안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 '동맹과 비핵화를 주제로 한 남북 회담 관련 인터뷰 기사 문서'로 위장한 악성코드가 발견되어 주의를 당부드립니다. 

이번에 발견된 악성코드를 실행하면 인터뷰 기사가 작성된 정상 문서를 보여줍니다. 하지만 드롭퍼로서, 'C:\Users\(사용자 계정)\AppData\Local\MFAData\event\' 경로에 'errors.dll' 악성 파일을 자가 복제 및 실행합니다. 또한 윈도우 부팅 시 자동 실행을 위해 자동 실행 레지스트리에 등록합니다. 추후 본 악성코드는 자가 삭제됩니다.

[그림 1] 남북 회담 관련 인터뷰 기사 내용이 담긴 문서

[그림 2] 자가 복제 및 자동 실행 레지스트리 등록 코드

드롭퍼에서 실행되는 'errors.dll'은 키로깅 기능과 봇 기능을 수행합니다. 사용자로부터 탈취한 입력, 클립보드 정보, 현재 실행 중인 창 이름을 'C:\Users\(사용자 계정)\AppData\Local\Packages\BingWeather\' 경로의 'debug.tmp' 파일에 저장합니다.

[그림 3] 키로깅 정보 저장 코드

다음은 봇 기능입니다. 'C:\Users\(사용자 계정)\AppData\Local\Packages\BingWeather\' 경로의 'repaired' 파일에 C&C(checksessionmail.esy.es)에서 받아온 데이터를 저장합니다. 

[그림 4] C&C 전송 코드의 일부

받아온 데이터를 토대로 봇 기능을 수행합니다. 봇 기능에는 C&C에 파일 전송, 시스템 정보 전송, 스크린샷을 서버로 전송, 파일 이름 및 크기 정보 전송, 파일 삭제, 프로세스 실행, 추가 명령 확인 기능이 있습니다.

[그림 5] 봇 기능 코드

한편, 이번 악성코드에서 발견된 PDB 경로는 다음과 같으며 이 PDB를 토대로 한 변종이 과거에도 발견된 바가 있습니다.

[표 1] 개발자 PDB 경로

우선 2017년 7월 4일에 제작된 것으로 보여지는 악성코드는 이번 악성코드와 동일한 경로에 'errorevent.dll' 파일 이름으로 드롭 및 자동 실행 레지스트리 등록합니다. 이후 자가 삭제합니다. 해당 악성코드 리소스(AVI 204)에 북한의 전략군 창설기념일과 관련된 기사 문서가 포함되어 있지만, 실제로 사용자에게는 보여주지 않습니다.

[그림 6] 'errorevent.dll' 드롭 및 자동 실행

다음은 악성코드 리소스에 있는 기사 문서입니다.

[그림 7] 악성코드 리소스에 저장된 북한의 전략군 창설기념일과 관련된 기사 문서

자동 실행 레지스트리로 부터 실행되는 'errorevent.dll'은 앞서 분석한 'errors.dll'와 동일하게 키로깅 기능과 C&C(member-daumchk.netai.net) 연결 뒤, 봇 기능을 수행합니다. 다음은 봇 기능 코드이며, 'errors.dll'과 동일한 코드 구조를 가집니다.

[그림 8] 'errorevent.dll'의 봇 기능 코드

다음은 2017년 5월 8일에 제작된 것으로 보여지는 변종의 메인 코드입니다. 마찬가지로 동일 경로에 'errorevent.dll' 악성 파일을 드롭하며, C&C(member-daumchk.netai.net)에 연결하고, 봇 기능을 포함한 키로깅 을 수행합니다.

[그림 9] 2017년 5월 8일에 제작된 것으로 보여지는 변종의 메인 코드

본 포스트에서 언급한 3가지 드롭퍼와 드롭된 파일에서 확인된 정보들의 일부를 간략하게 표로 비교해 정리하면 다음과 같습니다.

[표2] TimeStamp 기준 악성코드별 드롭퍼 및 드롭된 파일 비교

따라서 지속적으로 악성코드가 발견될 수 있어 주의가 필요합니다. 악성코드에 감염이 되지 않기 위해서는 검증되지 않은 파일을 실행하기 전, 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.

현재 알약에서는 관련 샘플들을 'Trojan.Agent.340480B', 'Trojan.Downloader.Agent', 'Trojan.Agent.Qkkbal'로 진단하고 있습니다.