인터넷 쇼핑몰 I사 해킹에 사용된 악성코드 상세 분석
Contents
인터넷 쇼핑몰 I사 해킹에 사용된 악성코드 상세 분석
1. 개요
최근 국내 대형 인터넷 쇼핑몰 I사가 지능형 지속가능 위협(APT) 공격을 받아 회원 1030만명의 개인 정보가 유출되었다. 본 보고서에선 당시 APT 공격에 사용된 것으로 추정되는 악성 파일 ‘우리가족.abcd.scr’을 분석하고자 한다.
해당 악성코드는 정상적인 화면 보호기 파일로 위장하기 위해 확장자 scr(Screensaver)을 사용하며, 실제 화면 보호기처럼 동작하기도 한다. 또한 문서, 미디어, 프로세스 정보를 공격자에게 전송하는 등 PC 정보 수집이 목적인 것으로 보인다.
2. 분석 정보
2-1. 파일 정보
|
|
구분
|
|
내용
|
|
파일명
|
|
우리가족.abcd.scr
|
|
파일크기
|
|
9,097,216 byte
|
|
진단명
|
|
Trojan-Dropper/W32.Agent.9097216
|
|
악성동작
|
|
악성 파일 생성
|
|
구분
|
|
내용
|
|
파일명
|
|
msoia.exe, ielowutil.exe
|
|
파일크기
|
|
921,600 byte
|
|
진단명
|
|
Backdoor/W32.Agent.921600.AE
|
|
악성동작
|
|
시스템 정보 송신, 추가 DLL다운로드
|
|
네트워크
|
|
192.xxx.xxx.125
220.xxx.xxx.110
202.xxx.xxx.198
2-2. 유포 경로
이 악성코드는 메일의 첨부 파일을 통해 유포된 것으로 알려져 있으며 화면 보호기 확장자인 .scr을 가지고 있어 사용자가 해당 파일을 의심 없이 실행시킬 가능성이 높다. scr 확장자는 제어판-디스플레이 설정에서 화면 보호기로 설정하지 않고 사용자가 직접 더블 클릭을 통해 실행하면 exe 파일과 유사하게 실행되기 때문에 악성코드에 자주 사용되는 확장자이다.
2-3. 실행 과정
[그림] 실행 과정
3. 악성 동작
3-1. C&C 서버 연결
ielowutil.exe는 아래와 같은 서버에 연결을 시도한다. 서버를 분석한 결과 각각 온두라스, 타이완, 뉴질랜드에 위치한 것으로 …
1. 개요
최근 국내 대형 인터넷 쇼핑몰 I사가 지능형 지속가능 위협(APT) 공격을 받아 회원 1030만명의 개인 정보가 유출되었다. 본 보고서에선 당시 APT 공격에 사용된 것으로 추정되는 악성 파일 ‘우리가족.abcd.scr’을 분석하고자 한다.
해당 악성코드는 정상적인 화면 보호기 파일로 위장하기 위해 확장자 scr(Screensaver)을 사용하며, 실제 화면 보호기처럼 동작하기도 한다. 또한 문서, 미디어, 프로세스 정보를 공격자에게 전송하는 등 PC 정보 수집이 목적인 것으로 보인다.
2. 분석 정보
2-1. 파일 정보
|
|
구분
|
|
내용
|
|
파일명
|
|
우리가족.abcd.scr
|
|
파일크기
|
|
9,097,216 byte
|
|
진단명
|
|
Trojan-Dropper/W32.Agent.9097216
|
|
악성동작
|
|
악성 파일 생성
|
|
구분
|
|
내용
|
|
파일명
|
|
msoia.exe, ielowutil.exe
|
|
파일크기
|
|
921,600 byte
|
|
진단명
|
|
Backdoor/W32.Agent.921600.AE
|
|
악성동작
|
|
시스템 정보 송신, 추가 DLL다운로드
|
|
네트워크
|
|
192.xxx.xxx.125
220.xxx.xxx.110
202.xxx.xxx.198
2-2. 유포 경로
이 악성코드는 메일의 첨부 파일을 통해 유포된 것으로 알려져 있으며 화면 보호기 확장자인 .scr을 가지고 있어 사용자가 해당 파일을 의심 없이 실행시킬 가능성이 높다. scr 확장자는 제어판-디스플레이 설정에서 화면 보호기로 설정하지 않고 사용자가 직접 더블 클릭을 통해 실행하면 exe 파일과 유사하게 실행되기 때문에 악성코드에 자주 사용되는 확장자이다.
2-3. 실행 과정
[그림] 실행 과정
3. 악성 동작
3-1. C&C 서버 연결
ielowutil.exe는 아래와 같은 서버에 연결을 시도한다. 서버를 분석한 결과 각각 온두라스, 타이완, 뉴질랜드에 위치한 것으로 …