인터파크 해킹에 악용된 백도어 악성코드 분석해보니...

Backdoor 악성코드, 화면보호기 활성화 시켜 사용자 속여

[보안뉴스 김태형] 지난 5월 대형 인터넷 쇼핑몰 인터파크에서 회원 1,030만명의 개인정보가 유출되는 사고가 발생했다. 지난 25일 언론에 보도되면서 세상에 알려진 이 사건은 내부직원이 메일에 첨부된 악성코드를 실행시켜 해당 PC가 감염됐고 이로 인해 DB 정보가 탈취된 것으로 알려졌다.

이와 관련 블로그 ‘securityfactory(securityfactory.tistory.com)’ 운영자는 이번 사건에서 내부 직원 PC를 감염시킨 백도어(BackDoor) 악성코드를 자세히 분석한 자료를 공개했다. 본지는 운영자의 동의를 얻어 악성코드 분석내용을 소개한다.

이번 악성 메일에 첨부되었던 파일은 ‘우리가족.abcd.scr’이다. 이 파일을 실행시키면 특정 경로에 ‘msoia.exe’ 파일을 생성해 실행시킨다. 그 다음 특정 경로에 ‘우리가족.abcd.scr’ 파일을 생성하게 되는데, 여기서 파일 이름은 같지만 동일한 파일이 아니다.

그 다음 msoia.exe는 특정 경로에 ‘ielowutil.exe’를 생성하고 실행시킨다. ‘ielowutil.exe’는 공격자 서버와 통신을 시도하고 연결이 이루어지면 명령 코드를 전달받아 악성행위를 수행하게 한다.‘우리가족.abcd.scr’은 화면보호기를 활성화시켜 악성코드에 감염되었다는 사실을 숨긴다. 여기서 .scr은 화면보호기 확장자명이다.

악성코드 행위 정보
‘우리가족.abcd.scr 파일’ 실행화면을 보면 백그라운드로 동작하기 때문에 가시적으로 보이진 않지만 프로세스 모니터링 도구를 사용해 감염된 것을 확인할 수 있다.

▲ 악성코드 감염 확인

파일확장자가 .scr이기 때문에 일반 사용자는 화면보호기 파일이라고 속기 쉽다. 그러나 우리가족.abcd.scr은 실행파일이다. 해당 파일은 특정 경로에 추가적으로 악성코드를 드롭(Drop)하고 각 파일들을 실행시킨다. 다음은 추가 악성코드가 Drop되는 정보이다.

▲ msoia.exe 파일 생성 확인

▲ 우리가족.abcd.scr 파일생성 확인

‘msoia.exe’는 ‘C:\Users\Administrator\AppData\Local\Microsoft\Internet Explorer\IECompatData’ 경로에 ‘ielowutil.exe’이라는 이름으로 자신의 복제본을 생성하고 실행시킨다. 실질적인 악성행위는 모두 'ielowutil.exe'에서 이루어지는데, ‘ielowutil.exe’는 서버와 통신을 시도한다. 내부에 가지고 있는 서버는 온두라스, 대만, 뉴질랜드에 있는 것으로 파악됐다.

▲ ielowutil.exe 파일 생성 확인

해당 파일은 통신이 정상적으로 이루어지고 서버에서 명령 코드를 전달 받아야 악성행위를 한다. 현재 해당 서버 IP는 모두 차단되었기 때문에 정확한 분석은 어렵다. ‘ielowutil.exe’는 공격자 서버에서 전달하는 명령 코드에 따라 10가지 악성행위를 한다. 명령 코드 확인용 데이터는 파일 내부에 존재한다.

▲ 명령코드 확인용 데이터

명령 코드에 따른 정보는 아래와 같다. 한편, ‘C:\Users\Administrator\AppData\Local\Temp’ 경로에 생성되는 ‘우리가족.abcd.scr’은 화면보호기를 활성화시키고 일반사용자들을 속이기 위한 것으로 보인다. 보다 세부적인 악성코드 정보는 티스토리 ‘securityfactory(securityfactory.tistory.com)’ 블로그에서 확인할 수 있다.

▲ 악성코드에 따른 정보

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)