본문 바로가기

벌새::Analysis

PowerISO 이미지 파일(.daa)을 사용하는 정보 수집 악성코드 주의 (2021.7.19)

반응형

악성 첨부 파일이 포함된 메일 유포 방식의 경우 탐지 우회 목적으로 가상 이미지 파일을 사용하는 경우가 있다는 내용을 블로그를 통해 소개한 적이 있었습니다.

 

IMG 가상 이미지 파일이 첨부된 견적 메일 주의 (2020.4.27)

 

ISO 가상 이미지 파일이 첨부된 카탈로그 악성 메일 유포 주의 (2020.7.4)

 

이번에 살펴볼 악성 메일에서는 일반 사용자가 쉽게 확인하기 어려운 .daa 파일 확장명으로 이루어진 첨부 파일을 사용하고 있는데, 어떤 목적으로 유포가 이루어졌는지 알아보도록 하겠습니다.

 

"Urgent ORDER # 043523 !!!!!![ REMINDER ]" 악성 메일

제목이 "Urgent ORDER # 043523 !!!!!![ REMINDER ]" 이름으로 표시된 메일을 살펴보면 구매 주문서를 첨부하였으므로 확인해보라는 내용이 포함되어 있으며, 첨부 파일은 P.O # 0043556.daa 이름으로 표시되고 있습니다.

 

P.O # 0043556.daa 첨부 파일 포맷 정보

메일에 포함된 P.O # 0043556.daa 첨부 파일(SHA-1 : b5fbc2d72be764a5a94226a1619f5f748cd242c2 - Microsoft : Trojan:Win32/Wacatac.B!ml)이 무엇인지 확인을 해보면 "Direct Access Archive (PowerISO)" 이미지 파일임을 알 수 있습니다.

 

PowerISO 프로그램 설치 화면

실제로 PowerISO 프로그램을 설치하는 단계에서 .iso 이미지 외에 .daa 파일 확장명을 가진 파일을 지원하고 있는 것을 알 수 있었습니다.

 

P.O # 0043556.daa 이미지 파일 내부 모습

PowerISO 프로그램 설치 후 P.O # 0043556.daa 첨부 파일을 오픈해보면 내부에 PDF 문서 파일 아이콘으로 제작된 E445333###.exe 파일(SHA-1 : fddd491983fb9f75e75319954d4c65fee15e31f5 - Kaspersky : VHO:Trojan-Spy.MSIL.Noon.gen)이 압축되어 있는 것을 확인할 수 있습니다.

 

만약 일련의 절차에 따라 P.O # 0043556.daa 압축 파일을 PowerISO 이미지 파일로 오픈하여 E445333###.exe 실행 파일을 PDF 문서 파일로 착각하고 직접 실행할 경우 다음과 같은 악의적인 기능을 수행할 수 있습니다.

 

실행된 파일은 "C:\Users\%UserName%\AppData\Local\Temp\E445333###.exe" 파일로 자가 복제를 1차로 한 후 다시 "C:\Users\%UserName%\AppData\Roaming\service.exe\service.exe.exe" 파일로 2차 자가 복제를 합니다.

 

service.exe.exe (SHA-1 : SHA-1 : fddd491983fb9f75e75319954d4c65fee15e31f5)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - service.exe = C:\Users\%UserName%\AppData\Roaming\service.exe\service.exe.exe

생성된 파일은 Windows 시작 시 service.exe 등록값을 통해 자동 실행되며, 다음과 같은 다양한 수집 가능한 정보를 수집하여 외부로 유출을 할 수 있습니다.

 

  1. 실행 중인 프로세스
  2. 메모리 용량
  3. 스크린 샷
  4. 사용자 계정 이름
  5. 컴퓨터 이름
  6. 운영 체제(OS) 종류
  7. CPU 종류
  8. IP 주소
  9. 설치된 프로그램 이름
  10. 각종 웹 브라우저에 저장된 계정 로그인 정보
  11. 각종 FTP 프로그램에 저장된 접속 로그인 정보
  12. SMTP 메일 접속 정보
  13. Tor 웹 브라우저 추가 다운로드를 통한 접속

이렇게 수집된 정보를 이용하여 공격자가 추가적인 대상을 찾거나 계정 정보를 DB화하여 다크웹 등에서 판매를 할 수도 있을 것입니다.

 

그러므로 의심스러운 첨부 파일을 받았는데 가상 이미지 파일인 경우 오픈하여 내부에 존재하는 파일을 실행하여 정보가 유출되는 일이 없도록 각별히 주의하시기 바랍니다.

728x90
반응형