최근 파일 공유 서비스를 통해 유포가 이루어진 것으로 추정되는 Microsoft Excel 파일 아이콘으로 위장한 정보 수집용 악성코드가 발견되어 살펴보도록 하겠습니다.
- "Microsoft Wind" 디지털 서명 사용한 악성 파일 (SHA-1 : 32c9a6b54572cac5aa94852fec4b0185d3fea354) - 알약(ALYac) : Trojan.Keylogger.njRAT / Microsoft : Backdoor:MSIL/Bladabindi
- "Microsoft Corporation" 디지털 서명 사용한 악성 파일 (SHA-1 : 2d7cfd1831983f525f20d8ed7eb37a04ef0cad3d) - ESET : A variant of MSIL/Kryptik.PKI
생성된 "C:\Users\Public\EXCEL.exe" 악성 파일은 Microsoft Excel 파일 아이콘으로 구성되어 있으며, Windows 부팅 시 자동 실행되도록 다음과 같은 시작 프로그램 등록값을 등록합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- 78265b083f4e9d64c29dbca7e6eab7d7 = "C:\Users\Public\EXCEL.EXE" ..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 78265b083f4e9d64c29dbca7e6eab7d7 = "C:\Users\Public\EXCEL.EXE" ..
※ "78265b083f4e9d64c29dbca7e6eab7d7" 값은 변종마다 다른 값으로 등록됩니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
- {37A4D3A6-7D80-4668-A6A7-788CD1CB73B0} = v2.28|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\Public\EXCEL.EXE|Name=EXCEL.EXE|
- {A6C1DD7D-2D69-40E9-945A-212995857972} = v2.28|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\Public\EXCEL.EXE|Name=EXCEL.EXE|
또한 방화벽 차단을 우회 목적으로 Windows 방화벽의 인바운드 규칙에 EXCEL.EXE 이름으로 "C:\Users\Public\EXCEL.exe" 악성 파일이 TCP/UDP 프로토콜을 이용한 통신을 차단하지 않도록 허용합니다.
실행된 "C:\Users\Public\EXCEL.exe" 악성 파일은 자동 실행되어 메모리에 상주하며 지속적으로 시작 프로그램 등록값(Run)에 등록된 키가 삭제되지 않도록 감시하며, 다음과 같은 악의적인 기능을 수행합니다.
우선 1차적으로 국내 단축 URL 서비스를 제공하는 "sprze.ze.am (211.219.155.16)" C&C 서버와의 통신을 지속적으로 시도합니다.
HKEY_CURRENT_USER\Software\78265b083f4e9d64c29dbca7e6eab7d7
- [kl] = <키로깅 정보 수집>
핵심적인 기능은 감염된 환경에서 사용자가 실행하는 프로그램 이름, 입력 키보드 값 정보를 [kl] 레지스트리 값 영역에 저장하여 외부로 유출할 수 있으며, 이를 통해 사이트 로그인 정보 및 금융 정보 등을 수집할 수도 있습니다.
2018년 9월 21일경부터 추석 명절 기간까지 유포된 것으로 추정되는 해당 악성코드는 수집된 정보를 기반으로 추가적인 금전적 피해 등을 유발할 수 있으므로 만약 감염이 확인된 경우에는 사이트 비밀번호 변경 등을 반드시 하시기 바랍니다.