[Malware analysis] 정보 탈취형 멀웨어 Lokibot

[Malware analysis] 정보 탈취형 멀웨어 Lokibot 분석

정보 탈취형 멀웨어인 로키봇(LokiBot)은 특히 악성 스팸 메일 캠페인을 통해 번지고 있으며, 주로 ISO 이미지 파일이 첨부되어 있다는 게 특징이다. 첨부 악성 파일은 악성 실행 파일(.exe)이 포함된 압축파일(.zip) 혹은 문서 파일(.docx, .xls, .pptx)이 있다.

로키봇 악성코드는 사용자 PC의 메일, 웹 브라우저, 패스워드 관리 프로그램 등의 사용자 정보를 수집한다. 또 사용자 몰래 C&C서버에 접속해 탈취한 사용자 정보를 전송하고 더 나아가 사용자 PC를 원격 조종해 추가적인 악성 행위 시도를 한다

해당 파일의 해시 값 조회 시 60곳에서 악성코드로 진단이 되고 있다.

문자열 조회 시 select문을 이용하여 사용자정보를 조회하는 문자열을 확인할 수 있다.

살펴보면 DLL을 디코딩 하는 것을 확인할 수 있으며, 함수를 불러오는 것을 확인할 수 있다.

정보 탈취 루틴 부분으로 EBP+C[0x4092CC]을 살펴보겠다.

1. FireFox 탈취

파이어폭스 정보를 탈취하는 것을 확인할 수 있다. 분석 환경에서 FireFox를 설치하여 탈취 정보를 살펴보겠다.

살펴보면 HKEY_LOACL_MACHINE와 SOFTWARE/Mozzilla/Mozilla Firefox 및 CurrentVersion 확인할 수 있다. SHGetValue()을 이용하여 해당 경로에서 FireFox 버전 정보를 탈취 시도하는 것을 확인할 수 있다.

하위 키에서 Install Directory 값을 얻는 것을 확인할 수 있다.

login 관련 정보와 Profiles.ini 파일에서 “Profile”을 조회하여 자격 증명을 탈취하는 것을 확인할 수 있다.

2. 다수 브라우저

탈취 루틴 주소를 살펴보면, IceDragon 브라우저 설치경로를 레지스트리에서 조회하는 것을 확인할 수 있다.

다음 탈취 루틴 주소를 보게 되면, Safari 브라우저 설치경로를 레지스트리에서 조회하는 것을 확인할 수 있다. 

Keychain, Plutil등을 탈취하는 것을 확인할 수 있다

이후 탈취 루틴을 통해 K-Meleon, SeaMonkey), Flock, Black Hawk, Lunascape, 다수 브라우저등 여러 브라우저 정보를 탈취 시도하는 것을 확인할 수 있다.

여러 탈취 루틴 주소 중 0x407AA2 주소에서는 분석 환경에 설치된 Chrome의 Login Data를 수집하는 것을 확인할 수 있었다.

이 외에도 Titab Browser, YandexBrowser, CocCoc, 360Browser, Opera, QupZilla 등 다수 브라우저 및 Windows Vault에서 자격 증명 등 탈취 시도를 확인할 수 있었다

3. 계정 탈취

탈취 루틴을 통해 웹 브라우저 정보를 탈취한 후 다른 정보를 탈취하는 것을 확인할 수 있다. 먼저 GetUserName()을 이용하여 해당 PC의 유저 명 정보를 탈취한다.

GetComputerName()을 이용하여 컴퓨터 이름을 탈취하는 것을 확인할 수 있다.

현재 쓰레드에 대한 핸들을 얻거나 프로세스를 얻는 것을 시도하는 걸 확인할 수 있으며, 이전 탈취한 정보를 가지고 SID 값을 얻어오는 것을 확인할 수 있다.

GetDesktopWindow()을 이용하여 바탕화면 핸들을 얻은 후 GetWindowRect()을 통해 윈도우 화면 좌표 값으로 위치 정보를 얻는 것을 확인할 수 있다. 즉, 실행 중인 윈도우 창에 대한 탈취 시도를 한다

이전 탈취한 계정 정보가 관리자 권한을 가지고 있는지 확인하는 걸 알 수 있다.

4. C&C

살펴보면 인코딩 된 C&C 주소는 디코딩 되는 것을 확인할 수 있다.

디코딩 된 C&C 주소의 도메인 이름, 포트 및 URI를 확인할 수 있다.

살펴보면 Socket()을 이용하여 소켓 생성 후 연결된 소켓과 C&C가 통신을 한다. 하지만 현재 C&C 주소가 연결이 되지 않는 것을 확인할 수 있으며, 정상적으로 연결이 되었을 경우 send(), recv()을 이용하여 통신이 이루어지는 것을 알 수 있었다.

5. 파일 속성 변경

이후 분석 진행 시 파일명은 뮤텍스의 문자를 이용하여 만든 것을 알 수 있으며,“LokiBot.exe”을 %APPDATA%의 특정 폴더를 생성한 후 해당 파일의 명을 변경시켜 이동시키는 것을 확인할 수 있다. 

이동시킨 파일과 폴더는 SetFileAttributes()을 이용하여 속성 변경을 통해 숨기는 걸 확인할 수 있다.