최근 저희는 Coyote라는 새로운 뱅킹 트로이 목마를 발견했습니다. 이 트로이 목마는 윈도우 애플리케이션의 설치 및 업데이트 관리를 위해 개발된 Squirrel Installer라는 도구/라이브러리를 활용합니다. 이 악성코드는 일반적인 뱅킹 트로이 목마보다 더욱 진화된 것으로 보이며, 앞으로 며칠 안에 더 높은 위협 수준에 도달할 가능성이 있습니다.
일부 배경 :
새롭게 발견된 이 트로이 목마는 브라질의 여러 은행을 표적으로 삼으며, 어떤 시장에 집중하고 있는지를 보여줍니다. 흥미로운 점은 Squirrel Installer가 관여한다는 것입니다. 초기 단계에서는 업데이트 패키저로 위장하여 실행되면 악성 코드를 사이드로딩합니다.
최종 페이로드는 .NET으로 작성되었습니다. Coyote Trojan은 CLR(공용 언어 런타임)을 로드하고 이를 통해 복호화된 어셈블리를 실행합니다. 이 모든 과정은 바이러스 백신 탐지를 피하기 위해 메모리에서 수행됩니다.
분석:
로드되는 악성 DLL을 검사한 결과, 거의 모든 파일의 내보내기가 동일한 코드를 가리키는 것을 발견했습니다. 이로 인해 실행 가능성이 높아질 수 있습니다(그림 1).
논의 중인 dll의 MD5 - 03eacccb664d517772a33255dff96020
그림 1. 내보내기에서 유사한 코드
On 동적 분석 의 DLL, 우리는 얻었다 an 엠실 메모리의 페이로드, 버려진 추가 분석을 위해.
그림 2. 엠실 메모리에서 추출됨
추출된 파일 – ae688dff6f64f1317af09641ae037300
MSIL 페이로드:
MSIL 파일을 정적으로 검사하면 인덱스에 따라 호출되는 base64 문자열 목록을 볼 수 있습니다.
그림 3. C인덱스에 따라 ode가 호출됨
그림 4. base64 문자열 표
이는 AES 난독화된 문자열입니다. 그 에 의해 해독됩니다 아래 루틴:
그림 5. AES 복호화 루틴
이 과정에서 각 배열은 64진수에서 변환됩니다. 처음 16바이트는 추출되어 array2에 할당되고, 나머지 배열은 array3이라는 암호화된 코드를 구성합니다. 각 파일은 고유한 키를 가지며, array2는 array3을 복호화하는 초기화 벡터 역할을 합니다.
동작 :
페이로드는 HKCU\Environment\UserInitMprLogonScript에 자체를 추가하여 지속성을 얻습니다.
그림 6. 추가 UserInitMprLogonScript 지속성을 달성하다
달리는 동안, it 소요 전에, 의 가치 전경창, 즉, 전에, 현재 화면 a 사용자가 작업 중입니다, 그리고 그것을 일부 은행 애플리케이션과 비교합니다. name, 애플리케이션에 하드코딩된 이름입니다. 제자리에있다 에 다른 브라질 은행 기관. If a 사용자 방문 그들 중 누구든지, 전에, 트로이 목마가 시도합니다 세우다 a 연결 전에, CNC 각 은행 애플리케이션 세부 정보, 기기 이름 등과 같은 일부 세부 정보가 포함된 서버입니다.
그림 7. 브라질 기관을 표적으로 삼다
명령 및 제어:
Coyote는 CnC에 연결하기 전에 리소스에서 내장된 X.509 인증서를 가져옵니다. 이 인증서는 암호화되어 통신 인증 및 암호화 프로세스에 사용됩니다.
그림 8. 통신용 수입 인증서
무화과9. 시도 CNC 연결하기 일단 전에, 사용자가 특정 웹사이트(은행 관련)를 방문합니다.
연결이 성공하면 공격자는 해당 작업이 포함된 응답 문자열을 보냅니다. 절대로 필요한 것 수행되다 전에, 감염된 시스템과 기타 세부 정보가 포함되어 있습니다. 이 응답 문자열은 이 포함되어 있습니다 무작위 구분 기호 분열 문자열.
무화과10. 수신된 문자열 데이터 처리 CNC
첫 번째 분할 문자열의 길이 결정하다 어떤 행동 전에, 트로이 목마는 받아 시스템에. 우리는 가지고 있습니다 관찰 25 주변 or 더 많은 작업 그 이를 뒷받침하고 있습니다.
무화과11. 조작 를 시청하여 이에 대해 더 많은 정보를 얻을 수 있습니다. 지정된 대로 감염된 시스템 전에, CNC 응답
코요테가 할 수 있는 몇 가지 행동 목록은 다음과 같습니다.
| 길이 | 동작 |
| 10 | 연결을 끊다 |
| 12 | 스크린샷을 찍어 서버에 업로드 |
| 14 | 창을 전경으로 설정 |
| 15 | 핸들로 식별된 창을 최소화합니다. |
| 16 | 창을 전면에 내보낸 다음 평소처럼 표시하려고 합니다. |
| 17 | 프로세스를 종료합니다 |
| 18 | 창 조작, 예: 최대화 |
| 21 | 핸들로 프로세스 시작 |
| 22 | 현재 사용자 공간에서 레지스트리 값을 설정합니다. |
| 23 | 클릭과 같은 마우스 동작 시뮬레이션 |
| 24 | 키보드 이벤트 시뮬레이션 |
| 26 | 데스크톱 창 관리자(DWM) 구성 비활성화 |
| 27 | 이 스레드에서 대리자를 실행합니다. |
| 31 | 키로깅 |
| 33 | 키보드 명령 처리 |
| 34 | 레지스트리 항목 반복 |
결론 :
Coyote Trojan은 은행 트로이 코드의 새로운 진화를 가져왔습니다. 악성 코드 저자들은 일반적으로 보았던 것보다 더 복잡한 새로운 기술을 사용합니다.
MITRE ATT&CK TTP:
| T.1583.004 | 인프라 확보 |
| T.1037.001 | 부팅 또는 로그온 초기화 스크립트 |
| T.1574.002 | DLL 사이드 로딩 |
| T1113 | 화면 캡처 |
| T1041 | C2 채널을 통한 유출 |
포착된 IOC:
5134e6925ff1397fdda0f3b48afec87b
bf9c9cc94056bcdae6e579e724e8dbbd
3f27458d01eb53991770f18983a11a52
c00d8ec2f585c6197b8083951c504e50
7608ab0f1f07dc5842800fdebb0c372c
03eacccb664d517772a33255dff96020
071b6efd6d3ace1ad23ee0d6d3eead76
276f14d432601003b6bf0caa8cd82fec
URL :
카필름뉴[.]닷컴
카로데루아[.]닷컴
페파피그데센호[.]닷컴
네넴베베[.]닷컴
자동차 전기[.]com
당신은 보호받고 있습니다:
Seqrite 엔진은 Coyote Trojan IOC를 Trojan.Coyote.S32693555 및 Trojan.Coyote.S32879971로 감지합니다.
저자:
키르티 크샤트리아
공저자:
프라실 문
