Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보특정 시간안에 동작하는 POS 악성코드 분석
작성일 2015-04-17 조회 2518


1. 개요
POS(point of sale) 시스템을 타겟으로 하는 악성코드가 지속적으로 발견되는 가운데 특정 시간에 동작하는 POS 악성코드가 발견되었다.
해당 악성코드는 POS 시스템에 감염 될 경우 시스템 시간과 악성코드에 하드코딩 된 특정 시간을 비교하여 해당 시간을 초과하지 않을 경우 동작한다. POS 악성코드는 POS시스템의 메모리를 스캔하여 정규표현식으로 조회하여  카드번호를 탈취한다.


2. 분석

해당 악성코드는 2015년에 제작되어 유포되고 파일이다.




이번에 발견된 POS 악성코드는 특정 시간에 동작하는 특징을 가지고 있다. 아래 그림과 같이 GetLocalTime을 이용하여 시스템 시간을 가져오며 악성코드에 하드코딩 되어있는 "54E4B6D4"의 TimeStamp(1424275156, 2015년 2월 18일 수)를 비교한다. 2015년 2월 18일 이후에 POS 악성코드는 동작하지 않는다.






POS 악성코드는 시스템의 메모리를 가져오기 위해 Memdump.exe 파일을 이용하여 메모리를 가져온다.
Memdump.exe 파일은 D1abloH0rn의 그룹에서 배포(https://diablohorn.wordpress.com/downloads/)하는 메모리 덤프 도구로 해당 악성코드에서 사용하기위해 악용한것으로 보여진다.



Memdump.exe 파일을 이용하여 메모리를 스캔 후 memdump 폴더를 생성하여 해당 dmp파일로 저장한다.





POS 시스템의 메모리를 스캔한 dmp 파일을 이용하여 아래 그림과 같이 정규표현식을 이용하여 카드번호를 수집한다.



3. 정리
2015년 새롭게 발견된 POS 악성코드는 특정 시간안에 동작하도록 정교하게 제작되어졌다. 이러한 POS 시스템을 타겟으로 하는 악성코드의 형태가 새롭게 변종의 형태로 발견되고 있기 때문에 POS 시스템을 사용하는 사용자들은 제2의 피해를 막기위해 보안에 신경써야 할 것으로 보여진다.
POS 악성코드를 분석하며 확인된 사항으로 POS 시스템을 타겟으로 하는 조직은 악의적으로 사용 가능한 도구를 이용하였다. 온라인에서 쉽게 구할 수 있는 도구로 악의적인 형태로 활용할 수 있는 부분이 존재하기 때문에 이와 같은 도구에 대해 2차피해를 막기위한 방안이 필요하다.
 

4. Sniper APTX 탐지
현재 Sniper APTX에서는 아래와 같이 악성으로 탐지하고 있다.




 

첨부파일 첨부파일이 없습니다.
태그