분석 정보/악성코드 분석 정보

[악성코드 분석] 금융 정보 파밍형 악성코드 doubi.exe

TACHYON & ISARC 2016. 12. 28. 10:37

금융 정보 파밍형 악성코드 doubi.exe




1. 개요 


국내 금융 기관의 웹 서버를 가장하여 사용자의 금융 정보를 파밍하는 악성 코드는 아직까지 꾸준하게 유포되고있다. 이런 유형의 파밍형 악성코드 또한 다른 악성코드들과 마찬가지로 안티-바이러스(Anti-Virus)의 탐지를 피하기 위해 계속해서 다른 형태의 바이너리로 유포된다. 

본 보고서에서는 앞서 설명한 금융 정보 파밍형 악성코드의 최근 유포 바이너리를 분석하여 금융 정보 파밍형 악성코드의 최근 동향을 다루었다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

doubi.exe

파일크기

264,792 byte

진단명

Banker/W32.Agent.264792

악성동작

금융 정보 파밍, 공인 인증서 탈취

해쉬(MD5)

C199F621BE7040C7C2D0466E15A706D6

 



2-2. 유포 경로

해당 악성코드의 수집 경로는 국내의 한 중소기업 웹 서버이지만 현재는 삭제된 상태이다. 바이너리만 업로드된 상태였기 때문에 유포지라고 불 수 없어 정확한 유포 경로는 명확하지 않다.




2-3. 실행 과정

해당 악성코드 doubi.exe는 실행 시 실행된 디렉토리에 임의의 문자 5자리의 디렉토리를 생성하고 임의의 이름을 가진 악성 DLL을 생성한다. doubi.exe는 생성한 dll을 rundll32.exe를 이용해 실행시키고 자가 삭제된다. 악성 동작들은 모두 상기의 DLL에서 실행된다.





3. 악성 동작


3-1. 시작 프로그램 등록

생성된 악성 DLL을 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리 키에 rundll32.exe의 인자로 등록하여 부팅 시 자동 실행 되도록 한다.


[그림 1] 시작 프로그램 등록 레지스트리[그림 1] 시작 프로그램 등록 레지스트리




3-2. 프록시 자동 구성(Proxy Auto-Config, PAC) 설정

정상적인 은행 URL을 공격자가 준비한 파밍용 가짜 웹 서버로 자동으로 연결시키도록 PAC를 설정한다. 구성된 프록시 스크립트에는 이전의 금융 정보 파밍형 악성코드와 동일하게 주요 은행들의 URL이 포함되어있다.

[그림 2] PAC 설정[그림 2] PAC 설정



3-3. 공인 인증서 탈취

PC의 모든 드라이브에서 NPKI 디렉토리를 탐색하여 아래와 같이 PC의 네트워크 카드 정보와 함께 전송한다.

[그림 3] 수집 정보[그림 3] 수집 정보




4. 결론


단순히 프로세스로만 실행되던 이전의 동작 방식과 달리 악성 DLL을 생성하고, rundll32.exe를 통해 악성 행위를 수행하기 때문에 프로세스 목록에서 악성 프로세스를 쉽게 찾을 수 없다. 전체적인 악성 행위 자체에는 변함이 없지만 그 동작을 이루는 과정이 이전보다 조금 복잡해졌다고 볼 수 있다. 그렇기 때문에 인터넷 상에서 금융 정보나 개인 정보를 과도하게 요구하는 경우 항상 감염 상황을 의심하여 피해를 예방할 수 있도록 해야한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면