NOTICE




1. 소 개


 오늘은 2016년 05월 31일에 메일로 유포된 .pdf 악성파일에 대해서 살펴보겠습니다. 해당 파일은 Downloader로 실행할 경우 악성 exe 파일이 다운로드 됩니다. 악성 exe 파일은 감염 PC의 IP정보 및 Email 계정 정보, Web 계정 정보를 탈취해서 FTP 서버로 전송합니다.




2. Payment Advice(1).pdf 분석


 ‘Payment Advice(1).pdf’ 파일 실행 화면입니다. 링크를 선택해야 문서 열람이 가능한 것처럼 사용자를 속이고 있습니다.

 

[그림 2.1.] ‘Payment Advice(1).pdf’ 파일 실행 화면


 링크를 선택하면 보안 경고창이 뜹니다. 여기서 허용을 누를 경우 외부에서 악성코드가 다운로드 됩니다.

 

[그림 2.2.] 보안 경고창 확인


 ‘Payment Advice(1).pdf’ 파일에 악성코드 다운로드 URL 정보가 포함되어 있는 것을 확인할 수 있습니다.

 

[그림 2.3.] 악성코드 다운로드 URL 경로 확인




3. Payment Advice.exe 분석


 악성코드를 실행하면 다음과 같이 백그라운드 모드로 동작합니다.

 

[그림 3.1.] 악성코드 동작 확인


‘Payment Advice.exe’는 Nullsoft Installer 방식으로 작성된 파일입니다. 특정 경로에 아래와 같은 파일을 Drop 및 실행합니다.

 

[그림 3.2.] 악성코드 실행 시 Drop되는 파일


 악성 동작에 해당되는 행위들을 살펴보겠습니다.



3.1. 악성코드 자동 실행 등록


 레지스트리에 시스템이 동작할 때마다 자동 실행되도록 등록합니다.

 

[그림 3.3.] 자동 실행 등록

 

[그림 3.4.] 자동 실행 등록 확인



3.2. 감염 PC의 네트워크 정보 수집


 ‘ipconfig /all’ 명령어를 사용해서 감염 PC의 네트워크 정보를 수집합니다.

 

[그림 3.5.] 네트워크 정보 수집


 악성코드가 테스트 환경에서 수집한 네트워크 정보는 다음과 같습니다.

 

[그림 3.6.] 수집된 정보 저장

 

[그림 3.7.] ‘adip.klc’ 파일 데이터 확인



3.3. Email / Browser Password Dump


 Password Dump 도구를 사용해서 Email 및 Browser 계정 정보를 수집합니다. 다음은 테스트 환경에서 탈취된 정보입니다.

 

[그림 3.8.] 악성코드가 수집한 브라우저 패스워드 정보

 

[그림 3.9.] 악성코드가 수집한 Email 패스워드 정보



3.4. PC 방화벽 설정 해제


 다음 명령어를 사용해서 방화벽 설정을 해제합니다.

 

[그림 3.10.] 방화벽 설정 해제 코드


 악성코드 실행 시 다음과 같이 방화벽 설정이 해제되는 것을 알 수 있습니다.

 

[그림 3.11.] 방화벽 설정 해제 코드 실행 전

 

[그림 3.12.] 방화벽 설정 해제 코드 실행 후



3.4. 탈취 정보 FTP 서버로 전송


 감염 PC에서 탈취한 정보를 특정 FTP 서버로 전송합니다.

 

[그림 3.13.] 탈취 정보 전송 코드


 ‘004.afq’ 파일에는 탈취 정보 전송 시 필요한 명령 문자열들이 기록되어 있습니다.

 

[그림 3.14.] ‘004.afq’ 파일 데이터 확인


 다음은 FTP 서버 접속 화면입니다. 현재 IP/PW 정보가 변경되어 접속이 불가하지만 05월 중순부터 수집된 수많은 정보가 저장되어 있음이 확인되었습니다.

 

[그림 3.15.] FTP 서버 접속 화면




4. AV 제품 진단 결과


 해당 악성코드의 경우 V3-Lite에서 다음과 같이 진단하고 있습니다.

 

[그림 4.] V3 Lite 진단 결과


 이상으로 '[2016.05.31] FTP 서버로 Email & Web 계정 정보를 탈취하는 악성코드'에 대한 포스팅을 마치겠습니다.



  1. no picture 2016.07.14 14:59

    비밀댓글입니다