코인 지갑 프로그램(알리바바)과 함께 설치되는 악성코드

최근 ASEC은 알리바바 코인 (ABBC Coin) 지갑 프로그램과 함께 설치되는 정보 유출 악성코드를 발견하였다. ABBCCoin 프로그램을 실행하면 AppData\Roaming 폴더에 아래와 같은 지갑 프로그램과 함께 sys.exe라는 다운로더 기능을 갖는 악성코드를 드랍 및 실행한다.

ABBCCoin 지갑 프로그램

다운로더 악성코드는 먼저 Anti Sandbox 기법을 사용하는데, 분석 환경에서 해당 파일 단독으로 실행 시에는 악성 행위를 수행하지 않도록 AppData\Roaming 폴더에서 “123456789”가 적힌 abbc.log 파일을 읽고 내용을 확인한다. 즉 sys.exe 파일 단독으로 실행 시에는 바로 종료되며 드로퍼를 통해 실행시키는 경우에만 악성 행위가 수행된다.

사용된 Anti Sandbox 기법

이후 특정 국내 업체의 웹사이트에서 인코딩된 PE를 다운로드한다. 다운로드 및 파일로 존재할 시에는 인코딩 된 파일이지만 실제로는 DLL로 제작된 악성코드이다. 다운로더는 이 파일을 읽어와 디코딩 과정을 거쳐 메모리 상에서 실행시킴으로써 PE 형태로는 파일로서 저장되지 않아 보안 제품에 의한 탐지를 우회한다.

 

첫 번째로 다운로드되는 store32.sys는 (파일 상으로는 sys.log로 존재 후 삭제됨) 시스템, 프로세스 및 프로그램 목록, 메일, 브라우저 히스토리 정보 등을 추출하여 저장하는 기능을 맡는다. 이 파일은 같은 경로에 "ttmp.log"라는 이름으로 저장된 후 유출된다.

 

이후 같은 사이트에서 동일한 방식으로 sys32.msi 파일을 다운로드 받는다. (파일 상으로는 svchost.log) 이 파일은 실질적으로 정보 유출 및 백도어 기능을 수행하는 악성코드이다.

악성코드 다운로드 URL

마지막으로 컴퓨터 재부팅 시에도 지속적으로 동작하기 위해 Run 키를 등록하는데, 등록하는 키의 이름이 아래와 같이 “Ahnlab”인 것이 특징이다.

"Ahnlab" 문자열을 사용한 Run 키 등록

sys32.msi는 다양한 기능을 갖는데 사용자의 키 입력을 저장하여 유출하는 키로깅 및 웹 브라우저에서의 ID, 비밀번호 뿐만 아니라 클립보드에 저장된 데이터까지도 유출 대상으로 삼는다.

클립보드를 파일로 저장하는 루틴

이외에도 아래와 같이 각종 문서 및 압축, 사진 파일들 목록외에도 코인 관련 파일들의 목록을 관심 대상으로 하는 것을 확인할 수 있다.

유출 대상 "확장자 목록" 및 유출 대상 파일의 "키워드 목록"

대상 확장자	hwp, pdf, doc, docx, xls, xlsx, zip, rar, egg, txt, jpg, png
대상 키워드	"wallet.dat", "UTC--", "mnemonic", "cryptocu", "코인", "지갑", "월렛", "개인", "이더", "비트", "비번", "NPKI", "니모닉", "백업", "시크릿", "프라이빗", "복구", "가상화", "암호화", "인증", "비밀", "오티", "거래소"

사용되는 C2 주소는 아래와 같다.

접속 시도하는 C2 도메인 주소

C2_1 : http://test.everydayspecial[.]com/test1/

C2_2 : http://test.everydayspecial[.]com/test2/

C2_3 : http://honew.elimbiz[.]com/include/test2/

3번째 C2 서버의 경우 연결을 시도하지만 분석 시점 기준 이미 통신이 불가능한 상태이다.

C2 서버들과의 통신 및 시도 로그

첫 번째 C2 주소로 정보를 보내는 패킷

안랩에서는 다운로드 및 C2 URL 외에도 위의 악성코드들에 대해 다음과 같이 진단 중이다.

- Dropper/Win32.Agent (2019.03.15.00)

- Trojan/Win32.Downloader (2019.03.15.00)

- BinImage/EncPE (2019.03.15.01)

- Backdoor/Win32.Infostealer (2019.03.15.06)