분석 정보/악성코드 분석 정보

hVNC 악성 코드 LOBSHOT

알 수 없는 사용자 2023. 5. 23. 13:45

hVNC(hidden Virtual Network Computing)의 동작을 수행하는 LOBSHOT 악성코드가 최근 발견되었다. 해당 악성코드는 광고를 이용한 Malvertising 기법을 통해 유포된 것으로 전해진다. 사용자 PC에 저장된 암호화폐 지갑 등의 정보를 탈취하고, 원격지와 통신하며 hVNC 악성 동작을 수행한다.

 

LOBSHOT은 악성동작을 수행하기 전 사전동작으로, 안티 바이러스를 탐지한다. 대상 PC의 컴퓨터 이름과 사용자 이름이 Windows Defender 가상화에서 사용하는 것과 동일하다면 프로세스를 종료한다.

 

[그림 1] Windows Defender 탐지 코드

 

그리고 자가 복제한 파일을 실행한 후, 원본을 삭제하여 탐지가 어렵도록 한다.

 

[그림 2] 자가 복제 파일 실행 및 원본 프로세스 종료 코드

 

실행된 복제 파일은 각 종 웹 브라우저의 확장 프로그램 중 암호화폐 지갑이 사용되는지 확인하여, 해당 정보를 수집한다. 수집한 정보는 이후 원격지와의 통신이 정상적으로 이루어진 후에 전송한다.

 

[표 1] 웹 브라우저 별 수집 대상

 

원격지와 통신하여 hVNC 악성 동작을 수행한다. 아래의 그림에서 진한 글자의 고정 값과 함께 GUID 등의 데이터를 원격지에 전송한다. 그리고 응답을 받으면, 위의 웹 브라우저 정보를 비롯하여 PC 정보 및 데스크톱 개체 정보 등을 전송하고 명령을 받아와 추가적인 악성 동작을 수행한다.

 

[그림 3] 전송하는 데이터

 

아래의 표와 같이, 원격지에서 1바이트 명령을 받으면 그에 따라 동작을 수행한다. 이후 이어지는 통신을 통해 클립보드 정보탈취, CMD 명령 실행 등의 추가적인 악성 동작을 수행한다.

 

[표 2] 원격 명령

 

LOBSHOT 악성코드는 위에서 본 내용과 같이, PC의 각종 정보를 탈취하고, hVNC 동작을 수행하여 추가적인 피해가 발생할 수 있기 때문에 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 4] TACHYON Internet Security 5.0 진단 및 치료 화면