[악성코드 분석] fgrfev1.1.exe

fgrfev1.1.exe 악성코드 분석 보고서  

 

1. 개요

1.1. 파일정보

파일명	fgrfev1.1.exe
파일크기	55,198 byte
진단명	Trojan-PWS/W32.WebGame.55198
악성동작	다운로더
네트워크	14.**.***.148/down/dll.dll

파일명	임의숫자.txt
파일크기	68,006 byte
진단명	Trojan-PWS/W32.WebGame.68006
악성동작	계정정보 탈취
네트워크	14.**.***.148

1.2. 유포경로

fgrfev1.1.exe는 복합쇼핑몰 홈페이지 www.y****k.kr/ad/fgrfev1.1.exe 에 업로드 되어 있다. 수집 당시 해당 웹사이트에는 fgrfev1.1.exe 외에도 다른 두 개의 실행파일이 업로드 되어 있었으나 현재는 다운로드되지 않는다. 실행파일은 아래 [그림] 같은 아이콘을 사용하고 있어 게임 핵 등으로 위장시켜 배포된 것으로 추정된다.

[그림] 실행파일 이미지

2. 분석정보

2.1. 실행 과정

악성코드 fgrfev1.1.exe는 다른 파일 415171.txt(임의의수.txt)를 임시폴더에 생성하고 실행시킨 후 자신을 삭제한다. 생성된 415171.txt 파일은 .txt 확장자를 갖고 있지만 .dll 파일이고, 윈도우 정상 프로그램 rundll32.exe를 통해 실행된다. 415171.txt는 악성서버 14.**.***.148/down/dll.dll 에서 다운로드 된 파일로, 해커의 dll.dll 파일 수정 여부에 따라 언제든 다른 파일로 교체될 여지가 있다.

 

[그림] 메모리상과 파일상의 415171.txt 변화

2.2. 악성 동작

악성동작을 위해 최초로 호출되는 415171.txt의 외부함수 xx 는 SetWindowsHookExA함수를 사용해 감염PC의 모든 프로세스에 자기 자신을 인젝션 시킨다. 각 정상 프로세스들에 인젝션된 415171.txt는 이후 감염된 프로세스의 종류에 따라 매우 세분화된 방법으로 계정정보 탈취 동작을 수행한다. 프로세스 종류는 해당 프로세스가 실행된 실행 파일명을 기준으로 구분한다.

            

각 프로세스에 인젝션된 악성코드는 각종 계정정보 탈취를 수행한다. 탈취한 계정정보는 사용자계정 임시폴더 내에 .ini파일로 임시 저장되고, 이를 악성서버 14.**.***.148 로 전송한다. 해당 서버는 23일 현재 접속이 가능한 상태로 아래와 같은 화면을 확인할 수 있다. 페이지 제목에서 확인할 수 있는 문자열 ‘Korea game Tools’, 관리자 접속 인터페이스, 관리DB, 중국어로 된 변수 명, 중국 웹에서 발견된 악성서버 소스코드 등 여러 정황을 보아 해당 악성코드가 한국 게임계정 탈취를 위해 만들어졌다고 볼 수 있다.

[그림] 임시 저장된 비밀번호

[그림] 악성서버 접속화면

게임 프로세스에 대한 악성 동작 외에도 브라우저 인젝션 되어 웹사이트의 계정을 탈취하는 동작도 수행한다. 각종 인터넷 뱅킹 사이트에서는 “녹색 창과 자물쇠를 확인하세요”라고 권고한다. 이는 HTTPS통신임을 표시하는 것으로, 브라우저가 신뢰할 수 있는 정확한 대상과 암호화된 통신을 하고 있다는 표시이다. 따라서 사용자는 브라우저와 웹 서버 사이에 중간자 공격이 없음을 인지할 수 있고, 인터넷을 통해 전송되는 자신의 데이터는 유출되지 않음을 확신할 수 있다.

[그림] HTTPS 통신, 녹색 창과 자물쇠

이 악성코드의 위험한 점은 악성동작에 API후킹을 사용한다는 점이다. 브라우저가 데이터를 전송하기 전, 가공하는 단계에서 사용하는 정상함수에 악성동작을 삽입하기 때문에 전송 방식과 상관 없이 데이터가 유출될 수 있다. 

 

[그림] HTTPS 페이지 로그인시 유출된 계정정보 패킷

또한, 계정정보뿐 아니라 계정보안을 위해 사용하는 OTP(One Time Password, 일회용 비밀번호)또한 탈취하는 루틴이 코드 내에 존재한다. OTP를 전송한 악성코드는 악성서버로부터 ‘kill’이라는 명령어를 받아 해당 프로세스를 종료 시킨다. OTP를 획득한 해커는 정상사용자의 프로세스가 종료된 사이 탈취한 계정정보를 이용, 사용자의 자산을 빼돌릴 수 있다.

[그림] 유출된 계정정보와 OTP의 네트워크 패킷

2. 결론

Trojan-PWS/W32.WebGame.55198는 다른 랜섬웨어나 C&C류의 악성코드와 달리 감염 PC에 걸리는 부하도 크지 않고, 암호화 통신을 방해하기 보다 패킷 전송에 사용하는 함수를 감염시키기에 사용자가 감염사실을 인지하기 매우 어렵다. 게다가 OTP를 설정하여도 피해가 발생할 수 있다는 것을 보여주는 사례로써 ‘지정PC이용’, ‘접속 문자 알림’ 등 여러 다른 계정 보호 서비스를 함께 사용하는 것이 자산을 보호하기 위한 바람직한 행동이라 할 수 있겠다.

fgrfev1.1.exe와 415171.txt 두 파일 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면

[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면