TradingView.exe ( Backdoor ) 분석

 

 

Viroustotal 평판 조회 및 Detail 세부 사항 내 해당 파일명과 동일하게 리스트업이 되어있음을 확인
또한 , 해당 파일의 속성 값 [자세히] 부분에 원본 파일의 이름과 상이하다는 것을 알 수 있음
 

 
 

프로세스 실행 및 통신 시도 
분석 내용: 코드 실행 과정에서 특정 도메인과의 통신을 시도하는 정황이 포착됨.
발견 데이터: * hxxps://dumpster.console.gotoresolve.com
공격자가 제어하는 GoTo Resolve 관리 콘솔로 PC 상태를 전송하거나 명령을 대기하기 위한 통신 채널임.

 
 
 

인증 키 저장: Customer key saved in registry..라는 문자열이 메모리 덤프에서 확인됨. 이는 공격자의 계정으로
이 PC가 등록될 수 있는 로직임을 의미함.

 
 
 
 

원격 제어 도구의 무단 설치 및 설정 
분석 내용: 사용자 동의 없이 시스템 깊숙한 곳에 원격 접속을 위한 설정값을 주입함.
레지스트리 조작: SOFTWARE\GoTo Resolve Unattended\ 경로 확인. 'Unattended(비상주)' 모드는 사용자 승인 없이 언제든 원격 접속이 가능하도록 뒷문(Backdoor)을 여는 설정임.
 

추가 확인 : 1. 윈도우 표준 API인 CreateProcessW를 호출하여 실제 악성 행위를 수행하는 하위 프로세스를 실행함.

                 2. 주소 00E3F63B에서 call dword ptr ds:[<CreateProcessW>] 명령어가 실행됨을 확인 및
                     시도한 ebp-838 표현식 확인 결과, 실행 인자값을 동적으로 조립하여 백신의 정적 탐지를 우회하려는 시도가 확인됨.
 
결론 : GoTo Resolve(구 LogMeIn) 기반 RAT (Remote Access Trojan)
* TradingView.exe ( 기업 주식 차트 관련 프로그램 ) 을 위장한 GoTo Resolve(구 LogMeIn) 취약점이 존재하는 원격제어 프로그램을 재구성한 악성 실행파일