ATM 멀웨어

최근에 이슈가 된 ATM 악성코드(인터넷 샌드박스 사이트에서 다운로드 가능)가 white-listing security solution를 우회할 수 있는 기능이 있는 궁금하여 분석을 수행하고 있으며, 샘플로 받은 파일과 이 파일에서 드랍되는 3개 파일에 대해서 분석을 하고 있음.

분석한 악성코드 4개를 보면,

  1. java.exe는 C2통신용도(443번 포트를 사용하지만, SSL 암호화는 하지 않음.)
    • C2 IP와 통신용 포트로 443를 사용하지만, SSL로 암호화하지 않음.왠지 443포트가 외부에 허용되어 있는 정책 등을 고려하여 만든 것이 아닐까 싶음.
    • CMD 명령어를 사용하여 특정 프로그램을 실행하는 기능를 보유하고 있음.
  2. sample_atm.exe, javaupdate.exe, 그리고 sample_atm.exe(원래파일과 이름이 같음)는 정상적인 ATM 바이너리를 포함하고 있음.
    • 메시지 후킹을 담당하는 sample_atm.exe(javaupdate.exe가 드랍한 파일,MD5: 492AE026C41D516F107055E0487BE328)는 자기 자신의 다이얼로그, 메시지박스 등에서 발생한 입력값을 후킹 함. ATM기기에 맞게 후킹메시지를 처리 함.
    • 특히, 일반적으로 setwindowshook API는 메시지 후킹을 처리하는 프로시저를 갖고 있는 별도의 DLL파일을 지정하거나, 다른 쓰레드 및 프로세스를 지정하지만, 여기서는 후킹처리 프로시저가 악성코드내에 내장되어 있으며, 후킹 처리 대상 또한 자기 자신 임. 즉, sample_atm.exe는 정상적인 atm 프로그램의 기능을 갖고 있는 것으로 추정되며, 이 악성코드의 PE헤더의 생성 날짜를 보면 2017.02월에 컴파일 된 것으로 추정 됨. 이 부부도 시사한 점이 있지만, 추정이라서 노코멘트..

sample_atm.exe(MD5): 4C9A343510E9B1F78E98DDC455E9AB11

java.exe(MD5): 5C3F89ABFA560DECECF1B46994290D3F

javaupdate.exe(MD5): 34FD02BE8006614F7B1BAE4D453E19F4

sample_atm.exe(MD5): 492AE026C41D516F107055E0487BE328

Screen Shot 2017-04-12 at 6.49.39 AM

아래 이미지는 4C9A343510E9B1F78E98DDC455E9AB11와492AE026C41D516F107055E0487BE328 파일에 대해서 바이너리 비교를 한 것이며, 두 개의 파일을 보면 상단과 하단에서만 차이가 있고, 중간은 같은 코드인 것을 알 수 있고, 중간에 위치한 코드가 ATM관리 코드로 추정된다. Screen Shot 2017-04-09 at 9.20.41 AM.png

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

%d 블로거가 이것을 좋아합니다: