CookieList, System)로 구성된다.

 

[그림 3] 수집한 정보

 

사용자 PC에서 인터넷 사용 이력 및 쿠키, 컴퓨터 정보, 암호 화폐 정보를 수집한다.


[표 2] 수집한 정보의 상세 목록

 

수집한 정보는 압축 파일 형식을 사용하여 데이터를 변환한다. ZIP 파일 구조의 Local File Heaer, Central Directory Header, End Of Central Directory_Header를 추가하는 코드가 [그림 4]와 같이 확인된다.

 

[그림 4] 데이터 압축 코드의 일부




 

3-3. 원격 데스크톱 프로토콜(RDP 설정)

3-3-1. 사용자 계정 추가

계정명(‘7J0nPFTYqvCO’)을 등록한 후, 관리자 그룹에 등록한다.

[그림 5] 사용자 계정 추가

 

 

3-3-2. 레지스트리 값 변경

원격 데스크톱 프로토콜 연결을 허용하기 위해 설정하는 레지스트리 값이다.


[표 3] 레지스트리 값 변경



 

3-3-2. 원격 데스크톱 방화벽 허용

원격 데스크톱 프로토콜이 사용하는 3389/TCP 포트를 방화벽에서 열어둔다.

[표 4] 원격 데스크톱 방화벽 해제




 

3-4. 데이터 전송

AZORult가 수집한 데이터를 C&C 서버로 전송하기 전, 암호화를 진행한다.

[그림 6] 데이터 암호화 코드

 



분석 당시에는 해당 도메인(ravor.ac.ug)의 정보가 없어 정상적으로 연결되지 않았다. 

 

[그림 7] ravor.ac.ug 도메인 연결 시도



만약, 정상적으로 연결된다면 3바이트 키(0x03, 0x55, 0xAE)를 이용하여 수집한 정보를 1바이트씩 암호화한 후 C&C 서버로 전송한다.

[그림 8] 암호화 전, 후의 데이터



4. 결론

 AZORult의 판매는 중단됐지만 암호 화폐 정보 등의 탈취를 위해 최근에도 화이트 섀도우 등 다양한 악성 코드와 함께 사용되고 있다. 주 유포 경로는 메일의 첨부 파일 실행이나 익스플로잇 키트를 사용한다. 이를 방지하기 위해서는 메일 사용에 대한 사용자의 주의와 정기적인 백신 업데이트가 필요하다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다. 

 

[그림 9] TACHYON Endpoint Security 5.0 진단 및 치료 화면




댓글

댓글쓰기