분석 정보/악성코드 분석 정보

[악성코드 분석] Poulight Stealer 악성코드 분석 보고서

TACHYON & ISARC 2020. 5. 20. 14:03

1. 개요

 최근 해외 보안업체에 따르면 올해 3월경, 정보 탈취형 악성코드 ‘Poulight Stealer’가 새롭게 발견되었다고 알려진다. 또한 러시아 언어로 된 C2 패널에서 해당 악성코드의 판매가 이루어지고 있기 때문에 추가적으로 유포량이 증가할 가능성이 있어 주의가 필요하다.

 

 이번 보고서에서는 ‘Poulight Stealer’ 악성코드의 주요 악성 동작에 대해 알아본다.

 

[ 그림  1] Poulight Stealer 의  C2  패널

 

 

2. 분석 정보

2-1. 파일 정보

 

 

2-2. 실행 과정

 해당 악성코드를 실행하면 먼저 실행된 환경이 가상 환경인지 체크한다. 가상 환경이 아닐 경우 정상적으로 실행되어 사용자의 데이터를 수집하기 위한 임의의 폴더(pf-tu4ap) “C:\Users\사용자 계정명\AppData\Local” 위치에 생성한다. 이후 시스템 기본정보, 특정 파일, 웹 브라우저, 메신저, FTP 클라이언트, 암호 화폐 지갑 등 다양한 정보를 수집하고 C2 서버로 전송한다.

 

[ 그림  2]  수집된 사용자 데이터

 

3. 악성 동작

3-1. 시스템 정보, 사용자 데이터 수집

 ‘Poulight Stealer’ 악성코드는 먼저 감염된 PC의 기본 정보를 수집하고 실행 중인 프로세스 리스트, 클립보드, 화면 캡처, 웹캠의 정보를 수집한다.

 

[ 그림  3]  화면 캡처

 

[그림  4]  시스템 정보 수집

 

그리고 임의의 폴더(pf-tu4ap) ‘Stealer Files’ 폴더를 생성하고바탕화면, 문서, %AppData%, %LocalAppData” 경로에 존재하는 파일 중 ‘.txt, .rtf, .log, .doc, .docx, .rdp, .sql’ 확장자를 가진 파일과 파일명에 ‘password, account, site’ 특정 키워드를 포함할 경우 해당 파일을 수집한다.

 

[ 그림  5]  특정 파일 수집

 

3-2. 웹 브라우저, 메신저 프로그램 정보 수집

 해당 악성코드는 웹 브라우저에 저장된 히스토리, 쿠키, 신용카드 정보, 자동완성기록 내용을 수집하고 텍스트 파일로 저장한다. 수집 대상 웹 브라우저 목록은 아래 [그림 7]과 같다.

 

[그림  6]  웹 브라우저 정보 수집

 

 

[그림  7]  수집 대상 웹 브라우저 목록

 

사용자 PC를 탐색하며 Telegram, Skype, Pidgin, Discord, Steam 등 프로그램에 저장된 사용자 데이터를 수집한다. 텔레그램이 설치되어 있으면, 사용자 데이터를 수집하기 위해 세션, 메시지, 이미지 등 내용이 저장된 tdata 폴더를 찾아 해당 파일을 임의의 폴더(pf-tu4ap)에 복사한다.

 

[그림  8]  텔레그램 사용자 정보 수집

 

 

3-3. 암호 화폐 지갑 및 FTP 클라이언트 정보 수집

 비트코인 코어의 지갑 파일을 찾기 위해 레지스트리에서 지갑 데이터 경로(strDataDir)를 확인하고, 지갑 파일(wallet.dat)을 임의의 폴더(pf-tu4ap) 내에 복사한다. 이외에도 바이트 코인, 대쉬, 이더리움, 모네로 암호 화폐 지갑 데이터를 수집할 수 있다.

 

[그림  9]  암호 화폐 지갑 데이터 수집

 

 

또한 FTP 클라이언트 중 FileZilla에 저장된 세션의 호스트, 사용자 계정 정보와 빠른 연결 목록 정보(Recentservers.xml) 파일을 함께 수집한다.

 

[그림  10] FileZila  정보 수집

 

 

3-4. 수집한 사용자 정보 탈취 및 추가 파일 다운로드

 마지막으로 수집한 사용자의 정보가 담긴 임의의 폴더(pf-tu4ap) “%AppData%” 경로에 zip 파일을 랜덤 파일명으로 생성한다. 그리고 수집한 사용자의 모든 정보를 키워드별로 정리하고, 생성한 zip 파일과 함께 해당 내용을Base64 방식으로 인코딩해서 C2 서버로 전송한다. 현재는 C2 서버와 연결되지 않지만, 연결될 경우 추가로 파일을 다운 및 실행할 수 있는 기능이 존재한다.

 

[그림  11]  수집된 사용자 정보 탈취

 

 

[그림  12]  추가 파일 다운로드 및 실행

 

 

4. 결론

 이번 보고서에서 알아본 ‘Poulight Stealer’ 악성코드는 기존 정보 탈취형 악성코드처럼 웹 브라우저, 암호 화폐 지갑, 응용 프로그램 정보를 탈취하지만, 사용자의 문서와 특정 키워드가 포함된 파일을 탈취하는 기능도 함께 존재하기 때문에 주의가 필요하다. 사용자는 출처가 불분명한 파일의 실행을 주의해야 하며 안티바이러스 제품을 설치해 악성코드의 감염을 미리 방지할 수 있다.

 

 상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  13] TACHYON Internet Security 5.0  진단 및 치료 화면