개발 중인 북한 관련 채굴 악성코드

malwares.com 코드분석팀 분석 자료


<부제 : 라자루스 혹시 너냐? >


1. 개요


2018년 1월 8일 해외 보안회사 에어리언볼트(AlienVault)에서 최근 지속적으로 이슈가 되고 있는 모네로 채굴 악성코드에 대한 신규 샘플 분석 정보를 내놓았다. 

신규 모네로 채굴 악성코드는 분석 결과 북한과 관련된 것으로 추정된다. 북한 정부 산하 해킹 그룹인 라자루스(Lazarus)가 최근 타겟을 금융 부분으로 옮긴 것과 같은 맥락으로 추정된다. 




2. 분석 정보

에어리언 볼트에서 공개한 3개 샘플을 분석해보니 같은 악성코드 프로젝트의 결과물로 보여진다. 악성코드 제작 과정을 알 수 있어 그 과정을 정리했다. 

샘플 식별을 위해 생성시간을 기준으로 다음과 같은 이름을 명명해 사용하겠다.


버전1 : 0024E32C0199DED445C0B968601F21CC92FC0C534D2642F2DD64C1C978FF01F3

버전2 : 42300B6A09F183AE167D7A11D9C6DF21D022A5F02DF346350D3D875D557D3B76

버전3 : C599F3CA3417169E4A620B8231F8A97CCC63E291B9E09C888E6807DD90F1F17C



[ 그림 1버전1 샘플 ]


제작 초기 소스코드로  한장의 사진으로 정리될만큼 간결하다. 주요 동작은 다음과 같다. 

  • 디렉토리 생성 : C:\\NewDirectory

  • 프로세스 수 확인

  • 메모장 실행 (숨김 모드)

주요 동작에서 확인한 것과 같이 해당 내용만으로는 악성으로 보기 어렵다. 



[ 그림 2버전2 샘플 ]


제작 중반 소스코드로 주요 동작은 다음과 같다. 


< 버전 1 샘플과 공통점 >

  • 디렉토리 생성 

  • 프로세스 수 확인

< 버전 2 샘플에 추가된 점 >
  • 외부 입력 정보 확인 기능 제작 중 
  • 랜덤값 생성 
  • 문자 생성 : KJU<프로세스 수>
  • 메모장 실행 기능 삭제
  • 파일 생성
    • C:\\NewDirectory2\\hello.txt 파일이 없을 경우 
      setup\\info.txt ▶ C:\\NewDirectory2\\info2<랜덤값>.dll
  • OS 환경 정보 확인
프랑스어로 된 동일한 문자열을 화면에 출력하고 버전 1 샘플에서 버전 2 샘플로 기능을 추가했을 것으로 추정해 볼 수 있다. 이를 통해 버전 1과 버전 2 샘플은 같은 프로젝트일 것으로 보인다. 
하지만 해당 동작만으로는 악성으로 보기 어렵다. 


[ 그림 3버전 3 샘플 ]


< 버전 1, 버전 2, 버전 3 샘플의 공통점 >

  • 디렉토리 생성

  • 프로세스 수 확인

< 버전 3 샘플에 추가된 점 >

  • 파일 생성

    • C:\\Windows\Sys64\\updater.exe 파일이 없을 경우
           licence/key.dat ▶ C:\\Windows\\Sys64\\updater.exe

    • C:\\Windows\Sys64\\intelservice.exe 파일이 없을 경우
           licence/licence.dat ▶ C:\\Windows\\Sys64\\intelservice.exe

    • setup\\update.exe ▶C:\\SoftInstall\\soft<랜덤값>.exe

    • 바탕 화면에 바로가기 생성

  • 파일 실행 (숨김모드)

    • intelservice.exe 

    • 파라미터

      • -o : barjuok.ryongnamsan.edu.kp:5615

      • -u : 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS

      • -p : KJU<프로세스 수>


이를 통해 샘플들은 버전 1에서 버전 3으로 지정할 수 있고 기능을 추가해 나가고 있음을 알 수 있다. 

따라서 버전 3 샘플이 수집된 샘플 중 최신 버전으로 추정해 볼 수 있다. 


버전 3 샘플의 소스를 좀 더 살펴보면 다양한 파라미터를 이용해 intelservice.exe를 실행하고 있다. 

  • 코인 전송 도메인 : barjuok.ryongnamsan.edu.kp:5615

  • 지갑 주소 : 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS

실제 실행되는 intelservice.exe가 수집되지 않은 상태이므로 해당 지갑이 어떤 코인과 연관된 것인지 확인하기 어렵다. 최근 채굴기를 배포해 수익을 얻는 악성코드들이 추적이 어려운 모네로를 사용하고 있다는 점과 에어리언볼트가 블로그에서 언급한 것과 같이 실행시 입력되는 파라미터 수등을 미루어 모네로 지갑 주소로 추정된다. 


버전 1 샘플부터 버전 3 샘플까지를 비교하면 다음과 같다. 


샘플명 

버전 1 샘플 

버전 2 샘플 

버전 3 샘플 

  해시 0024E32..... 42300B6..... C599F3C.....
  생성일 (UTC)  2017/12/21 12:28:56 2017/12/24 15:32:59 2017/12/24 20:18:34

 개발 환경

 닷넷 프레임워크 v3.5 기반 비주얼 베이직

 사용된 언어 프랑스어

 프로그램 명

 ConsoleApp<1자리 숫자>.exe

 디렉토리 생성

 O

 프로세스 수 확인

 O

 파일 실행 (숨김모드)

 O

 랜덤값 생성

 X

 KJU 문자 생성

 X

 파일 생성

 X

 지갑 정보 

 X

 코인 전송 주소 X


3. IOC 정보


 해쉬

 0024E32C0199DED445C0B968601F21CC92FC0C534D2642F2DD64C1C978FF01F3

 파일크기

 9,728 Bytes

 유입파일명

 ConsoleApp3.exe

 태그

 peexe, exe_32bit, assembly, northkorea, monero


 해쉬

 42300B6A09F183AE167D7A11D9C6DF21D022A5F02DF346350D3D875D557D3B76

 파일크기

 11,264 Bytes

 유입파일명

 ConsoleApp5.exe

 태그

 peexe, exe_32bit, assembly, northkorea, monero


 해쉬

 C599F3CA3417169E4A620B8231F8A97CCC63E291B9E09C888E6807DD90F1F17C

 파일크기

 11,264 Bytes

 유입파일명

 ConsoleApp5.exe

 태그

 peexe, exe_32bit, assembly, northkorea, monero

 주요동작

 연산

 초기감염방법

 다운로드 추정

 재실행방법

 -

 네트워크연결

 barjuok.ryongnamsan.edu.kp:5615


※ 버전 3 샘플의 내부 코드 확인하기 




이 글을 공유하기

댓글(0)