페이스북 메신저를 통해 배포된 악성코드

malwares.com 코드분석팀 분석 자료

<부제 : 친구야 너가 보낸 파일 아니야? >

1. 개요

2017년 12월 17일 일요일 오후, 친구가 페이스북 메신저로 파일을 전송했다. 파일명은  Video.67846746.mp4.exe. 친구는 자신이 파일을 보낸 사실조차 모르고 있었다. 무슨 파일일까?

그 후 같은 경험을 한 사람들이 페이스북에 글을 올리기 시작했다. 

이렇게 파일을 배포한 해커는 무엇을 목표로 이렇게 동시다발적으로 유포를 시도했을까? 

파일을 통해 확인해 보자. 

관련 기사 보러가기 : 보안뉴스 [긴급] 페이스북 메신저로 온 video.xxxx.zip 파일의 정체

2. 분석 정보

[ 그림1. AutoIt 소스코드 ]

URL : http://byclixe.ozivu.bid/api/apple/config.php

User-Agent : Miner

해당 샘플은 AutoIt이라는 스크립트언어로 제작된 악성코드로 디컴파일이 가능해 분석이 수월하다. 디컴파일 후 소스코드 내부를 살펴보면 문자열들이 암호화되어있어 한눈에 알아보기 어렵다. 약간의 복호화 작업을 거치면 소스코드를 이해할 수 있다. 분석을 통해서 위 소스코드가 웹서버에 접근해 결과값을 가져와 사용한다는 것을 확인할 수 있었다.

[ 그림2. 서버 상태 ]

웹서버에 임의로 접근해보니 현재 'denied'란 문자열과 함께 프로세스가 종료되고 있었다. 하지만 해당 페이지가 삭제가 된 것이 아니고 다시 작동할 수 있으므로 삭제를 권한다.  

해당 샘플에 정상적으로 감염될 경우 가상화폐(모네로)의 채굴 프로그램이 chrome의 플러그인으로 동작 한다. 감염된 PC 사용자의 리소스를 이용해 가상화폐를 채굴하고, 채굴된 코인을 해커가 가져가는 마이너 악성코드다. 많은 가상화폐 중 모네로 코인은 누구에게 얼마만큼의 금액을 보냈는지 알 수 없고, 계좌 추적이 어려워 해커가 이 코인을 선정했을 것으로 보인다. 

마지막으로 가상화폐가 시장에서 뜨면서 다시 마이너 악성코드가 많이 출현하고 있는 지금. 누군가 전송한 파일을 무심코 실행하는 일이 없도록 해야한다.

3. C2 SERVER

[ 그림3. 서버 이력 ]

기존에는 악성코드 배포이력이 없던 서버이고, 인덱스 페이지에서는 다른 서비스가 제공되고 있는것으로 보아 해킹을 통해 서버 관리자의 동의없이 악용된 사이트로 추정된다.

4. 파일 정보

해쉬	BEB7274D78C63AA44515FE6BBFD324F49EC2CC0B8650AEB2D6C8AB61A0AE9F1D
파일크기	973,824 Bytes
유입파일명	Video.XXXXXXXX.mp4.exe [XXXXXXXX는 임의 숫자]
태그	exe_32bit, peexe, csdq, agent, autoit
주요동작	외부서버 연결 확인 & 추가파일 실행 & 레지스트리 등록
초기감염방법	페이스북 메신저
재실행방법	O
네트워크연결	http://byclixe.ozivu.bid/api/apple/config.php