악성 파일 정보

[악성코드 분석] 인증서 탈취, ZeusBot 변종 악성코드 주의

ZeusBot 변종 악성코드 분석 보고서 



1. 개요

ZBot 이라고 알려진 제우스 봇은 유명한 상용 해킹 툴로써 2007년 이래로 지금껏 활동을 이어오고 있다주로 이메일이나 소프트웨어 취약점을 이용해 전파되며감염된 PC를 쉽게 제어 할 수 있는 C&C 서버 프로그램을 제공한다또한 악성코드를 생성 할 때 자세한 사항을 설정할 수 있는 빌더를 제공하고 있어 감염 방지에 어려움이 따른다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

fc6b9.exe

파일크기

450,560 byte

진단명

Trojan-Spy/W32.ZBot.450560.P

악성동작

인증서 탈취파일 생성실행, C&C, 인젝션

네트워크

78.***.**.114 






 




2-2. 유포 경로

ZBot은 감염PC 봇넷을 생성·관리하는 하나의 해킹 서비스를 말한다많은 변종과 함께 목적에 따라 다양한 유포 및 감염 방식을 취하고 있어 유포경로를 특정 짓기 어렵다.



2-3. 실행 과정

제우스 봇의 변종 중 하나인 fc6b9.exe 는 실행 시 시스템폴더 하위에 정상 ntos.exe 파일을 자신으로 교체한다또한 동일폴더 하위에 wsnpoem 폴더를 생성하고 이곳에 audio.dll 과 video.dll 파일을 생성하여 악성동작에 활용한다이 두 파일은 .dll 확장자를 갖고 있지만 단순 데이터 파일이다.


또한 이 악성코드는 윈도우 정상 프로세스 winlogon.exe 와 explorer.exe 에 인젝션되어 실행되기 때문에 사용자가 감염사실을 인지하기 어렵다.




3. 악성 동작

3-1. 보안 프로그램 종료 시도

fc6b9.exe 는 현재 실행중인 프로세스의 실행 파일명을 기준으로 해당 프로세스 종료를 시도한다대상 프로세스는 outpost.exe 와 zlclient.exe 로 모두 방화벽 프로그램이다.

 



[그림보안 프로그램 종료 시도


3-2. 인증서 탈취

ZBot은 PC에 저장된 인증서를 탈취하는 동작을 한다. PFXExportCertStore 함수는 PC에 저장된 인증서는 물론해당 인증서에 쌍을 이루는 개인 키까지 탈취할 수 있다.



[
그림인증서 탈취



3-3. 암호화된 설정파일

ZBot 만의 특징적인 활동으로 C&C 서버에 저장된 설정파일을 다운로드 한다대게 이 파일은 cfg.bin 이라는 파일명을 사용한다이 설정파일을 통해 아래와 같은 내용을 설정할 수 있다.


설정 항목

설명

timer_logs

감염PC 로그파일 서버 업로드 간격

timer_stats

감염PC 감염통계 서버 전송 간격

url_config

설정파일을 가져오기 위한 서버 URL

url_compip

감염PC를 등록하기 위한 서버 URL

encryption_key

설정파일을 암호화 하기 위한 키

[] ZBot 설정 항목


실제로 이 악성코드에서 audio.dll 파일을 설정을 저장하는 용도로 사용하고 있으며그 내용은 암호화 되어 기록된다.




[
그림설정 파일 다운로드 패킷




[
그림] audio.dll 파일의 내용




4. 결론

ZBot 은 이 악성코드만 전문적으로 추적하여 차단할 수 있는 웹사이트가 있을 정도로 많이 쓰이는 악성코드이지만실시간 탐지 및 차단에도 불구하고 현재까지 활발히 활동하는 악성코드이다매번 새로운 코드로 업데이트 되는 만큼 백신에 진단되기까지의 짧은 시간 동안 감염되는 경우가 많아 사용자의 주의가 요구된다.


위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[
그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[
그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



댓글

댓글쓰기

악성 파일 정보 관련된 글

관련글 더보기