분석 정보/악성코드 분석 정보

[악성코드 분석] Raccoon Stealer 악성코드 분석 보고서

TACHYON & ISARC 2019. 11. 15. 17:14

Raccoon Stealer 악성코드 분석 보고서

 


1. 개요

최근 해외 보안업체에 따르면 2019년 4월경에 ‘Raccoon Stealer’ 악성코드가 새롭게 발견되었다고 알려진다. ‘Raccoon Stealer’ 악성코드 제작자는 다크 웹 포럼에서 악성코드를 서비스 형태(MaaS: Malware-as-a-Service)로 판매하고 있으며, 판매가 중단된 AZORult 악성코드의 대체용으로 사용된다고 알려진다. 이번 보고서에서는 ‘Raccoon Stealer’ 악성코드의 주요 악성 동작에 대해 알아본다.


 

2. 분석 정보

2-1. 파일 정보

 

2-2. 유포 경로

현재 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드와 같이 피싱 메일, 익스플로잇 킷을 통해 유포될 것으로 추정된다.


2-2. 실행 과정

해당 악성코드를 실행하면 사용자 PC의 시스템 언어를 확인해 악성 행위 실행 여부를 결정한다. 이후 C&C 서버와 연결을 시도하며 서버의 응답에 따라 악성 동작에 필요한 정상 라이브러리(sqlite3.dll, libs.zip)를 “%TEMP%” 경로에 다운받고 웹 브라우저와 이메일 클라이언트의 정보를 수집할 때 사용한다. 또한 암호 화폐 지갑 정보를 수집하고, 시스템 정보와 화면 캡처 파일도 함께 수집한다. 마지막으로 수집한 모든 데이터를 하나의 압축파일로 생성한 뒤 C&C 서버로 전송한다.
 

[그림 1] 패킷 정보




3. 악성 동작

3-1. 시스템 언어 확인

‘Raccoon Stealer’ 악성코드는 먼저 사용자PC의 시스템 언어를 확인해 악성 행위 실행 여부를 결정한다. 시스템 언어가 ‘Russian’, ‘Ukrainian’, ‘Belarussian’, ‘Kazakh’, ‘Kyrgyz’, ‘Armenian’, ‘Tajik’, ‘Uzbek’ 일 경우 악성 동작 없이 종료한다.
 

[그림 2] 시스템 언어 확인

 

3-2. C&C 서버 연결 시도

이후 C&C 서버와 연결을 시도하며 서버의 응답에 따라 사용자 데이터 수집에 필요한 정상 라이브러리를 다운받고 악성 동작을 수행한다. 
 

 

[그림 3] C&C 서버 응답



 

3-3. 웹 브라우저, 이메일 클라이언트 정보 수집

구글 크롬의 사용자 데이터가 저장된 경로를 따라 로그인 계정정보, 자동완성 기록, 쿠키, 히스토리 기록을 각각 “%TEMP%” 경로에 ‘passwords.txt’, ‘chrome_autofill.txt’, ‘chrome_cookie.txt’, ‘chrome_urls.txt’ 파일로 저장한다. 구글 크롬 이외에도 아래 [표 1]에 해당하는 브라우저의 사용자 데이터를 수집한다.
 

[그림 4] 웹 브라우저 정보 수집


 

 

[표 1] 대상 브라우저 클라이언트 목록

 

 

 

Outlook, Foxmail과 같은 이메일 클라이언트에 저장된 사용자의 계정 정보도 함께 수집된다.
 

[그림 5] Outlook 계정 정보 수집



 

3-4. 암호 화폐 지갑 및 시스템 정보 수집 

그리고 사용자 PC의 시스템 정보를 수집하고 ‘machineinfo.txt’ 파일로 저장한다. 또한 ‘Electrum’, ‘Ethereum’, ‘Exodus’, ‘Jaax’, ‘Monero’ 암호 화폐 지갑 정보를 수집한다. 
 

 

[그림 6] 시스템 정보 수집




 

[그림 7] 암호화폐 지갑 정보 수집



 

3-5. 수집한 사용자 정보 탈취

해당 악성코드가 탈취한 모든 정보(브라우저 및 이메일 사용자 데이터, 암호 화폐 지갑 정보, 시스템 정보, 화면 캡처 파일)를 모아서 “%TEMP%” 경로에 ‘Log.zip’ 압축파일로 생성한다. 압축파일 내부의 ‘browsers’ 폴더에는 브라우저와 암호 화폐 지갑 정보가 저장된 txt 파일이 존재하며, ‘mails’ 폴더에는 이메일 클라이언트의 정보가 저장된 txt 파일이 존재한다. 생성한 ‘Log.zip’ 압축 파일을 C&C 서버로 전송한 뒤 스스로 삭제된다.
 

[그림 8] ‘Log.zip’ 압축파일 생성




[그림 9] ‘Log.zip’ 전송




4. 결론

이번 보고서에서 알아본 사용자 정보 탈취형 ‘Raccoon Stealer’ 악성코드는 기본적인 정보 탈취 기능을 가진 악성코드지만, MaaS 형태로 배포되어 추가 업데이트의 가능성이 있기 때문에 주의가 필요하다. 사용자는 출처가 불분명한 파일의 실행을 주의해야 하며 안티바이러스 제품을 설치해 악성코드의 감염을 미리 방지할 수 있다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

[그림 10] TACHYON Internet Security 5.0 진단 및 치료 화면