[이스트시큐리티 보안동향보고서] 2023.03 - No.162 (2)

https://www.estsecurity.com/enterprise/security-info/report

이스트시큐리티 기업 | 보안동향보고서

이스트시큐리티 2023년도 3월 보안동향보고서를 몇 회차에 나눠서 정리하려고 한다.

챕터 2는 악성코드 [Trojan.Agent.Amadey]와 [Trojan.Android.KRBanker]의 분석 보고서를 다루고 있다.

---

[Trojan.Agent.Amadey] 악성코드 분석 보고서

1. 개요

 Amadey Bot을 작년 10월 랜섬웨어 LockBit을 유포하는 것으로 알려진 공격자 그룹이 활용한 흔적이 포착되었고, 최근에도 외국에서 일부 유포되고 있다. 이번 보고서에서는 Amadey 악성코드 및 모듈에 대한 상세 분석을 다룬다.

• Amadey의 주요 기능 : 감염 PC의 정보 수집 및 전송과 명령제어
• Amadey 추가 모듈 : 애플리케이션 크리덴셜 탈취 및 클립보드에 저장된 암호화폐 지갑 주소 하이재킹

 

2. 악성코드 상세 분석

 Amadey 악성코드는 실행되면 dll 추가 모듈이 따로 설치가 된다. 분석 대상이 되는 파일은

기본 악성코드인 F814A1F5B00A21CFB06CE37B8B6B1837, 추가 모듈인 cred64.dll, clip64.dll 세 가지다.

 

1. F814A1F5B00A21CFB06CE37B8B6B1837 분석

1) 자가 복제

 임시 폴더(%TEMP%) 하위 '44cb70d772\\mnolyk.exe'로 자가 복제를 하고 이를 관리자 권한으로 실행한다.

 

쉘 권한으로 명령을 실행시키는 코드

이렇게 되면 처음 다운로드 되었던 자신의 권한을 직접적으로 변경하지 않고 복제본이 관리자 권한으로 실행된다.

또한 해당 복제 파일을 삭제 또는 수정할 수 없도록 복제 파일을 포함하고 있는 디렉토리의 경로에 '읽기 권한만' 부여한다.

 

2) 중복 실행 방지

 뮤텍스는 공유 자원에의 동시 접근을 제한하는 제한 lock이다. 뮤텍스를 설정함으로서 여러 프로세스에서 공유 자원(메모리 공간)에 동시 접근 수정하여 충돌하는 것을 방지할 수 있다.

 

악성코드들은 이러한 뮤텍스를 예전에 감염을 진행했던 시스템인지 아닌지를 구분하기 위해서 사용한다.

또한, 악성코드들마다 사용하는 뮤텍스 name이 고유하다. 예를 들어 Zbot 트로이 목마는 AVIRA라는 뮤텍스를 생성한다.

 

뮤텍스 생성 코드

Amadey는 중복 실행 방지를 위해 'b2495bad3b8b6bd87fe0cc45d76038ab' 이름으로 뮤텍스를 설정한다.

 

3) 자동 실행 등록

 악성코드는 윈도우 부팅 시에 자동으로 실행을 하기 위해 윈도우 설정을 조작한다.

보통의 악성코드들은 윈도우의 자동 실행 레지스트리 경로에 악성코드 자신이 존재하는 경로를 등록한다. (Run, Runs 등)

 

하지만 Amadey에서만 나타나는 특징이 있다. 

기존처럼 윈도우 레지스트리에 경로를 등록하는 것이 아니라, 시스템 파일 내용을 수정해 직접적으로 윈도우 시작 경로를 악성코드 경로로 지정한다는 것이다. 이러한 행위는 'User Shell Folders'의 'Startup' 값을 변경함으로서 가능해진다.

동향보고서 원문 내 삽입

4) 명령 제어 기능

 Amadey는 C&C 서버에게 아래와 같은 양식을 맞춰서 사용자 PC의 정보를 전달한다. 

또한 6분 간격으로 PC의 스크린샷을 수집하여 C&C 서버로 전송한다.

C&C 서버?
일반적으로 감염된 좀비PC가 해커가 원하는 공격을 수행하도록 원격지에서 명령을 내리거나 악성코드를 제어하는 서버. 예를 들어 감염된 PC로 악성코드를 유포시키거나, 스팸 전송, DDoS 공격 명령 등을 전달한다. 

출처 : 이스트시큐리티  

동향보고서 원문 내 삽입

전달받은 정보를 토대로 C&C서버의 공격자에게 아래와 같은 명령 제어 기능이 수행될 수 있다.

동향보고서 원문 내 삽입

5) 추가 모듈 다운로드

 마지막으로 추가적인 공격을 수행하는 악성 모듈을 C&C로부터 다운받는다.

cred64.dll은 PC에 설치된 주요 애플리케이션의 크리덴셜 정보를 탈취하는 모듈이다.

clip.dll은 클립보드에 저장된 암호화폐 주소를 하이재킹하는 모듈이다.

 

2. cred64.dll 분석

 악성 모듈 cred64.dll은 PC에 설치된 애플리케이션의 크리덴셜을 탈취한다. 웹 브라우저, 메신저, FTP 클라이언트, 암호화폐 프로그램이 대상이 되며 탈취된 크리덴션을 공격자에게 전달된다. 

동향보고서 원문 내 삽입

3. clip64.dll 분석

 악성 모듈 clip64.dll은 클립보드에 저장된 암호화폐 주소를 공격자의 암호화폐 지갑 주소로 하이재킹한다. 즉, 대상자의 암호화폐가 공격자에게 들어오도록 한다. 이번에 발견된 Amadey에서는 코드는 작성하고 공격자가 별도의 지갑 주소를 설정하지 않아 큰 피해가 없었지만 이후 변종이 나왔을 시에 피해가 클 것으로 우려된다.

 

 

3. 결론

• Amadey는 PC 정보 및 스크린샷을 수집하여 C&C 서버에 전송하는 기능을 가진 악성코드
• 추가 모듈을 통해 암호화폐 주소 변경 기능, 핵심 애플리케이션 크리덴셜 탈취가 발생할 수 있음
• 기업체에서 크리덴셜 탈취로 인한 2차 피해가 발생할 수 있음
• 추후 국내의 다른 악성코드와 연계되어 유포될 수 있다는 점을 유의

 

---

[Trojan.Android.KRBanker] 악성코드 분석 보고서

1. 개요

Trojan.Android.KRBanker는 최근 발견되고 있는 악성 앱이다.

 

보통의 애플리케이션 파일(,apk)은 확장자를 압축 파일(.zip)으로 변경하여 내부 소스코드, 파일을 뜯어볼 수 있다.

하지만 KRBanker는 이러한 포맷 변환이 정상적으로 되지 않게 제작되어 유포되고 있다.

이러한 기법은 백신에서의 악성 앱 탐지를 어렵게 하는 요소 중 하나이다.

 

2. 악성 앱 분석

앞서 설명한 것처럼 apk를 zip으로 변경하여 압축을 풀 수 없게 하는 것은 파일의 헤더 정보를 수정함으로서 가능하다.

 

동향보고서 원문 내 삽입

모든 파일이 그렇듯 압축 파일도 포맷 구조가 있다. 

위 그림에서 회색으로 칠해진 부분이 Local file Header에 해당되는 구역으로, zip 파일은 Local file Header 시작으로부터 9~10번째 바이트에 해당하는 위치가 압축 포맷을 결정하는 필드이다. 

 

악성 앱이 설정한 헥사 코드는 '67 A1'인데, 이는 zip 파일 구조에서 지원하지 않는 코드이기 때문에 압축을 해제할 때 오류가 생긴다. 그러나 apk 상태에서의 설치에는 문제가 없기 때문에 분석 과정에서만 문제를 발생시킨다.

 

<참고 : zip 파일에서 압축 유형을 결정하는 필드>

Compression method

2 바이트

압축 유형 선택 (보통 0x08) 00 : 더 이상 압축하지 않음 01 : 수축 02 : 1 압축 요소로 감소 03 : 2 압축 요소로 감소 04 : 3 압축 요소로 감소 05 : 4 압축 요소로 감소 06 : 파열 07 : 예약 08 : 수축 09 : 강화된 수축 10 : PKWare DCL 파열 11 : 예약 12 : BZ1P2 압축 13 : 예약 14 : LZMA 15~17 : 예약 18 : IBM TERSE 압축 19 : IBM L777 z 98 : PPMd version I, Rev 1

 

다음은 악성 앱이 실행되었을 때의 화면이다.

악성 앱 KRBanker는 대출 관련 정보를 출력하며 대출 신청을 유도한다. 

하지만 이건 눈가림이고 앱은 설치됨과 동시에 백그라운드에서 피해자의 개인 정보를 C&C 서버로 전송한다.

동향보고서 원문 내 삽입

 

공격자가 바라보는 C&C 서버의 화면은 다음과 같다.

동향보고서 원문 내 삽입

 

악성 앱 KRBanker의 주요 기능은 다음과 같다.

• 기기 정보 탈취 (MAC 주소, Sim 주소, 전화 번호, IMEI 등)
• 연락처 탈취
• SMS 탈취
• 통화 기록 탈취
• 착신 전환
• 통화 수신 거부
• 이미지 탈취
• 오디오 녹음
• 설치 앱 리스트 탈취
• 위치 정보 탈취

 

3. 결론

이러한 악성 앱들은 스미싱 공격을 통해 꾸준히 유포되고 있기 때문에 스마트폰 사용자는 경각심을 가지고 공식 스토어 외의 경로로 어플리케이션을 지양해야 한다. 또한 공식 스토어에서도 악성 앱이 유포되는 경우가 있으므로 설치 전 신뢰할 수 있는 앱 제작자인지 확인이 필요하다.