이번에 발견된 악성코드는 아래 [그림1]에서 보이는 것처럼, 국방표준종합정보시스템 VPN 사용자를 대상으로 유포된 것으로 추정된다. 이 악성코드는 Help 파일로 위장했으며, 위장한 CHM 파일에는 [표 1]과 같은 파일들이 포함되어있다.

 

 

 

/index.htm - 악성 파일을 로드

/제목 없음.jpg - 사용자를 속이기 위한 그림 파일

/msupdate.exe - 악성 파일

[표 1] CHM에 포함되어 있는 파일들

 

악성코드에 포함되어 있는 '제목 없음.jpg'의 내용은 아래와 같다.

[그림 1] CHM 실행 화면 (제목 없음. JPG)

처음 CHM 파일을 실행하면 [그림 2]와 같은 형식의 index.htm을 실행하게 되는데 이때 msupdate.exe가 실행된다.

 

[그림 2] object 태그를 이용하여 악성 파일(msupdate.exe) 실행

 

msupdate.exe는 리소스 영역에 [표 2]와 같이 DLL을 포함하고 있으며, 실행 시 해당 DLL을 'Application Management'라는 이름의 서비스로 등록시킨다. (서비스 메인 이름 'iamcoming')

 

[표 2] 리소스 영역에 포함하고 있는 DLL(위) & 해당 DLL을 서비스로 등록(아래)

 

등록된 DLL은 C&C인 express.xxxxxx.com: 80 (1x5.4x.2xx.1xx)와 통신하는데 사용자 컴퓨터 명과 IP 등의 시스템 정보를 수집하여 서버로 보내고 두 개의 스레드를 생성해 명령을 주고받는다. 이때의 패킷은 암호화되어 있는데 보낼 때에는 0x67 받을 때는 0x11 로 각각 XOR연산하여 보낸다.

 

[그림 3] 난독화된 패킷 (좌), 복호화 된 패킷(우)

 

해당 악성코드는 서버에서 받아온 명령(ipconfig /all, cd, dir 등)을 통해 PC에 있는 디렉터리 리스트나 IP 정보를 계속 유출하고 있었고, 서버에서 받아온 명령을 그대로 실행해서 더 많은 악성 행위가 이루어질 가능성이 있다. 따라서 메일로 오는 의심스러운 CHM 파일은 열어 보지 않는 등, 사용자의 각별한 주의가 필요하다.

 

 

V3 제품에서는 아래와 같이 진단 가능하다.

 

<V3 제품군의 진단명>

 

Dropper/Agent (2014.10.31.05)

Trojan/Win32.Backdoor (2014.10.30.03)

저작자 표시 비영리 변경 금지
신고
Posted by DH, L@@