분석 정보/악성코드 분석 정보

[악성코드 분석] C&C 동작의 악성코드 분석 보고서

TACHYON & ISARC 2016. 3. 15. 10:57

C&C 동작의 악성코드 분석 보고서 

 

 

1. 개요

PC나 시스템을 자유자제로 조작하고 감시하는 것은 해킹의 궁극적인 목적이다. 만약 사용자가 자신이 해킹 공격을 당하고 있다는 사실을 인지하지 못한다면 공격의 기간도 길어질 것이고, 피해의 심각성은 커질것이다.


윈도우 필수 프로세스에 인젝션되어 동작하는 악성코드들은 겉으론 보이지 않기 때문에 일반사용자가 쉽게 찾아내기 힘들다또한 C&C 악성동작을 겸비하고 있는 악성코드에 감염된 PC라면 추후 공격에 사용될 가능성이 크다.


악성코드 Trojan.GenericKD.3003712 (factuur2390.exe) 를 분석하며 PC에서 동작하고 있을지 모르는 C&C 악성코드의 위험성에 대해 설명하고자 한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

factuur2390.exe

파일크기

369,664 Byte

진단명

Trojan-Spy/W32.ZBot.369664.AS

악성동작

C&C 동작 및 DDoS공격

네트워크

192.**.***.41

 


2-2. 유포 경로

factuur2390.exe 악성코드는 g****u**.co.kr/bbs/factuur2390.exe 주소를 통해 유포되고 있었다웹 페이지의 bbs 폴더는 일반적으로 자료를 보관하는데 이용되며특히 웹 페이지 제작 및 관리를 위한 CMS(Contents Management System)를 사용하여 만든 사이트에 기본적으로 사용되고 있다.


factuur2390.exe 악성코드의 경우 해당 악성코드의 변종이 다른 여러 웹 사이트에서 동시에 발견 되는 특징이 있었다.  변종 악성파일들은 Schadeformulier_A26000121747.doc.exe”, “JPEG - img545789-545798_schade_fotos_auto_januari_2016-jpeg.exe” 등의 이름으로 유포되고 있었으며 factuur2390.exe와 동일하게 동작 한다또한 유사한 악성파일들이 가짜 파일명과 아이콘으로 위장하여 사용자의 클릭을 유도한다.




[그림여러사이트에서 유포되고 있는 변종 악성코드

 



[그림다른 종류 파일의 아이콘과 확장자 명으로 위장한 악성코드




2-3. 실행 과정

악성파일은 실행 시 가장 먼저 사용자의 Outlook 메일정보를 백업한다백업 파일은 현재 Outlook과 연동 된 계정의 모든 메일 정보를 저장한다.

다음으로 악성코드는 exeplorer.exe 프로세스에 인젝션되어 원격지 악성서버 s****23****er.**/c_**4/file.php 와 통신한다이 후 C&C 명령에 따라 추가적인 악성동작이 가능하나현재 명령을 받아 동작하지는 않는다다만아직 원격지와의 연결이 가능하기 때문에 세심한 주의가 필요하다.



[그림] explorer.exe를 통해 악성 주소지와 통신 대기



 

3. 악성 동작

3-1. MS Outlook 메일 백업

사용자의 Outlook 계정을 백업하는 동작은 Outlook의 내보내기기능과 동일한 동작이며사용 중이던 메일 계정에 관련된 모든 정보가 백업 된다이후 악성동작에서 백업한 파일을 공격자에게 전송 할 것으로 의심되기 때문에 평소 Outlook 프로그램을 즐겨쓰는 사용자의 개인정보 유출이 우려된다.




[그림악성코드 실행 시 생성된 메일 백업 파일

 



[그림]백업 된 메일 조회.


 

3-2. 사용자 PC 정보 수집

악성코드는 감염 PC정보를 수집한다수집하는 정보에는 PC이름, CPU 종류프로세서 코어 수사용 중인 메모리 등의 상세한 정보를 조회한다해당 정보는 암호화 되어 전송 된다.



[그림감염된 PC의 정보를 조회하는 코드

 

 

3-3. 자가복제 및 시작프로그램 등록

factuur2390.exe 는 Application Data 폴더 하위의 임의의 이름을 가진 폴더를 생성하고임의의 파일명으로 자신을 복제한다또한복제한 파일을 자동 실행 되도록 등록한다이때파일의 끝에 약 300바이트 정도가 다르게 생성된다.

다음으로 시작프로그램 폴더 안에 system.pif 로 자기자신을 복제한다. pif 파일은 Program Information File의 약자로써 도스용 프로그램의 실행에 필요한 정보를 기록한 파일이지만윈도우 환경에서도 실행이 가능한 파일이다.

 

 

3-4. C&C 동작

C&C 동작에는 일반적인 C&C방식의 악성코드와 마찬가지로 많은 기능들이 있다추가적인 악성파일을 다운로드 하는 것은 물론이고 클립보드의 내용을 수집하거나 명령을 받아 다양한 DDoS 공격도 가능하다현재는 특별한 명령을 받아 악성동작을 하고 있지는 않지만 감염된 PC라면 언제든지 C&C 동작이 수행 될 수 있다.

 



[
그림메모장에 적힌 내용을 복사했을 때클립보드의 내용을 읽는 부분

 



[
그림] DDoS 공격에 사용되는 각종 문자열




 

4. 결론

분석한 악성코드는 주요 프로세스에 인젝션되어 동작하기 때문에 일반 사용자가 감염사실을 쉽게 인지할 수가 없다또한실행중인 악성코드는 현재 대기 상태에 있지만 나중에라도 공격자의 명령을 받아 C&C 동작을 수행 할 수 있는 위험이 있다.

해당 악성코드는 발견될 당시 PDF 파일이나 그림 파일 등의 아이콘으로 위장하고 파일명도 그럴듯하게 속이고 있다따라서 인터넷 상에서 검증되지 않은 파일을 받을 때는 한번 더 주의하는 습관을 가지고 윈도우의 기본 옵션인 알려진 파일 형식의 파일 확장명 숨기기” 를 해제하여 다른 파일로 위장한 .exe파일을 실행하지 않도록 해야 한다.


마지막으로 최근에 의심스러운 파일을 받아 열어보았거나 실행시켰다면백신 프로그램을 사용하여 악성파일 검사를 수행 해보는 것이 안전하다.



[
그림윈도우 기본 옵션인 알려진 파일 형식의 파일 확장명 숨기기” 해제

 

해당 악성코드는 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면