이번에 발견된 악성코드는 아래 [그림1]에서 보이는 것처럼, 국방표준종합정보시스템 VPN 사용자를 대상으로 유포된 것으로 추정된다. 이 악성코드는 Help 파일로 위장했으며, 위장한 CHM 파일에는 [표 1]과 같은 파일들이 포함되어있다.
|
|
/index.htm - 악성 파일을 로드 /제목 없음.jpg - 사용자를 속이기 위한 그림 파일 /msupdate.exe - 악성 파일 |
[표 1] CHM에 포함되어 있는 파일들
악성코드에 포함되어 있는 '제목 없음.jpg'의 내용은 아래와 같다.
[그림 1] CHM 실행 화면 (제목 없음. JPG)
처음 CHM 파일을 실행하면 [그림 2]와 같은 형식의 index.htm을 실행하게 되는데 이때 msupdate.exe가 실행된다.
[그림 2] object 태그를 이용하여 악성 파일(msupdate.exe) 실행
msupdate.exe는 리소스 영역에 [표 2]와 같이 DLL을 포함하고 있으며, 실행 시 해당 DLL을 'Application Management'라는 이름의 서비스로 등록시킨다. (서비스 메인 이름 'iamcoming')
|
|
|
|
[표 2] 리소스 영역에 포함하고 있는 DLL(위) & 해당 DLL을 서비스로 등록(아래)
등록된 DLL은 C&C인 express.xxxxxx.com: 80 (1x5.4x.2xx.1xx)와 통신하는데 사용자 컴퓨터 명과 IP 등의 시스템 정보를 수집하여 서버로 보내고 두 개의 스레드를 생성해 명령을 주고받는다. 이때의 패킷은 암호화되어 있는데 보낼 때에는 0x67 받을 때는 0x11 로 각각 XOR연산하여 보낸다.
|
|
|
[그림 3] 난독화된 패킷 (좌), 복호화 된 패킷(우)
해당 악성코드는 서버에서 받아온 명령(ipconfig /all, cd, dir 등)을 통해 PC에 있는 디렉터리 리스트나 IP 정보를 계속 유출하고 있었고, 서버에서 받아온 명령을 그대로 실행해서 더 많은 악성 행위가 이루어질 가능성이 있다. 따라서 메일로 오는 의심스러운 CHM 파일은 열어 보지 않는 등, 사용자의 각별한 주의가 필요하다.
V3 제품에서는 아래와 같이 진단 가능하다.
<V3 제품군의 진단명>
Dropper/Agent (2014.10.31.05)
Trojan/Win32.Backdoor (2014.10.30.03)
'악성코드 정보' 카테고리의 다른 글
| RAR.EXE 압축툴을 이용한 중요 파일들 유출하는 악성코드 (0) | 2014.11.20 |
|---|---|
| 스마트폰의 사진, 동영상, 문서를 암호화하는 랜섬웨어 (0) | 2014.11.07 |
| 정상파일을 위장한 PlugX 악성코드 유포 (0) | 2014.09.25 |
| SafeSvcInstall, 4년 째 공격 시도 중 (0) | 2014.09.19 |
| ☆돌☆잔☆치☆초☆대☆장☆ 보냈습니다. (0) | 2014.09.17 |
댓글