삼성 메신저 사칭 악성코드

1. 개요

삼성 내부의 메신저를 사칭한 악성코드가 이슈가 되어  분석을 진행했다. 전형적인 서버의 명령을 수행하는 백도어로 많은 기능이 포함되었다.

※  백도어 : 원래는 다른 PC에 접근하기 위해 편의로 만들어 놓았으나, 최근에는 해커가 해킹에 성공한 PC를 간편하게 제어하기 위해 이용한다.

2. 전체 동작

< Figure 1. 전체 동작 >

해당 악성코드는 실행을 하게 되면, 원격에서 연결 할 수 있는 "데스크톱 연결"은 위장용으로 실행하고 다른 악성 행위를 하지않는다. 그 후, 서버에서 동작을 받아 명령을 처리하게 되는데 특정 서버로 연결을 시도하고 연결된 서버로부터 지속적인 통신을 통해 28개의 커맨드를 받을 수 있게 설계되어 있다.  

3. 샘플 정보

파일명 : mySingleMessenger.exe

파일크기 : 208,896 Bytes

SHA-256 : 44884565800EEBF41185861133710B4A42A99D80B6A74436BF788C0E210B9F50

malwares.com 분석 정보 : [Link]

4. 분석 과정

< Figure 2. 삼성 메신저 설치파일과 설치파일을 가장한 악성코드 >

실제 삼성 메신저 설치 프로그램은 정상적으로 인스톨이 되는 반면에 악성 파일은 "데스크톱 연결"프로그램을 실행한다. 프로그램을 종료하게 되면 화면에는 아무런 변화가 없지만 내부적으로 프로그램이 동작하게 된다. 동작하는 프로그램은 서버와 연결을 시도한다.

< Figure 3. 서버에 연결 시도 >

지금 현재는 서버가 동작을 하지 않아 접속을 계속 시도하지만 해커가 무슨 동작을 시도하는지 알기 어렵다. 하지만 기업이 타겟이므로 회사의 중요 자료가 유출 될 수 있는 가능성이 크다.

< Figure 4. 데이터 암호화 >

특정 커맨드는 암호화를 통한 통신을 진행한다. 특정 시그니쳐가 못오가는 정책이 있는 기업이라면 이를 통해 이용도 가능 할 수 있다.

< Figure 5.  커맨드 함수 >

이 함수에서 커맨드마다 각각 다른 28가지의 기능을 수행하며 간략하게 요약할 경우 프로세스,파일,시스템,네트워크를 컨트롤 한다. 

28가지의 커맨드는 아래와 같다.

* 실행 커맨드

커맨드	동작
0x123462	요청 파일 삭제
0x123465	요청 파일 검색
0x123474	요청 프로세스 종료
0x12347E	시스템 정보를 암호화하여 전송
0x123470	파일명의 일부분으로 검색
0x12346D	CMD 실행
0x123488	네트워크 접속 명령 이행
0x123486	서버가 전송한 파일 생성
0x123487	임시 디렉토리 경로 전송
0x12346B	요청 파일 실행
0x123461	드라이브 타입 전송
0x12346C	요청 파일 서버에게로 전송
0x12347C	임시 디렉토리 정리 (PM*.tmp , DWS*.tmp MD*.tmp)
0x123471	시스템시간 변경
0x123489	파일 생성 타임 변경
0x12348A	현재 유저의 권한으로 파일 실행
0x123473	프로세스 정보 전송
0x123460	요청 파일 서버에게로 전송 0x4000byte 이상가능
0x123459	서버로 0x12345C(에러) 요청 , 받는 값 확인불가
0x12345A	서버로 0x12347A(성공) 요청 , 받는 값 확인불가
0x123472	파일명 암호화
0x123469	파일 경로 이동
0x123467	파일을 메모리공간에 쓴다.
0x12345B	구조체 정보 전송
0x123478	구조체 정보 받음
0x123475	자신을 삭제하는 플래그 활성
0x123480	서버가 요청한 라이브러리 로드
0x12345F	값 암호화 전송

* 연결 시도 서버

• 206.248.59.124:443
• 94.199.145.55:443
• 0x123488 -> IP,PORT 통신