sooak.exe 악성코드 분석

sooak.exe 악성코드 분석

1. 개요

파밍 악성코드의 수법이 정밀해지고 있다. sooak.exe 악성코드는 중국의 유명 sns, 블로그 서비스인 pengyou와 qq를 이용하여 C&C서버에 접속해 변조된 금융권 사이트, 포털 사이트로 연결시키는 방식이다.

악성코드 샘플을 직접 정적분석하려 했으나 VMProtect로 패킹되어 있었고, 언패킹을 시도했으나 완벽하게 되지 않아 실패했다. VMProtect 언패킹 방법은 추후에 글을 올리겠다.

따라서 이 글은 직접 코드분석은 하지 못하고 Virustotal, malwares.com의 분석 내용과 동적분석을 통해 종합한 내용이다.

https://www.virustotal.com/ko/file/283d2b410989d3725e5156cc2edc9e7fc8eea045ad5a274b1654d38a166c0310/analysis/ - virustotal 분석자료

https://www.malwares.com/report/file?hash=283D2B410989D3725E5156CC2EDC9E7FC8EEA045AD5A274B1654D38A166C0310

- malwares.com 분석자료

2. 분석(sooak.exe)

2-1. 자동실행 레지스트리 등록

sooak.exe 파일 실행 시 자동 실행 레지스트리에 등록한다. 레지스트리의 변화를 살피기 위해 Regshot을 사용했다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\000C2928F5E3: "C:\Users\lim\Desktop\sooak.exe" - 부팅시 자동실행 되도록 한다.

HKU\S-1-5-21-1426577972-1568008248-3761334595-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\P:\Hfref\yvz\Qrfxgbc\fbbnx.rkr

- UserAssist에는 실행한 프로그램의 목록들과 횟수가 저장된다. key의 이름이 ROT13으로 변환되어 저장된다.

위의 P:\Hfref\yvz\Qrfxgbc\fbbnx.rkr를 변환해보면 C:\Users\lim\Desktop\sooak.exe 인 것을 확인할 수 있다.

(http://decode.org/ 사이트에서 변환가능하다.)

2-2. 파밍 작업(QQ블로그를 이용)

파밍 공격에 필요한 정보를 QQ블로그(중국의 블로그 서비스)를 이용해 정보를 받아온다.

먼저 8.8.8.8(구글서버)에 r.pengyou.com 질의를 보내고 답장을 받는다. DNS서버가 8.8.8.8로 언제, 어떻게 변경되었는지는 확인할 수 없었다. malwares.com의 분석보고서에 따르면 다음과 같다.

2-2-1. 자동구성 스크립트 설정

malwares.com의 분석보고서에 따르면 이 악성코드는 인터넷 시작페이지를 naver.com으로 변경해 쉽게 사용자가 접근하여 파밍공격에 당하게 설계했다.

AutoConfigURL 레지스트리 값이 생성되어 "자동 구성 스크립트"를 사용하도록 설정한다. 분석보고서의 등록된 예로는 127.0.0.1:1174" 이므로 자신의 PC에서 1174포트에 질의하게 된다. 단순 hosts파일 변조보다 찾기 힘들다.

2-2-2. C&C서버 접속(qq페이지)

WireShark로 악성코드 실행 시의 패킷을 캡쳐했다. Follow TCP Stream 기능을 이용해 본 화면이다.

sooak.exe는 실행동안 특정 서버로 쿼리를 보낸다. 중국의 유명 포털 사이트인 QQ에서 제공하는 블로그 서비스에서 제공하는 페이지로 접속한다. 해당 페이지로 접속하는 주소는 http://r.qzone.qq.com/cgi-bin/user/cgi_personal_card?uin=[가변ID]?=[랜덤숫자] 형식으로 이루어져 있으며, 접속에 성공하면 최종 C&C 주소를 획득할 수 있다.

portraitCallBack({"483792741":["http://qlogo2.store.qq.com/qzone/483792741/483792741/100",73,-1,0,0,0,"100.43.157.252",0]})

여기서 100.43.157.252는 C&C서버 주소로 미국주소이다.

현재 qq블로그를 거친 IP주소가 상당히 많다는 것을 검색을 통해 확인할 수 있었다.

이 C&C서버에서 감염된 PC에 변조된 파밍사이트 URL목록을 보내게 된다. 공격 대상으로 지정한 웹사이트를 방문하게 되면 금융감독원 등의 팝업창이 뜨는 제작된 웹사이트를 보게 된다.

2-3 공인인증서 및 보안카드정보 탈취

malwares.com의 분석결과를 보면 필자가 본 네트워크 행동양식과 다르게 한번의 통신을 더한다. 컴퓨터에 저장된 공인인증서를 탈취해 업로드하는 것이다.

가짜 포털사이트, 은행사이트에서 속는다면 가짜 전자금융사기예방서비스(KISA)로 연결된다.

이 페이지에서 이용자 정보, 보안카드 정보 등을 모두 입력하게 하여 정보를 탈취한다.

3. 결론

sooak.exe는 특정서버("http://qlogo2.store.qq.com/qzone/483792741/483792741/100",73,-1,0,0,0,"100.43.157.252")로 연결을 시도하여 많이 알려진 hosts파일 변조가 아닌 "자동 실행 스크립트" 사용방식으로 가짜 사이트로 연결을 시도한다.

은행에서는 계좌비밀번호, 보안카드의 모든 정보 등을 수집하지 않는다는 사실을 명심하고 개인정보관리에 신경써야 한다.

4. 참고 사이트

http://erteam.nprotect.com/480

http://erteam.nprotect.com/517

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23401

http://blog.alyac.co.kr/172