라자루스 그룹은 Dtrack이라는 악성코드로 컴퓨터 내 정보 탈취를 목적으로 악성 행위를 수행한 적이 있다. 해당 악성코드는 ATM 등에서도 활발히 사용되어 카드 정보 등을 탈취하려는 시도도 존재했었다.
본 글에서는 해당 Dtrack 악성코드를 분석한다.
먼저 분석한 악성코드의 정보는 아래와 같다. 비주얼C/C++을 이용해 컴파일 되어있다.
악성코드는 크게 세가지 행위를 수행한다. 악성코드 내에서 행위를 수행할 때 사용할 함수를 불러오는 것을 첫번째로 수행한다. 이후로 악성코드가 실행된 피해자 PC 내의 정보들을 탈취하고 최종적으로 공격자의 C2(Command and Control) 서버에 연결해 탈취한 정보들을 전송하는 형식이다.
제일 먼저 악성행위에서 사용할 함수들을 불러오는 함수에는 아래와 같은 코드가 존재한다. 아래 코드는 해당 함수의 일부분이다.
이후에 정보를 탈취하는 함수 부분에서는 각종 정보를 탈취하는데, 가장 먼저 컴퓨터명부터 탈취한다.
컴퓨터명 탈취 이후에는 각각 시스템 소유자, 시스템 내 명시된 조직명(회사 등), OS의 설치 날짜를 레지스트리키를 열어 탈취한다.
그 후에는 gethostname, gethostbyname 등의 함수를 통해 피해자 PC의 IP 주소를 탈취한다. 해당 IP 주소는 이후에 C2서버와 연결에서도 사용되지만 임시폴더의 이름으로도 사용된다.
해당 IP 주소를 탈취한 뒤 IP주소를 이용해 폴더를 생성한다. 생성되는 폴더는 시스템의 %TEMP% 아래 "temp" 폴더를 생성한 뒤 해당 경로 아래에 생성된다. 또한, 해당 "temp" 폴더 아래에 각종 탈취 정보를 저장하는 파일을 생성한다.
이후에는 아래 표와 같이 수행한 명령들을 각자 파일명으로 저장한다.
| 파일명 | 수행 명령 |
| res.ip | ipconfig /all , 피해자 PC의 네트워크 정보 탈취 |
| task.list | tasklist , 피해자 PC의 수행 프로세스 목록 탈취 |
| netstat.res | netstat -naop tcp , tcp 연결로 연결된 목록과 연결을 기다리는 목록 탈취 |
| netsh.res | netsh interpace ip show config , 현재 피해자 PC의 네트워크 인터페이스 정보 및 구성 정보 탈취 |
이후 피해자 PC의 Documents and Settings로 부터 브라우저 히스토리 및 프로파일 또한 탈취한다. 대상이 되는 브라우저는 크롬과 파이어폭스이다.
브라우저 히스토리 및 프로파일까지 탈취한 이후에는 C2서버로 연결을 시도한다. C2 서버는 아래와 같다.
| Command and Control server : 172.22.22.156, 10.38.1.35 |
또한 피해자 PC의 볼륨정보, 드라이브 정보를 탈취한다.
이후에 [C8A30E9D-(피해자PC IP주소)] 파일 명으로 파일을 생성하고 해당 파일에 볼륨정보와 드라이브 정보를 저장하는 것으로 보여진다.
이후 "10.38.1.35" IP의 공유 폴더에 KKNPP\\administrator의 user ID와 su.controller5kk의 password로 권한을 갖고 접속해 탈취한 볼륨 정보 및 드라이브 정보를 저장하는 것으로 보인다. 같은 정보가 있다면 덮어씌워 버리며 모든 행위 후에는 접속을 끊는다.
이후에 localhost 주소로 핑을 3번 보내며 악성행위를 끝낸다.
'Analysis' 카테고리의 다른 글
| 32. Lazarus Graph (0) | 2020.03.24 |
|---|---|
| 31. Lazarus's Ratankba (0) | 2020.01.21 |
| 29. Konni's 답변서.hwp (0) | 2019.12.17 |
| 28. Lazarus's 한국국가정보학회 학회장 선거공고.hwp (0) | 2019.12.09 |
| 27. Monero coin stealer (0) | 2019.11.26 |
