ebay_4181254791235_091015.exe 악성코드 분석 보고서
1. 개요
1.1. 파일정보
|
파일명 |
kaulj.exe |
|
진단명 |
Trojan/W32.Yakes.41984.I |
|
악성동작 |
termservice 시작, MpsSvc와 WinDefend 서비스 중지 |
|
특징 |
Ebay 를 사칭한 메일에 첨부되어 배포되는 악성파일 |
2. 분석정보
2.1. 파일 유포 경로
본 악성파일은 ebay를 사칭한 메일을 업체 그룹메일(외부 공개용)에 전송한다. 해당 메일은 “모니터링하거나 응답하는 주소가 아니니 답장하지 말아주십시오. 청구서를 보려면 첨부파일을 확인하십시오. 첨부파일은 PDF 형식으로 되어있어 열람을 위해서는 Adobe Acrobat Reader 가 필요합니다.” 는 내용과 첨부파일로 구성되있다.
[그림]ebay사칭 메일 내용
메일 내용대로 청구서를 보기위해 첨부파일을 확인할 경우, zip파일을 내려받게 되는데 이 zip파일을 압축 해제 툴로 열어보면 exe 확장자의 실행파일이 담겨있는 것을 확인할 수 있다.
[그림]압축해제 툴로 열어본 첨부된 zip파일 내용
해당 zip파일을 압축 해제할 경우, 파일 아이콘이 pdf 아이콘이고 긴 파일명때문에 해당파일이 exe파일인지 pdf파일인지 한번에 확인하기 어려워 의심 없이 실행할 확률이 높아진다.
[그림] 압축 해제 후 첨부파일
2.2. ebay_4181254791235_091015.exe 분석
PDF처럼 보이는 실행파일은 C:\windows\system32 하위에 존재하는 정상적인 svchost.exe 파일을 일시정지 상태로 실행시키고 시작점의 실행코드를 변경하는 code injection 을 수행한 뒤 동작시킨다.
[그림] ebay~.exe 파일에 의해 실행된 svchost.exe
svchost.exe 는 윈도우에서 서비스를 동작시키기 위해 실행하는 프로세스로서 여러 개가 동시에 동작할 수 있고 ebay~.exe 파일은 바로 종료되기 때문에 svchost.exe 가 단독으로 실행되는 것으로 보이므로 사용자가 인지하지 못하는 사이에 원하는 동작을 수행한다.
2.3. code injection 되어 실행된 svchost.exe 분석
code injection 된 svchost.exe 가 실행되면, 실행파일 ebay_4181254791235_091015.exe를 삭제한다.
[그림]파일 삭제
네트워크를 통해 특정 IP (**3.**3.**7.*) 에서 파일을 다운로드 하여 C:\Documents and Settings\Administrator\Local Settings\temp\philipwog.exe 로 저장한 뒤 실행시킨다
[그림]파일 다운로드 패킷
[그림] 다운로드 한 파일 데이터
파일을 다운로드 하기 위한 IP (**3.**3.**7.*)는 변경되어 확인이 어려운데, 이는 파일이 직접 정보를 가지고 있는 것이 아닌 몇 가지 과정을 통해 IP정보를 얻어오기 때문이다.
우선, 네트워크를 통해 특정 도메인 (M**p.d*******c.com)에서 문자열을 받아온다.
IP로 보이도록 만든 문자열은 복호화 과정을 거쳐 특정 문자열로 변환되고 이를 이용하여 특정 IP (**7.**9.*0.**6:1***6) 에 요청해 실제로 사용할 IP (**3.**3.**7.*)정보를 가져온다
2.4. C:\DOCUME~1\ADMIN~\LOCALS~1\TEMP\PHILIPWOG.EXE
파일을 다운로드 한 직후에는 C:\DOCUME~1\admin~\LOCALS~1\Temp 경로에서 실행되기 때문에 우선적으로 자신이 실행된 경로를 확인한다.
C:\windows 가 아니라면 C:\windows 하위에 랜덤한 이름 (예: XvciYQOJImWDIQj.exe, yoAdgPAroTQQOCB.exe 등)으로 자신을 복제한 뒤 실행 종료한다.
[그림]C:\windows 경로에 생성된 실행파일
자신이 실행된 경로가 C:\windows 라면, 실행중인 프로세스 목록에 정상적으로 동작하고 있는 svchost.exe 에 원하는 동작을 수행하는 Thread를 injection 시켜 동작시킨다.
2.5. Injection된 Thread
정상 동작하던 svchost.exe에 injection된 Thread는 cmd의 “schtasks /create” 명령어를 이용하여 C:\windows 하위에 생성된 랜덤.exe 파일을 1분 간격으로 실행하도록 작업 스케줄러에 등록한다.
[그림]작업 스케줄러에 등록하기 위한 명령어
[그림]작업 스케줄러에 등록된 작업 속성
서비스의 제어 동작을 수행하는 정상파일 C:\windows\system32\sc.exe 를 이용하여 TermService 서비스의 시작 속성을 “자동”으로 변경하여 윈도우 시작시에 서비스가 자동으로 시작되도록 한다.
[그림]TermService 시작 속성 변경 명령어
서비스 시작/중지 등의 동작을 수행하는 정상파일 C:\windows\system32\net.exe 를 이용하여 TermService 를 시작한다.
[그림]TermService 시작 명령어
TermService (Remote Desktop Service) 는 원격지에서 PC에 연결할 수 있도록 하는 서비스로, 이 서비스를 시작시킴으로써 다른 사용자가 PC에 원격으로 접속할 수 있게 된다.
[TermService 서비스 속성]
또한, 정상파일 C:\windows\system32\net.exe 를 이용하여 MpsSvc 서비스와 WinDefend 서비스를 중지한다.
[MpsSvc 서비스 중지 명령어]
[WinDefend 서비스 중지 명령어]
MpsSvc (Windows Firewall) 서비스는 권한 없이 네트워크를 통해 PC에 접근하는 것을 방지해주는 방화벽 역할을 하며, WinDefend (Windows Defender) 서비스는 스파이웨어와 사용자 동의 없이 설치된 소프트웨어로부터 PC를 보호하는 역할을 한다.
[MpsSvc 서비스 속성]
[WinDefend 서비스 속성]
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석] nasdfgf.exe (사용자 정보유출) (0) | 2015.11.05 |
|---|---|
| [악성코드 분석] skype_utility.exe (스카이프 프로필 변경, 스팸 발송) (0) | 2015.11.03 |
| [악성코드 분석] kaulj.exe (인터넷 뱅킹 파밍, 인증서 탈취) (0) | 2015.10.23 |
| [악성코드 분석] BERPOY.exe (인터넷 뱅킹 파밍, 인증서 탈취) (0) | 2015.10.22 |
| [악성코드 분석] system1.exe (인터넷 뱅킹 파밍, 인증서 탈취) (0) | 2015.10.16 |