[상세보고서] 게임 모니터링 프로그램 악성코드

malwares.com 악성코드 분석팀 분석 자료

< 부제 : 적을 알고 나를 알면 백전 백승 >

1. 분석의 시작

[Figure 1. 관련 기사 ( 출처: KBS 2016년 1월 17일)]

위 사진은 2016년 1월 중순 사회적으로 이슈가 된 기사이다. 이 기사를 살펴보면,인터넷 도박게임에서 상대방의 모니터를 확인할 수 있는 악성코드를 활용한 조직이 검거되었다는 사실을 알 수 있다. 게임에서 상대방의 패를 확인할 수 있는 이 악성코드에 대해 궁금증이 생겨, 유사한 형태의 악성코드를 malwares.com을 통해 찾아보았다.

[ Figure 2. malwares.com에서 탐지명을 통해 게임 관련 파일 검색 ]

2. Anti-Virus 진단 정보

• 파일명 : Setup.exe
• SHA-256 : 761563DF5688CDC7CF4326E90E6557C2185149646DE0A748CB9010CDFA8DE9F7
• 특징 : PECompact
• 목적 : Dropper
• A/V대표 진단명 : [AhnLab-V3] Trojan/Win32.PbBot

[Figure 3. Setup.exe 진단 정보 (malwares.com)]

• 파일명 : iphook.sys
• SHA-256 : 4196602E33184578FD2F51DBAA7E2547CCB2D9D056A23AD06335D56A3D7AF520
• 목적 : HidePort
• A/V대표 진단명 : [AhnLab-V3] Trojan/Win32.PbBot

[Figure 4. iphook.sys 진단 정보 (malwares.com)]

• 파일명 : eoqkr360.c
• SHA-256 : C3E6CEE94B878E687CA41C6FA42AC72785D6A2FA2D61DAC77FD5E761BB37E120
• 목적 : 화면 정보 전송
• A/V대표 진단명 : [AhnLab-V3] Trojan/Win32.PbBot

[Figure 5. eoqkr360.c 진단 정보 (malwares.com)]

3. 상세분석

(1) Setup.exe 

[Figure 6, iphook.sys , eoqkr360.c 설치,로드]

이 샘플의 패킹(PECompact)를 언패킹한 후 진행한 분석을 통해 다음과 같은 동작을 확인하였다.

- C2서버 접속 

- 악성 파일 생성 및 실행

해당 악성코드는 악성코드 유포자들의 서버에 접속을 시도하고 Setup.exe 파일의 리소스 섹션에 저장되어 있는 lphook.sys, eoqkr360.c 파일을 생성한다. 생성된 파일 중 Iphook.sys 은 드라이버 파일로 커널에 로드하고 eoqkr360.c 파일은  dll파일 로서 Rundll로 지정된 함수를 호출한다.

(2) iphook.sys 

[Figure 7. iphook.sys 시작지점]

[Figure 8. iphook.sys 핵심코드]

로드된 Iphook.sys 파일의 주요 동작은 악성코드가 사용하는 특정 포트의 통신을 숨겨주는 것으로 확인되었다. 

- 숨김 대상 포트 : 8081, 8082, 8083

즉, 악성코드 동작을 숨기기 위한 목적이므로 악성코드 감염여부를 판단하는 기준이 될 수 있다. 

* 생성 경로 : %WINDIR%\System32\drivers\iphook.sys

(3) eoqkr360.c

[Figure 9. Svchost 등록]

eoqkr360.c 파일은 게임 모니터링 프로그램 악성코드의 핵심 파일로 PC 재부팅시 실행될 수 있도록 서비스로 등록되어 있다. 다음과 같이 프로세스명을 기반으로 공격 대상이 되는 프로세스가 존재하는지 확인한다. 

[Figure 10. 프로세스 비교]

- 대상 프로세스 : Baduki.exe, pmangagent.exe, laspoker.exe, duelpoker.exe, highlow2.exe, poker7.exe

공격대상이 되는 프로그램들은 모두 인터넷 도박과 관련된 프로그램으로 확인되었으며 이를 바탕으로 언론에 공개된 것과 유사한 형태의 악성코드로 추정된다. 

[Figure 11. 화면의 정보 탈취]

[Figure 12. data영역의 문자열]

Figure 11과 같이 해당 악성코드는 인터넷 도박 프로그램이 실행중일 때 화면 정보를 탈취하기 위한 함수들을 호출한다. Figure 12와 같이 일반적으로 "WinSta0\Default"는 사용자가 사용하는 화면 정보를 얻기 위함이며 RDP로 연결될 경우 새로운 연결을 받으면 기존 연결은 끊기게 되지만 이 프로그램의 경우 그렇지 않아 사용자는 화면 정보가 빠져나가는 것을 알기 어렵다. 

[Figure 13. 서버로 정보 전송]

탈취된 사용자 화면은 중계 서버로 부터 전달받은 메인 서버 정보를 바탕으로 메인 서버에 접속하게 된다. 메인 서버와 접속한 후 지속적인 통신을 유지하며 사용자 화면을 전달받는 것으로 보인다. 

- 중계 서버 : http://eoqkr01.gnway.net:9001 

▶ 보고서 원본 PDF 다운로드: https://goo.gl/WwknIJ

* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.