ZeusBot 변종 악성코드 분석 보고서 



1. 개요

ZBot 이라고 알려진 제우스 봇은 유명한 상용 해킹 툴로써 2007년 이래로 지금껏 활동을 이어오고 있다주로 이메일이나 소프트웨어 취약점을 이용해 전파되며감염된 PC를 쉽게 제어 할 수 있는 C&C 서버 프로그램을 제공한다또한 악성코드를 생성 할 때 자세한 사항을 설정할 수 있는 빌더를 제공하고 있어 감염 방지에 어려움이 따른다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

fc6b9.exe

파일크기

450,560 byte

진단명

Trojan-Spy/W32.ZBot.450560.P

악성동작

인증서 탈취파일 생성실행, C&C, 인젝션

네트워크

78.***.**.114 






 




2-2. 유포 경로

ZBot은 감염PC 봇넷을 생성·관리하는 하나의 해킹 서비스를 말한다많은 변종과 함께 목적에 따라 다양한 유포 및 감염 방식을 취하고 있어 유포경로를 특정 짓기 어렵다.



2-3. 실행 과정

제우스 봇의 변종 중 하나인 fc6b9.exe 는 실행 시 시스템폴더 하위에 정상 ntos.exe 파일을 자신으로 교체한다또한 동일폴더 하위에 wsnpoem 폴더를 생성하고 이곳에 audio.dll 과 video.dll 파일을 생성하여 악성동작에 활용한다이 두 파일은 .dll 확장자를 갖고 있지만 단순 데이터 파일이다.


또한 이 악성코드는 윈도우 정상 프로세스 winlogon.exe 와 explorer.exe 에 인젝션되어 실행되기 때문에 사용자가 감염사실을 인지하기 어렵다.




3. 악성 동작

3-1. 보안 프로그램 종료 시도

fc6b9.exe 는 현재 실행중인 프로세스의 실행 파일명을 기준으로 해당 프로세스 종료를 시도한다대상 프로세스는 outpost.exe 와 zlclient.exe 로 모두 방화벽 프로그램이다.

 



[그림보안 프로그램 종료 시도


3-2. 인증서 탈취

ZBot은 PC에 저장된 인증서를 탈취하는 동작을 한다. PFXExportCertStore 함수는 PC에 저장된 인증서는 물론해당 인증서에 쌍을 이루는 개인 키까지 탈취할 수 있다.



[
그림인증서 탈취



3-3. 암호화된 설정파일

ZBot 만의 특징적인 활동으로 C&C 서버에 저장된 설정파일을 다운로드 한다대게 이 파일은 cfg.bin 이라는 파일명을 사용한다이 설정파일을 통해 아래와 같은 내용을 설정할 수 있다.


설정 항목

설명

timer_logs

감염PC 로그파일 서버 업로드 간격

timer_stats

감염PC 감염통계 서버 전송 간격

url_config

설정파일을 가져오기 위한 서버 URL

url_compip

감염PC를 등록하기 위한 서버 URL

encryption_key

설정파일을 암호화 하기 위한 키

[] ZBot 설정 항목


실제로 이 악성코드에서 audio.dll 파일을 설정을 저장하는 용도로 사용하고 있으며그 내용은 암호화 되어 기록된다.




[
그림설정 파일 다운로드 패킷




[
그림] audio.dll 파일의 내용




4. 결론

ZBot 은 이 악성코드만 전문적으로 추적하여 차단할 수 있는 웹사이트가 있을 정도로 많이 쓰이는 악성코드이지만실시간 탐지 및 차단에도 불구하고 현재까지 활발히 활동하는 악성코드이다매번 새로운 코드로 업데이트 되는 만큼 백신에 진단되기까지의 짧은 시간 동안 감염되는 경우가 많아 사용자의 주의가 요구된다.


위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[
그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[
그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect