[악성코드 분석] Anubis Stealer 악성코드 분석 보고서

지난 8월 중순, Anubis Stealer가 등장하였다. 해당 악성코드는 사용자의 PC에 저장된 정보를 탈취할 뿐 아니라, C&C 서버와 연결하여 탈취한 정보를 송신하고, 파일을 다운로드 하는 등의 동작을 하여 2차 피해가 발생할 수 있기에 주의가 필요하다.

 

이번 보고서에서는 Anubis Stealer의 동작에 대해 알아보고자 한다.

 

Anubis Stealer는 사용자 PC에 대한 정보를 비롯한 브라우저 정보 등을 탈취하여 ‘AX7574VD.tmp’ 디렉토리에 저장한다.

 

[그림  1]  탈취한 정보들

 

 

악성코드가 시작되면 가장 먼저, 현재 웹캠과 모니터 화면을 캡처한다.

 

[그림  2] VFW  이미지 캡처 코드

 

 

[그림  3]  스크린샷 코드

 

하기의 이미지, 표와 같이 사용자 PC에 저장되어 있는 다양한 정보를 탈취한다.

 

[표  1]  탈취 대상

 

 

FileZilla 브라우저에서 사용자 비밀번호와 사용자가 사용하는 사이트의 정보를 탈취한다.

 

[그림  4] FileZilla  사용자 정보

 

Mozilla 브라우저에서 사용자 profile, login, password 및 cookies 정보를 탈취한다.

 

[그림  5] Mozilla  사용자 정보

 

Google, Opera, Mozilla 브라우저의 버전 정보를 탈취한다.

 

[그림  6] Google  브라우저 버전 정보

 

 

[그림  7] Opera  브라우저 버전 정보

 

[그림  8] Mozilla Firefox  버전 정보

 

[그림  9]  테스트환경에서 탈취된  Google Chrome  버전 정보

 

그리고 브라우저에 저장되어있는 Cookies, Login, Credit Card, Autofill 등의 정보를 탈취한다.

 

[그림  10]  그 외의 브라우저 정보 탈취

 

하기의 이미지와 같이, 사용자PC의 바탕화면에 있는 특정 확장자의 파일을 탈취한다.

 

[그림  11] %Desktop%  아래의 특정 확장자의 파일 백업

 

Bitcoin과 같은 암호화폐 정보를 탈취한다.

 

[그림  12]  암호화폐 정보 탈취 코드

그 외의 IP, Country, CPU, Mac Address 와 같은 사용자 PC에 대한 정보를 탈취하여 ‘Information.log’ 파일에 정리한다.

 

[그림  13]  그 외의 탈취한 사용자  PC  에 대한 정보를 파일로 생성

 

위의 내용과 같이 다양한 정보를 획득한 뒤, 사용자 서버에 대한 정보를 C2서버에 송신한다.

 

[그림  14]  송신한 데이터

 

사용자 서버 정보를 송신한 뒤, 탈취한 모든 데이터를 zip파일로 압축하여 또 다른 C&C 서버에 전송한다. 그리고 탈취한 데이터가 담긴 파일은 모두 삭제하여 흔적을 지운다. 하지만 현 시점에는 해당 서버가 존재하지 않아 연결되지 않는다.

 

[그림 15] zip 파일로 압축된 폴더

 

[그림  16]  서버 연결 시도

 

분석하는 시점에서 연결되지 않는 또 다른 서버에서 파일 다운로드를 시도한다. 랜섬노트를 생성하는 것으로 보아, 이때 다운로드 되는 파일은 랜섬웨어로 추정된다.

 

[그림  17]  다운로드 코드

 

[그림  18]  랜섬노트 생성

 

이번 보고서에서 알아본 Anubis Stealer는 사용자 PC에 대한 정보와 사용자 정보를 탈취할 뿐 아니라 C&C 서버에 연결하여 파일 다운로드를 시도하기에 추가적인 피해가 발생할 수 있어 더욱 주의가 필요하다. 악성코드의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

[그림  19] TACHYON Endpoint Security 5.0  진단 및 치료 화면