NOTICE




1. 소 개


 2016년 05월에 대형 인터넷 쇼핑몰인 인터파크에서 회원 1030만명의 개인 정보가 유출되었습니다. 


[인터파크 개인 정보 유출 관련 사과문]


 내부 직원이 메일에 첨부된 악성코드를 실행시켜서 해당 PC가 감염되었고 이로 인해 DB 정보가 탈취된 것입니다. 오늘은 내부 직원 PC를 감염시킨 것으로 알려진 BackDoor 악성코드를 살펴보겠습니다.



 메일에 첨부되어 있었던 파일은 ‘우리 가족.abcd.scr’ 입니다. 파일을 실행시키면 다음과 같은 순서로 동작합니다.


① 우리 가족.abcd.scr: 특정 경로에 ‘msoia.exe’ 파일을 생성하고 실행시킵니다.

      특정 경로에 ‘우리 가족.abcd.scr’ 파일을 생성하고 실행시킵니다. (파일 이름은 같지만 동일한 파일이 아닙니다.)


② msoia.exe: 특정 경로에 ‘ielowutil.exe’를 생성하고 실행시킵니다.

   → ielowutil.exe: 공격자 서버와 통신을 시도합니다.

                                  연결이 이루어지면 명령 코드를 전달받아서 악성 행위를 합니다.


③ 우리 가족.abcd.scr: 화면보호기를 활성화시켜서 악성코드에 감염되었다는 사실을 숨깁니다. (.scr은 화면보호기 확장자입니다.)




2. 악성코드 행위 정보


 ‘우리 가족.abcd.scr’ 파일 실행 화면입니다. 백그라운드로 동작하기 때문에 가시적으로 보이진 않지만 프로세스 모니터링 도구를 사용하면 감염된 것을 확인할 수 있습니다.


[악성코드 감염 확인]

 


2.1. 우리 가족.abcd.scr


 파일 확장자가 .scr이기 때문에 일반 사용자는 화면보호기 파일이라고 속기 쉽습니다. 그러나 ‘우리가족.abcd.scr’은 실행 파일 입니다. 해당 파일은 특정 경로에 추가적으로 악성코드를 Drop하고 각 파일들을 실행시킵니다. 다음은 추가 악성코드가 Drop되는 정보입니다.



['msoia.exe' 파일 생성 확인]


['우리 가족.abcd.scr' 파일 생성 확인]

 

 각 파일에 대한 행위정보는 ‘2.2. msoia.exe’와 ‘2.4. 우리가족.abcd.scr’에서 살펴보겠습니다.



2.2. msoia.exe


 ‘msoia.exe’는 “C:\Users\Administrator\AppData\Local\Microsoft\Internet Explorer\IECompatData” 경로에 ‘ielowutil.exe’라는 이름으로 자신의 복제본을 생성하고 실행시킵니다. 실질적인 악성 행위는 모두 ‘ielowutil.exe’에서 이루어집니다.


['ielowutil.exe' 파일 생성 확인]

 


2.3. ielowutil.exe


 ielowutil.exe는 먼저 공격자 서버와 SSL 통신을 시도합니다.

 

[공격자 서버와 통신시도]


 ielowutil.exe가 내부에 가지고 있는 공격자 서버 리스트는 다음과 같습니다.


 

 해당 파일은 통신이 정상적으로 이루어지고 서버에서 명령 코드를 전달 받아야 악성 행위를 합니다. 현재 해당 IP는 모두 차단되었기 때문에 정확한 분석이 어렵습니다. 통신이 이루어지지 않는 환경에서 코드를 적절히 수정해서 분석한 정보라는 것을 참고하시기 바랍니다.


 ielowutil.exe는 공격자 서버에서 전달하는 명령 코드에 따라 10가지 악성 행위를 합니다. 명령 코드 확인용 데이터는 파일 내부에 존재합니다.


[명령 코드 확인용 데이터]

 

 명령 코드에 따른 정보는 다음과 같습니다.



 확인 가능한 코드를 중심으로 행위 정보를 간략하게 살펴보겠습니다.


2.3.1. CommandCode_C2F24BB19A401D

 감염 PC Name, UserName, SystemInfo, SocketName, Module 실행 경로 등의 정보를 수집해서 공격자 서버로 전송합니다.


[감염 PC 정보 수집 확인]


2.3.2. CommandCode_E8AFAB73D2BE55

 특정 DLL을 로드하고 Export 함수 주소를 알아내서 호출합니다. 현재 어떤 파일인지 확인할 수 없으나 ‘2.3.7. CommandCode_861A3688159498’에서 생성하는 ‘iehmmap.dll’ 파일일 가능성이 있습니다.


[특정 DLL 파일 로드]


2.3.3. CommandCode_C7D3D97AE85AC1

 ‘ielowutil.exe’ 자신을 삭제합니다. 그 과정을 살펴보면 다음과 같습니다. 먼저 자신과 동일한 경로에 ‘KR+4자리숫자.bat’ 파일을 생성합니다.


[‘KR+4자리숫자.bat’ 파일 생성 확인] 


 ‘KR+4자리숫자.bat’에는 파일 삭제 코드가 포함되어 있습니다.


[‘KR+4자리숫자.bat’ 파일 코드] 


 여기에 ‘ielowutil.exe’와 ‘KR+4자리숫자.bat’ 파일 경로를 인자 값으로 주고 실행시키면 해당 파일이 삭제됩니다.


[자가 삭제 코드 실행]

 

[악성 파일 삭제 확인]

  

2.3.4. CommandCode_03AAEFA36E0646

“C:\Users\Administrator\Documents” 경로에 존재하는 파일 이름 정보를 수집해서 공격자 서버로 전송합니다. 대상이 되는 파일의 확장자는 다음과 같습니다.



 코드 실행 결과 악성코드가 파일 이름 정보를 수집하는 것을 알 수 있습니다.


[TEST 환경]

 

[파일 정보 수집 확인]


2.3.5. CommandCode_2486C09D576ADA

 감염 PC에서 실행되고 있는 프로세스들의 이름 정보를 수집하고 공격자 서버로 전송합니다. 수집에 제외되는 프로세스 목록은 다음과 같습니다.



 코드 실행 결과 악성코드가 프로세스 이름 정보를 수집하는 것을 알 수 있습니다


[프로세스 정보 수집 확인]


2.3.6. CommandCode_4462929641CD6F

 실행중인 윈도우에 대한 정보를 수집하고 공격자 서버로 전송합니다.


[EnumWindows( ) API 호출]

 

 다음은 악성코드가 수집한 윈도우 정보입니다.


[윈도우 정보 수집 확인]


2.3.7. CommandCode_861A3688159498

 ‘iehmmapi.dll’이라는 이름으로 DLL 파일을 생성합니다. 

 

['iehmmapi.dll' 파일 생성]


 그러나 현재 공격자 서버가 닫혀있기 때문에 파일이 정상적으로 생성되지 않습니다.


[WriteFile( ) API 호출]


 파일 생성이 완료되면 해당 파일을 로드한 뒤에 Explort하는 특정 함수 주소를 알아내고 호출합니다. 그러나 현 분석 환경에서는 정확한 정보를 파악하기가 어렵습니다.


[LoadLibrary( ) API 호출]

 



2.4. 우리 가족.abcd.scr


 마지막으로 “C:\Users\Administrator\AppData\Local\Temp” 경로에 생성되는 ‘우리 가족.abcd.scr’은 화면 보호기를 등록하고 활성화 시킵니다. 일반 사용자들을 속이기 위한 용도로 여겨집니다.


[화면 보호기 등록 및 활성화]



 이상으로 '[2016.07.27] 인터파크 개인정보 유출 사고에 사용된 Backdoor 악성코드 정보'에 대한 포스팅을 마치겠습니다.


  1. no picture 2016.07.28 09:49

    비밀댓글입니다

  2. no picture 해쉬처컬릿 2016.07.28 11:58

    안녕하세요. MD5 정보공유 가능하신지요? 감사합니다.

    • no picture BlogIcon itseeyou 2016.07.28 12:45 신고

      제가 직접 수집한 파일이 아니기때문에 파일 정보를 공유하기는 힘들 것 같습니다. 감사합니다.

  3. no picture 2016.07.28 16:00

    비밀댓글입니다

  4. no picture 2016.07.30 08:21

    비밀댓글입니다

    • no picture BlogIcon itseeyou 2016.08.01 19:51 신고

      안녕하세요.
      명확하게 알려드릴 수 있으면 좋겠지만
      제가 코드를 직접 확인하지 못하는 상황에서는
      어떻게 우회를 해야하는지 알려드리기 어렵습니다.
      죄송합니다.

  5. no picture 나호자 2016.08.01 12:09

    안녕하세요 2번 파일실행 화면에 나오는 프로그램, 2.3번에서 443번 포트 통신 확인하는 프로그램 이름 좀 알 수 있을까요?

  6. no picture 2016.08.01 21:29

    비밀댓글입니다

    • no picture BlogIcon itseeyou 2016.08.01 22:24 신고

      안녕하세요~
      그부분에 대해서는 다시 정리해서 추가적으로 올리도록 하겠습니다.
      감사합니다.

  7. no picture 2016.08.04 11:53

    비밀댓글입니다

    • no picture BlogIcon itseeyou 2016.08.04 15:52 신고

      안녕하세요.
      상업적인 목적이 아니고
      출처만 명확히 하신다면 그렇게 하셔도 됩니다.
      감사합니다.

  8. no picture 2016.08.05 16:36

    비밀댓글입니다

    • no picture BlogIcon itseeyou 2016.08.10 18:52 신고

      안녕하세요.
      상업적인 목적이 아니고
      출처만 명확히 하신다면 그렇게 하셔도 됩니다.
      감사합니다.

  9. no picture 2016.08.10 18:31

    비밀댓글입니다

  10. no picture 2016.08.23 14:08

    비밀댓글입니다

  11. no picture 2016.08.24 22:22

    비밀댓글입니다