티스토리 뷰

반응형

[Malware analysis] 정보 탈취형 멀웨어 Lokibot 분석


정보 탈취형 멀웨어인 로키봇(LokiBot)은 특히 악성 스팸 메일 캠페인을 통해 번지고 있으며, 주로 ISO 이미지 파일이 첨부되어 있다는 게 특징이다. 첨부 악성 파일은 악성 실행 파일(.exe)이 포함된 압축파일(.zip) 혹은 문서 파일(.docx, .xls, .pptx)이 있다.

로키봇 악성코드는 사용자 PC의 메일, 웹 브라우저, 패스워드 관리 프로그램 등의 사용자 정보를 수집한다. 또 사용자 몰래 C&C서버에 접속해 탈취한 사용자 정보를 전송하고 더 나아가 사용자 PC를 원격 조종해 추가적인 악성 행위 시도를 한다


해당 파일의 해시 값 조회 시 60곳에서 악성코드로 진단이 되고 있다.


문자열 조회 시 select문을 이용하여 사용자정보를 조회하는 문자열을 확인할 수 있다.


살펴보면 DLL을 디코딩 하는 것을 확인할 수 있으며, 함수를 불러오는 것을 확인할 수 있다.


정보 탈취 루틴 부분으로 EBP+C[0x4092CC]을 살펴보겠다.


1. FireFox 탈취

파이어폭스 정보를 탈취하는 것을 확인할 수 있다. 분석 환경에서 FireFox를 설치하여 탈취 정보를 살펴보겠다.


살펴보면 HKEY_LOACL_MACHINE와 SOFTWARE/Mozzilla/Mozilla Firefox 및 CurrentVersion 확인할 수 있다. SHGetValue()을 이용하여 해당 경로에서 FireFox 버전 정보를 탈취 시도하는 것을 확인할 수 있다.


하위 키에서 Install Directory 값을 얻는 것을 확인할 수 있다.



login 관련 정보와 Profiles.ini 파일에서 “Profile”을 조회하여 자격 증명을 탈취하는 것을 확인할 수 있다.



2. 다수 브라우저

탈취 루틴 주소를 살펴보면, IceDragon 브라우저 설치경로를 레지스트리에서 조회하는 것을 확인할 수 있다.



다음 탈취 루틴 주소를 보게 되면, Safari 브라우저 설치경로를 레지스트리에서 조회하는 것을 확인할 수 있다. 

Keychain, Plutil등을 탈취하는 것을 확인할 수 있다


이후 탈취 루틴을 통해 K-Meleon, SeaMonkey), Flock, Black Hawk, Lunascape, 다수 브라우저등 여러 브라우저 정보를 탈취 시도하는 것을 확인할 수 있다.



여러 탈취 루틴 주소 중 0x407AA2 주소에서는 분석 환경에 설치된 Chrome의 Login Data를 수집하는 것을 확인할 수 있었다.

이 외에도 Titab Browser, YandexBrowser, CocCoc, 360Browser, Opera, QupZilla 등 다수 브라우저 및 Windows Vault에서 자격 증명 등 탈취 시도를 확인할 수 있었다