개발 중인 북한 관련 채굴 악성코드
- 보안 정보/악성코드 관련 정보
- 2018. 1. 9. 11:48
malwares.com 코드분석팀 분석 자료
<부제 : 라자루스 혹시 너냐? >
1. 개요
2018년 1월 8일 해외 보안회사 에어리언볼트(AlienVault)에서 최근 지속적으로 이슈가 되고 있는 모네로 채굴 악성코드에 대한 신규 샘플 분석 정보를 내놓았다.
신규 모네로 채굴 악성코드는 분석 결과 북한과 관련된 것으로 추정된다. 북한 정부 산하 해킹 그룹인 라자루스(Lazarus)가 최근 타겟을 금융 부분으로 옮긴 것과 같은 맥락으로 추정된다.
AlienVault 분석 정보 : A North Korean Monero Cryptocurrency Miner
관련 기사 보러가기 : [서울경제] 가상화폐 채굴시켜 북한으로 송금하는 "악성코드" 발견돼
에어리언 볼트에서 공개한 3개 샘플을 분석해보니 같은 악성코드 프로젝트의 결과물로 보여진다. 악성코드 제작 과정을 알 수 있어 그 과정을 정리했다.
샘플 식별을 위해 생성시간을 기준으로 다음과 같은 이름을 명명해 사용하겠다.
버전1 : 0024E32C0199DED445C0B968601F21CC92FC0C534D2642F2DD64C1C978FF01F3
버전2 : 42300B6A09F183AE167D7A11D9C6DF21D022A5F02DF346350D3D875D557D3B76
버전3 : C599F3CA3417169E4A620B8231F8A97CCC63E291B9E09C888E6807DD90F1F17C
[ 그림 1. 버전1 샘플 ]
제작 초기 소스코드로 한장의 사진으로 정리될만큼 간결하다. 주요 동작은 다음과 같다.
디렉토리 생성 : C:\\NewDirectory
프로세스 수 확인
메모장 실행 (숨김 모드)
주요 동작에서 확인한 것과 같이 해당 내용만으로는 악성으로 보기 어렵다.
[ 그림 2. 버전2 샘플 ]
제작 중반 소스코드로 주요 동작은 다음과 같다.
< 버전 1 샘플과 공통점 >
디렉토리 생성
프로세스 수 확인
- 외부 입력 정보 확인 기능 제작 중
- 랜덤값 생성
- 문자 생성 : KJU<프로세스 수>
- 메모장 실행 기능 삭제
- 파일 생성
- C:\\NewDirectory2\\hello.txt 파일이 없을 경우
setup\\info.txt ▶ C:\\NewDirectory2\\info2<랜덤값>.dll - OS 환경 정보 확인
[ 그림 3. 버전 3 샘플 ]
< 버전 1, 버전 2, 버전 3 샘플의 공통점 >
디렉토리 생성
프로세스 수 확인
< 버전 3 샘플에 추가된 점 >
파일 생성
C:\\Windows\Sys64\\updater.exe 파일이 없을 경우
licence/key.dat ▶ C:\\Windows\\Sys64\\updater.exeC:\\Windows\Sys64\\intelservice.exe 파일이 없을 경우
licence/licence.dat ▶ C:\\Windows\\Sys64\\intelservice.exesetup\\update.exe ▶C:\\SoftInstall\\soft<랜덤값>.exe
바탕 화면에 바로가기 생성
파일 실행 (숨김모드)
intelservice.exe
파라미터
-o : barjuok.ryongnamsan.edu.kp:5615
-u : 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS
-p : KJU<프로세스 수>
이를 통해 샘플들은 버전 1에서 버전 3으로 지정할 수 있고 기능을 추가해 나가고 있음을 알 수 있다.
따라서 버전 3 샘플이 수집된 샘플 중 최신 버전으로 추정해 볼 수 있다.
버전 3 샘플의 소스를 좀 더 살펴보면 다양한 파라미터를 이용해 intelservice.exe를 실행하고 있다.
코인 전송 도메인 : barjuok.ryongnamsan.edu.kp:5615
지갑 주소 : 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS
실제 실행되는 intelservice.exe가 수집되지 않은 상태이므로 해당 지갑이 어떤 코인과 연관된 것인지 확인하기 어렵다. 최근 채굴기를 배포해 수익을 얻는 악성코드들이 추적이 어려운 모네로를 사용하고 있다는 점과 에어리언볼트가 블로그에서 언급한 것과 같이 실행시 입력되는 파라미터 수등을 미루어 모네로 지갑 주소로 추정된다.
버전 1 샘플부터 버전 3 샘플까지를 비교하면 다음과 같다.
샘플명 | 버전 1 샘플 | 버전 2 샘플 | 버전 3 샘플 |
| 해시 | 0024E32..... | 42300B6..... | C599F3C..... |
| 생성일 (UTC) | 2017/12/21 12:28:56 | 2017/12/24 15:32:59 | 2017/12/24 20:18:34 |
개발 환경 | 닷넷 프레임워크 v3.5 기반 비주얼 베이직 | ||
| 사용된 언어 | 프랑스어 | ||
프로그램 명 | ConsoleApp<1자리 숫자>.exe | ||
디렉토리 생성 | O | O | O |
프로세스 수 확인 | O | O | O |
파일 실행 (숨김모드) | O | X | O |
랜덤값 생성 | X | O | O |
KJU 문자 생성 | X | O | O |
파일 생성 | X | O | O |
지갑 정보 | X | X | O |
| 코인 전송 주소 | X | X | O |
3. IOC 정보
해쉬 | 0024E32C0199DED445C0B968601F21CC92FC0C534D2642F2DD64C1C978FF01F3 |
파일크기 | 9,728 Bytes |
유입파일명 | ConsoleApp3.exe |
태그 | peexe, exe_32bit, assembly, northkorea, monero |
해쉬 | 42300B6A09F183AE167D7A11D9C6DF21D022A5F02DF346350D3D875D557D3B76 |
파일크기 | 11,264 Bytes |
유입파일명 | ConsoleApp5.exe |
태그 | peexe, exe_32bit, assembly, northkorea, monero |
해쉬 | C599F3CA3417169E4A620B8231F8A97CCC63E291B9E09C888E6807DD90F1F17C |
파일크기 | 11,264 Bytes |
유입파일명 | ConsoleApp5.exe |
태그 | peexe, exe_32bit, assembly, northkorea, monero |
주요동작 | 연산 |
초기감염방법 | 다운로드 추정 |
재실행방법 | - |
네트워크연결 | barjuok.ryongnamsan.edu.kp:5615 |
※ 버전 3 샘플의 내부 코드 확인하기
'보안 정보 > 악성코드 관련 정보' 카테고리의 다른 글
| 해커들의 새로운 결제 캠페인 DASH 코인 (0) | 2018.02.19 |
|---|---|
| 한글을 지원하는 마인크래프트 위장 랜섬웨어 (0) | 2018.01.15 |
| 갑작스럽게 많아진 가상화폐 마이너. 이유는? (0) | 2018.01.08 |
| 페이스북 메신저를 통해 배포된 악성코드 (0) | 2017.12.18 |
| CVE-2017-8759 : WSDL 파서 코드 인젝션 (0) | 2017.09.25 |
