lazarusholic

2018-01-09, SandsLab
http://story.malwares.com/116
#Cryptocurrency

개발 중인 북한 관련 채굴 악성코드
- 보안 정보/악성코드 관련 정보
- 2018. 1. 9. 11:48
malwares.com 코드분석팀 분석 자료
<부제 : 라자루스 혹시 너냐? >
1. 개요
2018년 1월 8일 해외 보안회사 에어리언볼트(AlienVault)에서 최근 지속적으로 이슈가 되고 있는 모네로 채굴 악성코드에 대한 신규 샘플 분석 정보를 내놓았다.
신규 모네로 채굴 악성코드는 분석 결과 북한과 관련된 것으로 추정된다. 북한 정부 산하 해킹 그룹인 라자루스(Lazarus)가 최근 타겟을 금융 부분으로 옮긴 것과 같은 맥락으로 추정된다.
AlienVault 분석 정보 : A North Korean Monero Cryptocurrency Miner
관련 기사 보러가기 : [서울경제] 가상화폐 채굴시켜 북한으로 송금하는 "악성코드" 발견돼
에어리언 볼트에서 공개한 3개 샘플을 분석해보니 같은 악성코드 프로젝트의 결과물로 보여진다. 악성코드 제작 과정을 알 수 있어 그 과정을 정리했다.
샘플 식별을 위해 생성시간을 기준으로 다음과 같은 이름을 명명해 사용하겠다.
버전1 : 0024E32C0199DED445C0B968601F21CC92FC0C534D2642F2DD64C1C978FF01F3
버전2 : 42300B6A09F183AE167D7A11D9C6DF21D022A5F02DF346350D3D875D557D3B76
버전3 : C599F3CA3417169E4A620B8231F8A97CCC63E291B9E09C888E6807DD90F1F17C
[ 그림 1. 버전1 샘플 ]
제작 초기 소스코드로 한장의 사진으로 정리될만큼 간결하다. 주요 동작은 다음과 같다.
디렉토리 생성 : C:\\NewDirectory
프로세스 수 확인
메모장 실행 (숨김 모드)
주요 동작에서 확인한 것과 같이 해당 내용만으로는 악성으로 보기 …

0024E32C0199DED445C0B968601F21CC92FC0C534D2642F2DD64C1C978FF01F3
42300B6A09F183AE167D7A11D9C6DF21D022A5F02DF346350D3D875D557D3B76
C599F3CA3417169E4A620B8231F8A97CCC63E291B9E09C888E6807DD90F1F17C