[악성코드 분석] Vidar Stealer 악성코드 분석 보고서

1. 개요

 최근 마이크로소프트의 윈도우, 오피스 제품에 대한 불법 정품인증 툴인 ‘KMSAuto’로 위장한 악성코드 유포 사례가 발견되었다. 해당 샘플은 SFX 형태의 압축파일로 내부에는 정품인증을 위한 ‘KMSAuto Net.exe’, 감염 PC의 네트워크 정보를 획득하기 위한 ‘script.vbs’ 및 정보를 탈취하는 ‘build.exe’가 있다.

 

 만약, 사용자가 비밀번호를 정상적으로 입력한 후, OK 버튼을 누르면 “C:\Program\Data” 에 3개의 파일이 드롭된다. 첫 번째 드롭 파일은 KMSAuto Net.exe v1.5.1 크랙판(KMSAuto Net.exe)이고, 두 번째 드롭 파일은 IP Logger를 사용하여 감염 PC의 네트워크 정보를 수집하는 스크립트 파일(script.vbs)이다. 마지막 드롭 파일인 ‘build.exe’는 정보 탈취를 하는 ‘Vidar’ 악성코드이고 감염 PC의 사용자 정보, 웹 브라우저 계정 정보 및 사용 이력, 암호 화폐 등의 다양한 정보를 수집하여 C&C 서버로 전송한다. 따라서, 사용자의 웹 브라우저 사용자 계정, 암호 화폐 등의 정보가 유출될 수 있으므로 사용에 큰 주의가 필요하다.

 

 이번 보고서에서는 ‘KMSAuto’로 위장하여 유포되는 ‘Vidar’ 악성코드의 주요 악성 동작에 대해 알아보고자 한다.

 

[그림  1]  악성코드 실행 흐름도

 

2. 분석 정보

2-1. KMS Auto 위장

KMSAuto로 위장한 샘플을 실행하면 [그림 2]와 같이 비밀번호를 요구한다. 참고로, WinRAR 5.0부터는 암호화에 AES-256을 사용하며, 키 유도 함수(KDF)로 PBKDF2(with HMAC-SHA256)를 사용한다.

 

[그림  2] KMSAuto  위장 샘플 비밀번호 입력

 

만약, 사용자의 정확한 비밀번호 입력으로 샘플이 실행되면 “%APPDATA%”에 [그림 3]과 같이 3개의 파일을 드롭하고, 정보 탈취에 사용할 정상 DLL을 C&C 서버에서 다운로드한다. C&C 서버에서 다운로드 받은 정상 DLL은 파이어 폭스(freebl3.dll, mozglue.dll, nss3.dll, softokn3.dll) 와 C/C++로 개발된 프로그램(msvcp140.dll, vcruntime140.dll)을 실행시키기 위한 모듈이며, 정보 탈취 및 사용이 완료되면 삭제한다.

 

 

[그림  3]  드롭 및 다운로드 파일

 

2-2. 네트워크 정보 획득

본 샘플의 드롭 파일 중 ‘script.vbs’는 공격자가 IP Logger 서비스를 사용해 감염 PC의 정보를 획득하는 목적으로 사용되었다. IP Logger 서비스는 IP를 추적하는 용도로 사용되며, 만약, 사용자가 특정 IP Logger 링크에 접속하면 사용자의 IP, 위치, OS, 브라우저 등의 정보가 수집된다.

 

[그림  4] script.vbs

 

 

2-3. 정보 탈취

드롭 파일 중 ‘build.exe’는 정보를 탈취하는 ‘Vidar’ 악성코드이며, 수집한 정보를 “C:\ProgramData\[랜덤 문자열 25자리]”에 [그림 5]와 같이 저장한다.

 

[그림  5]  수집된 정보

 

 

‘Vidar’이 수집하는 정보는 웹 브라우저, 암호화폐, CC, 및 감염 PC의 파일 등이며 브라우저 및 암호 화폐의 수집 대상 목록은 [표 1]과 같다.

 

[표  1]  브라우저 및 암호화폐 정보 수집 대상

 

또한, 하드웨어, 네트워크, 프로세스 목록 등의 감염 PC 정보를 수집하여 ‘information.txt’ 파일에 저장한다. 아래 [표 2]는 정보 수집 목록이며, 네트워크 정보는 ‘ip-api.com/line’에서 데이터를 받아온다.

 

 

[표  2]  감염  PC  정보 수집 목록

 

감염 PC에서의 정보 수집을 완료하면 “C:\ProgramData\[랜덤 문자열 25자리]\files”폴더를 ‘[국가]_[GUID].zip’란 이름으로 압축한다.

 

[그림  6]  수집한 정보 최종 압축

 

 

마지막으로 압축한 파일인 ‘[국가]_[GUID].zip’을 C&C 서버로 전송한다.

 

[그림  7] C&C  서버 연결 패킷

 

 

전송이 완료되면 연결된 C&C 서버에서 특정 파일을 다운로드 받아 실행을 시도하며, 분석 시점에서는 다운로드가 되지 않아 확인할 수 없다.

 

[그림  8]  파일 다운로드 후 실행 코드

 

3. 결론

이번 보고서에서 알아본 ‘Vidar’ 악성코드는 윈도우 정품 인증을 위해 사용하는 ‘KMSAuto’ 로 위장하여 유포되었다. 만약, 이를 실행하면 사용자의 주요 정보가 공격자에게 유출되므로 사용자들의 상당한 주의가 필요하다. 따라서, 사용자는 출처가 불분명한 파일 또는 신뢰할 수 없는 사이트에서 다운받은 파일을 실행할 때 주의를 기울여야 하며, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  9] TACHYON Internet Security 5.0  진단 및 치료 화면