[악성코드 분석] 0f591.exe

0f591.exe 악성코드 분석 보고서 

 

1. 분석 정보

0f5911e332df35dca….exe(이하 0f591.exe)의 유포경로는 알려진 바가 없으나, 게임 '스타 크래프트' 아이콘을 사용하고 있어, 해당 게임 이용자를 대상으로 게임 유틸리티로 가장해 유포된 것으로 추정된다.

[그림] 게임 아이콘로 가장한 0f591.exe 아이콘

0f591.exe를 실행하면 여러 폴더에 악성동작을 위한 파일(qwe.exe)을 생성하고 실행시킨다. 생성된 파일은 아래와 같으며, 파일명 qwe.exe인 두 파일은 동일한 파일이다.

경 로	파일명
C:\DOCUME~1\사용자명\LOCALS~1\Temp	qwe.exe
	234234234.ico
C:\WINDOWS	qwe.exe

[표] 생성 파일

 

이후 실행된 qwe.exe는 C&C서버(q****3.0*e.kr)로 지속적인 접속을 시도하나 현재는 접속되지 않는다. 해당 URL로 조회한 IP주소는 조회 시기마다 다르나 공통적으로 211.***.46.0/24 대역의 국내 IP 값을 가진다.

q****3.0*e.kr	211.***.46.*4
	211.***.46.*9
	211.***.46.*1
	211.***.46.*9

[표] IP 조회 결과

분석 결과 qwe.exe의 파일상에서 상용 해킹툴 Bozok RAT의 시그니처 및 버전 정보가 확인되었으며, 실행 중인 메모리에서 Bozok RAT이 제공하는 플러그인 모듈이 발견되었다. 이를 근거로 Bozok RAT 다운받아 비교한 결과 qwe.exe는 해당 상용 해킹툴 Bozok RAT으로 확인되었다.

 

[그림] qwe.exe에 저장된 Bozok RAT 관련 문자열

 

 

 

 

[그림] 해킹툴 내 plugin.dll 파일과 악성파일 메모리상의 실행코드 유사도

[그림] 해킹툴 내 stub.exe 파일과 생성된 악성파일 qwe.exe의 실행코드 유사도

qwe.exe의 악성동작을 재현해 보기 위해 Bozok RAT 체험판을 다운로드하여 임의의 C&C 서버를 구성하고 PC를 감염시켰다. 감염된 PC는 정상적으로 C&C서버(테스트용 q****3.0*e.kr)에 접속하였고, 테스트용 C&C서버를 통해 여러 악성 명령을 내릴 수 있었다.

[그림] 피해자 화면 캡처, 키 입력 가로채기

[그림] 피해자 PC 파일 제어(실행 유출 수정 등), 원격 쉘 실행

위에 나열된 악성동작 외에도 qwe.exe가 수행할 수 있는 악성 동작은 아래와 같다.

레지스트리 조회, 수정, 추가, 삭제

프로세스 종료, 실행모듈 삭제

서비스 목록조회, 실행, 중지

창 크기 조절

파일 다운로드, 업로드, 수정, 실행, 삭제 등

웹캠, 오디오 캡처

루트킷, 방화벽, UAC우회, 저장된 비밀번호 유출

[표] qwe.exe 악성동작

2. 결론

0f5911.exe가 생성한 qwe.exe는 상용 해킹툴 Bozok RAT로 빌드한 악성코드로 밝혀졌다. 테스트는 체험판으로 진행했지만 체험판만으로도 감염 PC의 모든 제어권을 획득할 수 있었다. 현재 C&C서버 q****3.0**.kr는 접속이 불가능한 상태로 악성동작은 수행하지 않으나 해커가 서버를 복구한다면 언제든지 악성행위를 할 수 있으므로 빠른 치료가 중요하다

이번 사례는 전문지식이 없어도 누구나 상용 툴을 이용해 해킹을 시도 할 수 있다는 것을 보여주는 것으로, 보안위협이 날로 증가함을 보여준다 하겠다.

0f5911.exe와 qwe.exe는 nProtect Anti-Virus/Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0으로 모두 진단 및 치료가 가능하며, 실시간 감시 기능 사용시 악성코드가 실행되는 것을 사전에 방지하고 치료할 수 있다.

[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면

[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면