NOTICE



 오늘은 Email 계정과 Web 계정 정보를 탈취하는 Autoit 악성코드를 살펴보겠습니다.


 ‘winsvchost.exe’는 CVE-2015-1641 취약점을 이용한 문서 파일에 의해 생성 및 실행됩니다. CVE-2015-1641 취약점 파일에 대한 정보는 아래 링크를 참고하시기 바랍니다.


[DOC] CVE-2015-1641 취약점 파일 정보: http://securityfactory.tistory.com/360


 


1. winsvchost.exe


 ‘winsvchost.exe’는 AutoIt으로 작성된 Installer 입니다. 실행할 경우 아래 경로에 다음과 같은 3개의 파일을 Drop합니다.


 

 - 파일 생성 경로: “C:\Users\Administrator\AppData\Local\Temp\IXP000.TMP”



 여기서 ‘DYRNiZTVKBDedfPGaZFYi.exe’는 ‘AutoIt v3 Script.exe’ 파일입니다. AutoIt Script로 작성된 ‘DYRNiZTVKBDedfPGaZF’ 파일을 실행합니다.


 

 다음은 ‘DYRNiZTVKBDedfPGaZFYi.exe’ 파일 실행 시 전달되는 Commanad Code입니다.


 Command Code: 

C:\Users\ADMINI~1\AppData\Local\Temp\IXP000.TMP\DYRNiZTVKBDedfPGaZFYi.exe  DYRNiZTVKBDedfPGaZF




2. DYRNiZTVKBDedfPGaZF


 ‘DYRNiZTVKBDedfPGaZF’에는 Autoit Script가 난독화되어 있습니다.



 코드 동작을 순서대로 살펴보겠습니다. 먼저 “%AppData%” 경로에 복제 파일 생성하고 파일 속성을 시스템 파일 및 숨김 속성으로 변경합니다.



 감염 PC 환경을 체크합니다. 가상환경이라고 확인되면 더 이상 동작하지 않고 종료됩니다. 확인하는 프로세스는 다음과 같습니다.



 ‘winsvchost.exe’는 ‘RegAsm.exe’ 프로세스에 ‘XVBieIGOcXTG’ 파일 데이터를 Injection시킵니다. ‘RegAsm.exe’ 는 버전에 따라 설치 경로가 다르기 때문에 선행 작업으로 감염 PC의 .NET Framework의 버전을 확인합니다. 확인하는 버전 정보는 다음과 같습니다.



 ‘XVBieIGOcXTG’ 파일 데이터는 암호화되어 있기 때문에 복호화 합니다. 이때 Windows Crypt 관련 함수를 사용합니다. 복호화 키 값은 ‘DYRNiZTVKBDedfPGaZF’에 포함되어 있습니다.

 최근 유포되는 변종 파일을 실행했을 때 다음과 같은 에러 메시지를 자주 확인할 수 있습니다. 이러한 현상은 암호화 되어 있는 파일의 복호화가 재대로 이루어지지 않은 상태에서 타깃 프로세스에 Injection 시켰을 때 발생합니다.



 복호화가 완료되면 해당 파일 데이터를 ‘RegAsm.exe’ 프로세스에 Injection 시킵니다. 이때 Process Hollowing 기법을 사용합니다.





3. 악성 RegAsm.exe


 ‘악성 RegAsm.exe’는 Email 계정 및 Web 계정 정보를 탈취합니다. 이 때 동일한 방식으로 정상 ‘vbc.exe’에 악의적인 코드를 Injection 시킵니다.



 그 결과 Email 계정 및 Web 계정 정보가 텍스트 파일로 저장됩니다.



 다음은 악성코드가 수집한 Web 계정 정보입니다. 사용자가 접속한 URL 정보 및 ID, Password 정보가 포함되어 있는 것을 알 수 있습니다.


 

 해당 파일 데이터는 C&C 서버로 전송됩니다.



 ‘invbdr.doc’ 파일의 상세 분석 정보는 '[2016.08.02] CVE-2015-1641 취약점으로 감염되는 Autoit 악성코드 분석'을 참고하시기 바랍니다.


 이상으로 '[2016.08.02] Email & Web 계정 정보를 탈취하는 AutoIt 악성코드 정보'에 대한 포스팅을 마치겠습니다.


  1. no picture 2017.01.19 15:56

    비밀댓글입니다