[Malware analysis] Poulight Stealer 인포스틸러 악성코드

[Malware analysis] Poulight Stealer 인포스틸러 악성코드 

참조

> https://isarc.tachyonlab.com/3075

정보 탈취형 악성코드 Poulight Stealer 이며, 해당 악성코드의 주요 행위에 대해 작성하겠습니다.

파일 확인 시 닷넷(.net)으로 제작 된 파일인 것을 확인할 수 있다. 닷넷 디버거를 이용하여 살펴보겠습니다.

(그림 1)

해당 파일을 main 부분을 살펴보면 Check Vm 이라는게 보이며 가상환경 유무를 확인하는지 예상할 수 있다.

먼저 CheckVM()을 살펴보자.

(그림 2)

"Select * from Win32.ComputerSystem"이라는 쿼리문을 확인할 수 있다. 이후 vmware, VIRTUAL, VirtualBox, sbiedll.dll(snadboxie), snxhk.dll(Avast sandbox), Sxln.dll(Avast snadbox), Sf2.dll(Avast Sandbox) 문자열을 통해 가상머신 환경 유무를 식별한다.

(그림 3)

Anti-VM 확인 후 계속 진행 시 Starter Class가 시작되고, (그림 4, 5)을 보게되면 "C:\Users\JEONG\AppData\Local\[랜덤한 8개의 값]" 특정 폴더에 정보유출 관련 된 파일을 생성하는 것을 확인할 수 있다.

(그림 4)

(그림 5)

이후 리소스 String0에 Base64로 인코딩 된 파일을 Export 및 디코딩하는 것을 알 수 있다.

(그림 6)

해당 부분은 뮤텍스를 통해 중복 감염을 확인한다.

(그림 7)

(그림 8)을 보게되면 내부 루틴을 통해 정보를 수집하고 C&C 통신 및 추가 다운로드등 악성 행위를 수행하는 걸 확인할 수 있다.

영어와 러시아어를 사용하여 hw 및 sw 정보 수집, 프로세스 목록, ClipBoard 수집, Desktop & Webcam snapshot, Sensitive Documents,  Filezilla, Discord, Telegram, Skype, Steam, Chrome등 수집을 확인할 수 있다.

(그림 8)

몇개만 살펴보면 (그림 9)에서는 특정 확장자를 가진 파일이 특정 키워드가 포함되어 있으면 수집하라는 조건이 있는 걸 확인할 수 있다.

(그림 9)

다음으로는 가상화폐 관련하여 지갑 파일을 찾기 위한 지갑 데이터 경로(strDataDir), 지갑 파일(wallet.dat)을 복사하는 것을 확인할 수 있다.

(그림 10)

마지막으로 수집한 정보를 특정 경로에 zip 파일로 압축하여 키워드별로 정리하고 Base64로 인코딩하여 C2 통신을 하는 것을 확인 할 수 있다.

Domain : hxxp://fff.gearhostpreview.com/ARMBot/log.php[204.246.56.80][US]

(그림 11)

이후 파일 다운로드가 있는데 연결이 되지 않아 파일을 얻을 수 없었다.

(닷넷으로 작성 된 파일은 처음 분석했는데 해당 디버거의 단축키나 기능을 아직까지는 잘 모르겠다.. Anti-vm, 수집 정보 특정 경로 파일 생성, 뮤텍스 중복 실행 방지, 다운로더, C2 정보 유출등 행위가 있었다.. 이렇게 분석하는게 맞나 모르겠다)