봇넷 관련 악성코드 (systemsv08.exe)

malwares.com 코드분석팀 분석 자료


1. 개요


최근 3개월전부터 급격히 활동하고 있는 악성코드로 외부 서버에 접속해 추가 악성코드 다운로드 및 실행을 목적으로 한다. 
다운로드된 악성코드는 사용자의 인터넷 접속에 따른 동작 우회나 파밍 기능이 있는 Proxy를 설치하고 또 다른 외부 서버에 접속하는 등의 동작을 수행한다. 

2. Anti-Virus 진단 정보

  • 파일 크기 : 150,016 bytes
  • SHA-256 : 361B40B2E5A2D9DA0BBD36EACF6976D0B55F7F74EAE57E9FAE744E905F9B2CAB
  • 연관 태그 정보 : #exe_32bit, #autorun #peexe
  • 유입 파일명 : systemsv08.exe, 193cscacqcqwefqwfqw.exe
  • 악성코드 저장경로 : C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338
                                  -698547211011232\systemsv08.exe
  • malwares.com 정보 : https://goo.gl/Q5FM0H
  • 주요 동작
    • 레지스트리 HKCU의 Run/RunOnce 등록
      ( HKCU\<UID>\Software\Microsoft\CurrentVersion\Run, RunOnce )
    • 외부 서버 접속 시도 (109.236.87.193/5500)

< Figure1. Anti-Virus 진단 정보 (malwares.com) >


3. 특징


(1) 분석 지연 유도


분석 대상 샘플은 다음과 같은 기법을 적용해 분석 지연을 유도한다. 


  • Anti-Decompile
  • Multi-Unpacking
  • Indirect Reference

< Figure2. 언패킹 과정 >


(2) 외부 서버와의 통신


Explorer.exe 에 인젝션된 경우 악성 동작을 위한 정보를 별도의 메모리 공간에 Parameter로 전달한다. 

  • Parameter 정보
    • systemsv08 : Mutex 이름, 생성된 악성코드 파일명, 레지스트리 값
    • 109.236.87.193 : 외부 서버 IP
    • ws2_321.dll, advapi32.dll : API를 추가로 얻어야 할 모듈명

< Figure3. Explorer.exe 에 인젝션시 메모리 구조 >


하지만 해당 서버의 특정 포트로 접속을 시도하지만 현재 정상 동작이 이루어지지 않는다. 


< Figure4. 외부 서버 접속 시도 >


4. 연관 정보 


(1) 외부 서버 


현재 외부 서버에 연결되지 않아 추가 동작을 정확히 확인하기 어렵다. 

하지만 malwares.com에서 109.236.87.193 와 유사 동작을 하는 다른 IP를 확인한 결과 추가 악성코드를 다운로드 후 실행하는 형태로 추정되며 다운로드된 악성코드는 Proxy 동작 수행 및 외부 서버 접근등의 동작을 수행한다. 


  • 근거
    • 다른 IP와 통신하는 악성코드와 분석 대상 악성코드의 내부 동작/코드 유사 
    • 다른 IP에서 다운로드되는 악성파일명과 분석 대상 악성코드의 유입 파일명의 형태 유사 

< Figure5. 유사 변종 악성코드 다운로드 경로(malwares.com) >


malwares.com의 과거 이력을 살펴보면 IP는 계속 접근이 가능하지만 다운로드되는 악성코드는 1일 단위로 다른 이름, 다른 Hash를 갖는 악성코드로 업데이트되고 있으며 매일 대략 40개정도가 업데이트 되고 있다. 

(2016.09.23일 현재 누적개수 : 2338개 )

또한 업데이트된 악성코드 파일명은 매일 다른 형태를 띄고 있어 일정한 패턴을 찾기 어렵다. 


< Figure6. 2016년 6월이후 탐지 기록 >


현재까지 확인된 외부 서버 IP는 다음과 같다. 



최초 접근했던 외부 서버는 109.236.87.85 으로 악성코드 다운로드 이력은 없으나 2016.08 ~ 2016.09 기간동안 유사 변종 악성코드와 통신한 이력이 있다. 
하지만 109.236.87.193은 2016.01.26 ~ 2016.04.02 까지 악성코드 다운로드 및 통신을 지원했으며 2016.06.04 부터 현재까지 109.236.84.25에서 악성코드 다운로드 및 통신을 지원하고 있다. 


(2) 유사 샘플 

다음은 109.236.87.193 과 통신하는 악성코드 중 분석 샘플과 샘플 파일명까지 같은 악성코드 Hash 목록이다. 




* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.



이 글을 공유하기

댓글(0)