ViRobot

하우리샵 바로가기

보안이슈 분석

대학교 문의사항 메일로 위장한 악성코드 감염 주의
등록일 : 2017.08.31

□ 개요

최근 입사지원 메일의 유포에 이어 한 대학교의 문의사항 내용으로 위장한 악성코드가 발견되었다. 능숙한 한국어로 작성된 이메일의 내용과 첨부파일이 포함되어 유포가 되었으며, 첨부파일 또한 EGG 압축 파일로 이루어져있다. 압축파일에는 문의사항(김민지).doc.lnk”, “사진캡처1.jpg.lnk”, “사진캡처2.jpg.lnk”, “사진캡처3.jpg.lnk” 바로가기 파일을 통해 숨김 속성을 가진 악성파일을 실행시킨다. 해당 악성코드는 winlog.exe라는 파일명으로 유포되고 있으며, 비너스락커 랜섬웨어 유포방식과 유사점이 발견되었다. 또한 입사지원 메일 유포방식과 정확히 일치하다.

 

 

□ 내용

이번에 발견된 악성코드는 한 대학교의 문의사항 내용으로 위장한 이메일에 김민지문의사항.egg” 라는 파일을 첨부하였다. 자신을 16학번 김민지라 소개하며, 문의사항 내용으로 보이지만, 첨부파일에는 실제 악성코드가 담겨져있다.

 

[그림 1] 대학교 문의사항으로 위장한 메일 내용 

 

김민지문의사항.egg” 첨부파일은 문의사항.doc”, “사진캡처1.jpg”, “사진캡처2.jpg”, “사진캡처3.jpg” 파일이 첨부되어있으며, 이는 문서파일과 그림파일처럼 보이지만, 숨김속성의 악성파일을 실행하는 바로가기(.lnk)파일이다. 악성파일은 숨김속성으로 이루어져 있으며, 숨김속성의 경우 압축 해제시 환경에 따라 악성코드를 제외한 네 개의 바로가기 파일만 보일 수 있다.  

 

 

[그림 2] 숨김 속성의 악성파일 실행


이번에 발견된 바로가기 파일은 비너스락커 바로가기 파일의 특정경로 “C:\Users\l\Desktop\양진이\VenusLocker_korean.exe”와 일치하였다. 그 외에도 두 악성코드는 (1)유창한 한국어로 작성된 메일 내용, (2).EGG 압축파일, (3)바로가기 파일 사용, (4)지메일 계정 사용, (5)디코딩 및 인젝션 코드가 유사하다. 하지만 이메일에 첨부된 압축파일 암호 유무성, 악성코드의 숨김속성 등에서는 일부 차이가 있으며 이는 이전에 입사지원 내용으로 위장했던 이메일의 유포방식과 정확히 일치하였다.

 

[그림 3] 바로가기 파일 비교

 

실행하는 악성코드는 실제 비너스락커의 행위를 하는 악성코드가 아닌 백도어의 RAT 악성코드이다.  

바로가기 파일을 실행할 시 악성코드가 실행되며 아래와 같이 숨김속성의 자가복제,

부팅시 자동실행을 위한 레지스트리 등록, 키보드 입력 값을 암호화하여 저장하는 등의 행위를 한다.


자가복제 경로 :

1. %temp%\악성코드파일명\악성코드파일명.exe (숨김속성) 

2. C:\Users\사용자명\AppData\Roaming\Program Files\csrss.exe (숨김속성)

 

레지스트리 경로 :  

키 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run 

이름 : csrss 

값 : C:\Users\사용자명\AppData\Roaming\Program Files\csrss.exe 

 

키로깅 경로 :

C:\Users\사용자명\AppData\Roaming\Imminent\Logs\D-M-Y(ex.29-08-2017) 

 

[그림 4] 키보드 입력 값이 실시간으로 암호화되어 저장

 

최근 국내 사용자를 위협하는 맞춤형 악성 메일이 발견되고 있어 사용자들의 각별한 주의가 필요하다.

 

바이로봇 업데이트 내역

 Trojan.Win32.Agent 외 다수

 

※ 관련링크 - <입사지원 메일로 위장한 악성코드>

http://www.hauri.co.kr/information/issue_view.html?intSeq=324&page=1&article_num=258  

 

 

목록
본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다.
- 정보사용 문의 : 1:1상담