Neutrino bot 분석 




1. 개요 


봇넷(Botnet)은 네트워크에 연결되어 있으면서 제 3자에게 제어 권한을 빼앗긴 컴퓨터들의 집합을 말한다. 이러한 봇넷을 구성하는 봇(Bot)들은 공격자의 목적을 달성하기 위해 다양한 기능을 가지고 있으며, 주로 확장을 위한 추가 악성코드 다운로드와 DDoS(Distributed Denial of Service) 공격을 이루기 위한 flooding 공격 등 다양한 기능을 갖춘다. 해당 악성코드에서 다루게 될 Neutrino bot은 앞서 설명한 봇의 일종이며, 같은 이름을 가진 익스플로잇 킷(Exploit-kit) Neutrino EK를 활용하여 유포된다. 





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

neutrino.exe

파일크기

274,432 byte

진단명

Trojan/W32.Agent.274432.AIO

악성동작

C&C

네트워크

82.211.30.40:80

 



2-2. 유포 경로

해당 악성코드는 뉴트리노 익스플로잇 킷을 활용 한 인터넷 익스플로러(Internet Explorer)및 플래시 플레이어(Flash Player) 취약점을 통하여 유포된 것으로 알려진다.




2-3. 실행 과정

최초 감염시 아래 그림과 같이 C&C 서버에 아래와 같이 Base64로 인코딩 된 문자열 “enter”와 “success”를 HTTP 프로토콜로 주고받는다.


[그림 1] 감염 시 패킷[그림 1] 감염 시 패킷




그 후 곧바로 감염 PC의 정보를 보내고 screenshot 명령을 받아 감염된 시스템의 스크린샷을 전송한다.


[그림 2] screenshot 명령[그림 2] screenshot 명령


[그림 3] 스크린샷 전송[그림 3] 스크린샷 전송






3. 악성 동작

아래와 같이 C&C 서버에서 받은 내용을 cmd.exe를 통해 수행하는 명령 쉘(Command Shell)을 포함하고있다. 


[그림 4] 명령 쉘[그림 4] 명령 쉘




이 외 다른 봇넷을 제거하기 위한 용도로 보이는 기능과 추가 악성코드 설치와 사용자의 파일을 전송하는 등 다양한 기능을 포함한다.


[그림 5] 기타 기능[그림 5] 기타 기능





4. 결론

이러한 유형의 악성코드는 공격자의 목적을 이루기 위해 감염된 시스템의 자원을 공격자 마음대로 사용할 수 있기 때문에 사용자가 의도치 않게 네트워크 및 시스템의 부하를 일으킬 수 있다. 그러므로 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

금융정보 탈취 악성코드 분석 




1. 개요 


분석한 악성코드는 추가로 드롭한 악성 DLL을 로드하도록 윈도우 시스템 DLL 을 변조하여, 금융 정보 탈취와 변조를 시도 한다. 또한, 온라인 금융거래 시에 MITB(Man-In-The-Browser) 공격을 수행하여 목적을 달성한다. 


MITB 공격이란, 금융거래 시 사용자와 제공자 사이에서 거래 문서의 무결성(특히, JavaScript 코드의 무결성 검사)을 확인하지 않아 문서가 변조 됐어도 거래가 가능한 취약점을 노려 거래 과정에서 암호화되지 않은 구간의 민감한 정보를 탈취, 변조하는 공격이다.


이번 보고서에서는 MITB 공격을 수행하는 금융 정보 탈취 악성코드를 상세 분석하였다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

PrimePC.exe

파일크기

777,479 Bytes

진단명

Banker/W32.Agent.777479

악성동작

드롭퍼 (숙주파일)

 

구분

내용

파일명

[RANDOM_01].dll

파일크기

45,056 Bytes

진단명

Banker/W32.Agent.45056.D

주요 악성동작

보안 프로세스 동작 방해

 

구분

내용

파일명

[RANDOM_02].dll

파일크기

301,316 Bytes

진단명

Banker/W32.Agent.301316

주요 악성동작

금융 정보 탈취 및 변조

 

구분

내용

파일명

[RANDOM_03].dll

파일크기

28,672 Bytes

진단명

Banker/W32.Agent.28672.B

주요 악성동작

보안 프로세스 동작 방해

 

구분

내용

파일명

wshtcpip.dll (변조)

파일크기

19,456 Bytes

진단명

Virus/W32.Patched.Gen

악성동작

악성 DLL 로딩

 

구분

내용

파일명

midimap.dll (변조)

파일크기

18,944 Bytes

진단명

Virus/W32.Patched.Gen

악성동작

악성 DLL 로딩

 


2-2. 실행 과정

숙주 악성코드는 여러 파일을 드롭하고 다양한 동작을 수행한다. 세세한 동작을 제외한 주요 동작에 관한 큰 흐름은 아래 그림과 같다. 아래의 흐름도에서 [Random_c].dll[Random_d].dll변조 된 wshtcpip.dllmdidimap.dll 을 통해 로드 되어 악성행위를 수행한다.


[그림 1] 주요 동작 흐름[그림 1] 주요 동작 흐름


해당 악성코드는 일명 ‘메모리 해킹 악성코드’ 로 불린다. 이는 금융 거래 시에 암호화 되어 있어야 하는 민감한 정보들이 일시적으로 메모리 상에 복호화 되어 적재 되어 있는 데이터를 탈취/변조 하기 때문이다. 또한, 공격자는 금융 거래 시에 사용 되는 보안 모듈을 분석하여 해당 보안 모듈에서의 유의미한 데이터를 탈취하도록 했다.





3. 악성 동작


3-1. 파일 드롭

숙주 파일(본 보고서에서 PrimePC.exe) 실행 시 %TEMP% 경로 하위에 임의의 이름([tickCount].tmp)으로 생성한 임시 파일을 생성한다. 해당 임시 파일은 숙주 파일과 동일 한 파일로, 생성 이후 숙주 파일로 의해 다시 실행된다. 새로운 프로세스로 동작하는 임시파일은 숙주 파일의 내용을 변경하고, 또 다른 임의의 파일명을 가진 파일([tickCount].exe)을 %TEMP% 폴더 하위에 생성한다.


해당 파일은 다시 여러 파일을 드롭한다. 또한, 정상 wshtcpip.dll midimap.dll 을 변조하며, 특정 보안 모듈의 동작을 방해한다. 해당 파일이 드롭 하는 주요 파일은 아래와 같다. 


경로

파일 명

파일 크기

비고

%TEMP%

ahnmove.bat

-

자가 삭제 batch 파일

%TEMP%

[RANDOM_01].dll

45,056 Bytes

백신 프로세스에 DLL 인젝션,

코드 패칭

프로세스 종료

%TEMP%

%SYSTEM%

[RANDOM_02].dll

301,316 Bytes

변조 wshtcpip.dll 에 의해 로드

추가 모듈 다운로드

백신 동작 방해

온라인 뱅킹 관련 정보 탈취

%TEMP%

%SYSTEM%

[RANDOM_03].dll

28,672 Bytes

변조 midimap.dll 에 의해 로드
추가 파일 다운로드 및 실행

백신 동작 방해

%SYSTEM%

wshtcpip.dll

19,456 Bytes

변조 된 wshtcpip.dll

%SYSTEM%

midimap.dll

18,944 Bytes

변조 된 midimap.dll

(※ “%SYSTEMROOT%” 환경변수 경로를 편의상 줄여 “%SYSTEM%” 로 한다.)




3-2. 시스템 DLL 변조

윈도우 정상 DLL인 wshtcpip.dllmidimap.dll 을 악성 DLL로 변조한다. 변조 된 DLL 은 LoadLibrary 을 사용하여 각각 “[RANDOM_02].dll(295KB)” 과 “[RANDOM_03].dll(28KB)” 을 로딩 하는 역할을 한다. 그 외 나머지 부분은 정상 시스템 파일과 동일 하다. 로드 되는 특정 악성 DLL은 숙주파일로 부터 %SYSTEM% 폴더 하위에 이미 드롭 되어 있기 때문에 로드 될 수 있다.


이로 인해 wshtcpip.dll midimap.dll 을 기본적으로 로드하는 프로세스는 모두 추가적으로 “[RANDOM_02].dll” 과 “[RANDOM_03].dll” 까지 로드하게 된다.


[그림 2] 변조 된 wshtcpip.dll 에서 악성 DLL을 로드하는 과정[그림 2] 변조 된 wshtcpip.dll 에서 악성 DLL을 로드하는 과정




3-3. 백신 무력화

특정 보안 업체의 제품 설치 유무를 검사 한 뒤 존재하면 백신 프로그램 서비스를 중지시키고, 특정 보안 파일을 언로드 및 제거 한다.


[그림 3] 서비스 중지 및 드라이브 파일 제거[그림 3] 서비스 중지 및 드라이브 파일 제거




3-4. 프로세스 종료

변조된 wshtcpi.dll 에 의해 [RANDOM_02].dll 이 “iexplore.exe”에 로드 된 경우 특정 백신 업체의 제품 프로세스를 조회하여 종료시킨다. 또한 윈도우 타이틀의 이름이 특정 문자열과 맞을 경우 종료 메시지를 전달한다. 검사하는 윈도우 타이틀은 아래와 같다. 


검사하는 윈도우 타이틀

바람의 나라 – 고대 고구려

리니지 :: 보안&편의 서비스

액션쾌감!!! 던전앤파이터

메이플스토리

바람의나라

월드 오브 워크래프트

Dungeon & Fighter

Elsword

LineageWindows Client

 




3-5. 추가 파일 다운로드 및 실행

위와 마찬가지로 [RANDOM_02].dll 이 “iexplore.exe” 에 로드 된 경우, 추가 파일을 다운로드 및 실행한다. 다운로드 주소는 특정 알고리즘으로 인코딩 되어 있으며, 복호화 시 분석중인 샘플의 경우 “http://w**b.l***x.com:89/up4/jpg.rar” 과 같다. 해당 파일이 다운로드에 성공하면 실행된다.


[그림 4] 추가 파일 다운로드 시도 URL[그림 4] 추가 파일 다운로드 시도 URL


[그림 5] 추가 파일 다운로드[그림 5] 추가 파일 다운로드





3-6. 사용자 PC 정보 탈취

현재 PC의 정보를 수집하여 특정 URL로 전송한다. 수집하는 정보는 하기와 같으며, 분석 샘플의 대상 원격지는 http://a**f.8*****6.com:85 이다. 


수집 정보

해쉬화 된 PC 정보 (mac)

OS 정보 (os)

설치 된 보안 프로그램 명 (avs)

던전 앤 파이터 설치 여부 (ps)

실행 중인 프로세스 개수 (pnum)

 

 






3-7. 금융 정보 탈취

[RANDOM_02.dll] 이 “explorer.exe” 또는 “iexplore.exe” 에 로드되면 %TEMP% 폴더 하위에 nx1.dat 파일이 존재하는지 확인한다. 존재할 경우 해당 파일의 내용을 읽어 특정 원격지로 전송한다. nx1.dat 파일은 추후 NPKI 를 포함한 탈취 정보가 저장 된다.


[그림 7] 해당 프로세스에 로드 된 경우 특정 정보를 전송[그림 7] 해당 프로세스에 로드 된 경우 특정 정보를 전송



또한, 현재 로드 된 호스트 프로세스가 “dllhost.exe”, “I3GEX.exe” 가 아닌지 확인 한 뒤 금융정보 탈취 과정으로 진입한다. 탈취 과정은 새로운 스레드를 생성하여 동작한다.


[그림 8] 현재 인젝션 된 프로세스를 확인한 뒤 금융정보를 탈취 과정으로 진입[그림 8] 현재 인젝션 된 프로세스를 확인한 뒤 금융정보를 탈취 과정으로 진입



URL 주소에 “w*******k.com”, “b*****g.n******p.com” 문자열이 존재 할 경우, NPKI 탈취 동작과 특정 보안 업체의 DLL 을 후킹한다. 

NPKI 탈취 동작의 경우 여러 경로로 탐색을 시도하여 SignCert.der 과 SignPri.key 파일의 경로를 얻어온다.


[그림 9] 각 경로 별로 NPKI 관련 파일 탐색[그림 9] 각 경로 별로 NPKI 관련 파일 탐색




후킹의 경우 해당 모듈을 패치한 코드에서 이체 정보, 금융 정보 등을 탈취하며, 수집한 정보들을 조합하여 특정 원격지로 전송한다. 수집 할 수 있는 정보는 다음과 같다. 


수집 할 수 있는 정보

고유 해쉬 값 (zmac)

인증서 비밀번호 (zsp)

계좌 비밀 번호 (yhp)

이체 비밀 번호 (yhsp)

보안 카드 번호 (mbi)

보안 카드 값 (mbp)

NPKI 정보

프록시 IP 정보

 

 





4. 결론

해당 악성코드는 윈도우 정상 DLL 을 변조하여 금융 정보 탈취를 시도한다. 변조 대상이 되는 wshtcpip.dll 과 midimap.dll 은 일반적으로 사용되는 파일이므로 변조 시 더 큰 위협이 될 수 있다. 금융 정보 탈취로 인해 사용자는 금전적인 피해를 입을 수도 있다. 뿐만 아니라 추가적인 파일을 다운로드 할 수 있으므로 더욱 주의하여야 한다.

악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 최신 업데이트하여 PC 를 보호하여야 한다.


조그만 관심을 가지면 많은 피해를 예방할 수 있다. 위 악성코드는 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

바이러스와 웜 형태의 악성코드 'Mamianune' 상세 분석




1. 개요 


생물학에서 다루는 바이러스처럼 자기 자신을 다른 컴퓨터에 전염 시키는 특성을 갖고있는 바이러스(Virus) 악성코드는 다른 실행 파일에 코드나 파일 형태로 기생한다. 그렇기에 감염된 파일을 치료하기 위해선 감염 형태를 분석해야 한다. 본 보고서에선 바이러스와 웜 형태로 전파되는 악성코드 ‘Mamianune’의 감염 동작을 분석하고 바이러스들이 전파 되는 방식을 담았다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Mamianune.exe

파일크기

20,027 Bytes

진단명

Virus/W32.Mamianune

악성동작

파일 바이러스

다운로더

 



2-2. 유포 경로

E-mail 웜 기능과 파일 바이러스 기능을 모두 가지고 있는 해당 악성코드의 특성상 주로 파일 복제나 이메일을 통해 유포되었을 확률이 높아 보인다.



2-3. 실행 과정

해당 악성코드는 실제 악성 행위를 수행하는 코드까지 2단계로 인코딩 되어있으며, 각 단계 모두 폴리모픽(Polymorphic) 기법이 적용되어 코드가 생성된다.





3. 악성 동작


3-1. 파일 감염

해당 악성코드는 감염 동작 시 아래 그림과 같이 악성코드가 삽입될 마지막 섹션에 실행 속성을 부여하고, 악성코드를 삽입한다.


[그림 1] 섹션 속성 변경[그림 1] 섹션 속성 변경


[그림 2] 악성코드 복사[그림 2] 악성코드 복사




변경된 섹션의 내용을 PE 헤더 스펙에 맞춰주기 위해 아래 그림과 같은 여러 동작을 수행한다.


[그림 3] 마지막 섹션 Virtual size 확장[그림 3] 마지막 섹션 Virtual size 확장





3-2. 폴리모픽 코드 생성

해당 악성코드는 E-mail 웜(worm) 기능을 수반하고 있으며, 파일 첨부를 위해 자신을 복제할 때마다 아래 그림과 같이 폴리모픽이 적용되어 안티-바이러스 제품들의 진단을 힘들게 한다.


[그림 4] 코드 생성[그림 4] 코드 생성





4. 결론


이러한 바이러스 기능을 수반한 악성코드는 정상 파일에 악성코드를 기생 시키기 때문에, 일반적인 악성코드에 비해 치료가 어렵다. 따라서, 사용자는 수시로 OS와 응용 프로그램을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등의 방안으로 감염에 예방해야 한다. 상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

목적이 불분명한 파일 바이러스 Sivis 분석




1. 개요 


악성코드 개발 및 유포에는 대부분 직·간접적으로 이득을 취하기 위해서나 실력 과시와 보복을 하기 위해서 등 다양한 의도가 내포 돼있다. 그런데 이와 반대로 악성행위를 수행하지만 그 의도를 알 수 없는 악성코드가 종종 등장한다. 본 보고서에서 다루는 악성코드 sivis 또한 파일 바이러스 동작을 수행하지만 감염 동작 이외에는 어떤 악성 행위도 수행하지않아 개발 및 유포 목적을 파악하기 어렵다. 이 같은 악성코드를 분석하여 목적이 불분명한 다양한 악성코드의 존재를 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

sivis.exe

파일크기

13,312 bytes

진단명

Trojan/W32.Sivis.Gen

악성동작

파일 감염

 



2-2. 유포 경로

해당 악성코드는 파일 바이러스 형태로, 주로 감염된 파일의 실행을 통해 전파된다. 따라서, 감염된 컴퓨터에 연결되었던 USB 또는 파일 공유를 통하여 유포되었을 가능성이 높다.



2-3. 실행 과정

해당 악성코드는 타 파일 감염 시 [악성코드] + 문자열 ”visua” + [대상 파일] 순서로 이어 붙이는 형식으로 감염시키며, 감염된 파일 실행 시 파일의 처음부터 오프셋(offset)을 1씩 증가 시켜가며 5바이트씩 읽어 들여 문자열 “visua”와 비교하여 찾은 다음 “visua” 뒤의 데이터를 복사하여 원본 파일을 실행시킨다.





3. 악성 동작


3-1. 정상 파일 감염

해당 악성코드의 파일 감염 방식은 매우 단순하다. 아래 그림과 같이 대상 파일과 자기 자신을 읽어 들여 [악성 → 문자열“visua” → 원본] 순으로 배치하여 원본 파일에 덮어씌운다.


[그림 1] 대상 파일, 악성파일 읽기[그림 1] 대상 파일, 악성파일 읽기


[그림 2] 악성+원본 파일 덮어쓰기[그림 2] 악성+원본 파일 덮어쓰기




이 과정에서 감염하려는 파일과 호스트 파일의 감염 여부를 전혀 판단하지 않아 원본 파일은 계속해서 뒤로 밀려나게 되고, 감염 파일이 실행 될수록 감염 PC의 모든 파일 크기가 불어나게 된다. 또한, 감염된 파일 실행 시 2-3. 실행 과정에서 기술한 바와 같이 동작하기 때문에 중복 감염된 파일일 경우 원본 파일이 아닌 최초 감염 파일(악성코드 바로 뒤에 붙은 파일)이 실행된다.






4. 결론


해당 악성코드는 치료가 쉬운 단순한 파일 바이러스지만, 이와 다른 파일 바이러스들은 정상 파일을 수정하여 기생하기 때문에 치료 방법이 까다롭다. 그렇기 때문에, 악성코드 감염 시 치료가 불가능한 파일이 발생할 수도 있으며, 원본 파일을 삭제 해야 할 수도 있기 때문에 각별한 주의가 필요하다. 따라서, 악성코드에 감염되지 않도록 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 3] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 3] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 4] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

최신 영화 파일로 위장한 악성코드 분석




1. 개요 


토렌트는 P2P 프로토콜로 데이터를 주고 받게 해주는 프로그램으로, 사용자들이 인터넷상에서 파일을 직접 공유할 수 있어 콘텐츠, 소프트웨어 등의 불법 유포 경로로 사용되고 있다. 최근 들어 이러한 토렌트를 악용하는 사례가 꾸준히 나타나고 있어 사용자들의 주의를 요하고 있다. 이번 보고서에서는 토렌트 사이트에서 국내 영화 ‘마스터’로 위장해 유포된 악성코드에 대해 분석하였다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

마스터.2016.720p.BRRip.AVC.AAC IHSexE.mp4

파일크기

955,519,487 byte

악성동작

백도어

네트워크

59.***.***.46

 



2-2. 유포 경로

해당 악성코드는 유명 토렌트 사이트에서 국내 영화 ‘마스터’로 위장 유포되었다. 해당 파일명은 “마스터.2016.720p.BRRip.AVC.AAC IHSexE.mp4” 이며, 파일 확장자가 .mp4라서 동영상 파일로 보이지만 실행 시 악성 동작을 수행한다.



2-3. 실행 과정

파일 실행 시 동영상은 출력되지 않고 사용자 모르게 악성코드가 동작하게 된다. 실행된 악성코드는 Program Files 폴더에 win32 라는 폴더를 생성 후 자기 자신을 ‘win32.exe’라는 이름으로 복사 후 실행한다. ‘win32.exe’는 원격지 서버와 연결을 시도하며, 연결에 성공할 경우 명령에 따른 동작을 수행하게 된다.




3. 악성 동작


3-1. 파일 확장자 변조

아래 그림과 같이 파일 확장자가 .mp4 로 되어있는 것을 확인할 수 있다. 이는 실행 파일이 아닌 동영상 파일인 것처럼 보여주지만, 사실을 그렇지 않다. 해당 파일의 확장자는 .exe 로 파일의 유형이 응용 프로그램으로 나타난다.


[그림 1] 파일 이름과 유형[그림 1] 파일 이름과 유형




이는 유니코드 문자인 RLO(Right to Left Override)를 이용한 것이다. 유니코드란 전 세계의 모든 문자를 컴퓨터에서 일관되게 표현할 수 있도록 설계된 표준으로 많은 문자 집합을 포함하고 있다. 대부분의 언어의 경우 좌측부터 우측으로 글을 읽지만, 일부의 경우 우측에서 좌측으로 읽어야 하는 경우가 있다. 이런 경우를 위한 문자가 바로 RLO이다.


바로 이 RLO를 악용하면 사용자들로부터 파일명을 속이는데 사용될 수 있다. 해당 악성코드의 경우 RLO 문자를 제외하면 파일의 이름이 “마스터.2016.720p.BRRip.AVC.AAC IHS4pm.Exe”가 되는 것이다. 하지만 파일의 이름 “S” 와 “4” 사이에 RLO를 넣으므로 “4”부터는 역순으로 출력되어 “4pm.Exe”가 “exE.mp4”로 보이게 된다. 이와 같은 방식으로 ‘.exe’ 와 ‘.scr’ 등 실행 파일의 확장자를 감출 수 있는 것이다.


[그림 2] 실제 파일 확장자[그림 2] 실제 파일 확장자






3-2. 자동 실행 등록

실행된 악성코드는 Program Files 폴더에 win32 폴더를 생성 후 그 안에 자기 자신을 win32.exe 라는 이름으로 복사한다. 그리고 사용자가 PC를 재부팅 하면 자동 실행되도록 작업 스케줄러에 등록한다.


[그림 3] 작업 스케줄러 등록[그림 3] 작업 스케줄러 등록



3-3. 원격지 서버 연결

해당 악성코드는 원격지 서버 ’59.10.197.46 ’ 와 연결을 지속적으로 시도한다.


[그림 4] 원격지 서버 연결[그림 4] 원격지 서버 연결



현재 정상적으로 연결이 이루어지지 않지만, 연결이 정상적으로 이루어질 경우 명령에 따른 동작을 수행하게 된다. 명령에 따른 동작 중 몇 가지는 다음과 같다.


우선 사용자 PC 정보를 수집하기 위한 명령어가 있고 해당 명령을 받으면 사용자 PC의 운영체제, 하드웨어, 네트워크, BIOS 등의 정보를 수집한 뒤 원격지 서버로 전송한다.





그리고 각 브라우저를 통해 저장된 쿠키나 패스워드 정보를 수집하여 원격지 서버로 전송한다.

[그림 6] 패스워드 정보 탈취[그림 6] 패스워드 정보 탈취




키로깅과 관련된 동작도 존재하고 있으며, 이를 통해 공격자는 사용자가 키보드에 어떠한 문자를 입력하는지 확인한다.

[그림 7] 키로깅[그림 7] 키로깅


이외에도 사용자 PC의 웹 캠을 조작하거나 원격에서 접속하는 등의 동작을 수행할 수 있어 추가 피해의 소지가 있다.






4. 결론


이번 악성코드는 해외에서 제작된 RAT 프로그램을 통해 생성된 파일이다. 해당 사이트에서는 자신들이 제작한 프로그램이 악성코드가 아니라 언급하고 있지만, 해외에서는 이미 악용 사례가 여럿 발생하고 있다. 이번 악성코드의 경우에도 사용자에겐 최신 영화 파일로 위장했다는 점을 비롯하여 악의적인 의도를 가지고 있다고 볼 수 있다.


토렌트의 경우 영화, 드라마, 게임 등 불법적인 다운로드의 한 수단으로 많이 사용되고 있다. 악성코드 유포자 또한 이러한 점을 이용하여 악성코드 유포의 수단으로 사용하고 있다. 특히 유포 시 잘 알려진 ‘.exe’ 나 ‘.scr’ 등의 실행 파일 확장자가 아닌 미디어 파일이나 문서 파일 등의 이름으로 위장하여 사용자가 의심하기 어렵게 한다.


만약 다운로드 한 파일의 이름에 ‘exe.’나 ‘rcs.’ 등의 문자가 포함되어 있다면 RLO 문자 등에 의해 공격자가 파일 이름을 조작한 것일 수도 있으므로 필히 주의하여야 한다. 동영상이나 사진이 있는 폴더의 경우 아래와 같은 아이콘 모양으로 나타나는 경우가 많아 파일 확장자를 착각하기 쉽다.




이러한 파일 확장자 위장을 방지하기 위해서는 다음과 같은 설정을 할 수가 있다.



아래와 같이 폴더 보기를 [자세히]로 설정할 경우 아래와 같이 파일의 유형을 나타내준다. 파일 이름이 ‘.mp4’로 끝나지만 파일의 유형이 ‘응용 프로그램’ 인 것을 확인할 수 있다. 이러한 경우 정상 미디어 파일이 아닌 악성코드 일 수도 있으므로 함부로 실행해서는 안된다.


[그림 9] 폴더 보기 변경[그림 9] 폴더 보기 변경



[그림 10] 파일 유형 보기[그림 10] 파일 유형 보기




무엇보다 무분별한 토렌트 사용은 사용자를 악성코드에 쉽게 노출시키므로 사용을 자제해야 한다. 사용자는 토렌트 이용 시 신뢰되지 않는 프로그램을 함부로 다운로드 하지 않아야 하며, 다운로드 한 프로그램을 실행 할 때 파일 이름과 유형을 확인하는 등 보안에 각별한 주의를 기울여야 한다.


관련 글: 

토렌트를 통한 유포방식의 악성코드 분석 보고서 (링크)

인기 게임으로 위장한 악성 토렌트 (링크)

HashCop_Bypass.exe 토렌트를 통한 악성코드 유포 (링크)




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

다운로더 악성동작 Tufik 바이러스 분석




1. 개요 


바이러스(Virus) 형태의 악성코드는 실행 파일에 코드나 파일 형태로 기생하므로 감염된 파일을 치료하기 위해선 감염 형태 분석이 필요하다. 본 보고서에서는 바이러스 형태 다운로더 악성코드인 ‘Tufik’을 분석하여, 바이러스들의 다양한 감염 형태 중 하나를 파악하고 파일 감염 진행 방식에 대해 다루었다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

tufik.exe

파일크기

41,472 Bytes

진단명

Virus/W32.Tufik

악성동작

파일 바이러스

다운로더

 



2-2. 유포 경로

해당 악성코드는 네트워크 활동을 통한 감염 시도가 발견되지 않았으므로, 감염된 컴퓨터에서 옮겨간 파일의 실행을 통하여 유포되었을 확률이 크다.




2-3. 실행 과정

실행된 악성코드는 자신을 %SystemRoot%\system\alg.exe로 복사하여 재실행 후 다운로드 및 파일 감염 등 악성 동작을 수행한다.




3. 악성 동작


3-1. 파일 감염

해당 악성코드의 감염 형태는 섹션 스펙에 따라, 아래 그림과 같이 악성 섹션을 추가하는 Type1-1과 기존 섹션을 늘려 악성 코드를 추가하는 Type 1-2, 악성 파일 뒤에 원본 파일을 그대로 붙이는 Type 2로 나뉜다.


[그림 1] 감염 형태[그림 1] 감염 형태




Type 1-1은 PE 스펙 상 파일 크기가 실제 파일 크기와 같으며, 섹션 헤더를 추가할 공간이 있으면 아래 그림처럼 섹션을 추가해준다.


[그림 2] Type 1-1 생성[그림 2] Type 1-1 생성



Type 1-2는 PE 스펙 상 파일 크기가 실제 파일 크기와 같으며, 섹션 헤더를 추가할 공간이 없으면 조건에 맞는 섹션을 선택하여 아래 그림처럼 섹션 크기를 늘린 후 악성 코드를 복사한다.


[그림 3] Type 1-2 생성[그림 3] Type 1-2 생성



Type 2는 PE 스펙 상 파일 크기가 실제와 같지않으면 대상 파일 원본을 보존하기 위해 아래 그림처럼 악성코드 전체를 원본 파일 앞부분에 기록한다. 이 후 원본 파일의 리소스에서 아이콘을 추출하여 원본 파일과 같이 위장한다.


[그림 3] Type 2 생성[그림 3] Type 2 생성





4. 결론


이와 같은 바이러스는 원본을 거의 훼손하지 않아 파일 대부분을 복구할 수 있지만, 다운로더 악성동작으로 다운로드 및 실행될 파일에 의한 피해가 확산될 수 있어 사용자의 주의가 필요하다. 이를 예방하기 위해선, 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
Posted by nProtect

웜(Worm) 악성코드 Allaple 상세 분석




1. 개요 


컴퓨터에서 웜(worm)의 정의는 ‘자신을 복제하는 컴퓨터 프로그램’이다. 웜은 네트워크상에서 전파되며 바이러스(Virus)보다 일반적으로 전파속도가 빠르고 과도한 트래픽을 유발하여 대역폭을 잠식할 수 있다. 또한 다른 파일에 기생하여 실행되는 바이러스와 달리 웜은 독립적으로 실행될 수 있다. 본 보고서에서는 C&C(Command & Control) 서버의 명령 없이 무조건 특정 IP에 DoS(Denial of Service) 공격을 수행하는 기능을 수반한 웜 형태 악성코드인 ‘Allaple’(또는 Starman)을 분석하여 웜이 어떤 방식으로 증식하는지 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

allaple.exe

파일크기

57,856 bytes

진단명

Worm/W32.Allaple.Gen

악성동작

Worm, DoS

 



2-2. 유포 경로

주요 유포 경로는 웜의 특성상 공유 폴더, E-mail 등 네트워크를 통하여 유포되며, 다른 악성코드와 마찬가지로 운영체제 보안 취약점을 통해 직접적으로 감염될 수 있다.




2-3. 실행 과정

해당 악성코드는 아래 그림과 같이 실제 악성 행위를 수행하는 코드까지 4단계로 인코딩 되어 있으며, 4번째 단계를 제외하고 각 단계 모두 복제될 때마다 폴리 모르픽(Polymorphic) 기법이 적용되어 코드가 생성된다.


[그림 1] 내부 동작 과정[그림 1] 내부 동작 과정


이러한 폴리 모르픽 기법이 적용되어 전파, 감염 웜이나 바이러스는 감염될 때마다 코드가 변경되어 안티-바이러스 제품이 탐지 및 치료하기 어렵도록 만든다.




3. 악성 동작


3-1. 네트워크 웜(worm) - 공유 자원

해당 악성코드는 임의의 IP를 대상으로 파일 공유 서비스 139(NetBIOS), 445(SMB) 포트에 Brute-force(무차별 대입공격)을 통하여 접근 권한 획득을 시도한다.


[그림 2] 공유 자원 접근 시도[그림 2] 공유 자원 접근 시도


[그림 3] 무차별 대입공격에 사용되는 패스워드[그림 3] 무차별 대입공격에 사용되는 패스워드



접근 성공 시 자신을 복사하여 전송한다.


[그림 4] 파일 전송[그림 4] 파일 전송





3-2. 네트워크 웜2 - 웹 서버

로컬 드라이브 중 모든 DRIVE_FIXED(hard disk drive or flash drive) 타입 드라이브를 대상으로 확장자 htm, html 파일을 탐색한다.

[그림 5] .htm과 .html 탐색[그림 5] .htm과 .html 탐색



htm, html 발견 시 아래 그림과 같은 OBJECT 태그를 삽입한다.

[그림 6] .htm과 .html 변조[그림 6] .htm과 .html 변조


자신을 드라이브 루트에 복사하고 관련 레지스트리를 생성한다.

[그림 7] 레지스트리 생성[그림 7] 레지스트리 생성


위의 동작을 완수함으로써 변조된 htm, html 파일을 브라우징 시 클라이언트에서 자동으로 복사된 Allaple 악성코드가 실행된다.





4. 결론


이러한 악성코드 피해를 예방하기 위해 필요 없는 공유 폴더 및 디스크를 최소한으로 줄이고, 접근 계정의 ID, 패스워드를 쉽게 예측할 수 없게 설정해야 하며, 공유 자원이 필요 없는 경우는 포트를 닫아 놓아야 한다. 또한 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

금융 정보 파밍형 악성코드 doubi.exe




1. 개요 


국내 금융 기관의 웹 서버를 가장하여 사용자의 금융 정보를 파밍하는 악성 코드는 아직까지 꾸준하게 유포되고있다. 이런 유형의 파밍형 악성코드 또한 다른 악성코드들과 마찬가지로 안티-바이러스(Anti-Virus)의 탐지를 피하기 위해 계속해서 다른 형태의 바이너리로 유포된다. 

본 보고서에서는 앞서 설명한 금융 정보 파밍형 악성코드의 최근 유포 바이너리를 분석하여 금융 정보 파밍형 악성코드의 최근 동향을 다루었다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

doubi.exe

파일크기

264,792 byte

진단명

Banker/W32.Agent.264792

악성동작

금융 정보 파밍, 공인 인증서 탈취

해쉬(MD5)

C199F621BE7040C7C2D0466E15A706D6

 



2-2. 유포 경로

해당 악성코드의 수집 경로는 국내의 한 중소기업 웹 서버이지만 현재는 삭제된 상태이다. 바이너리만 업로드된 상태였기 때문에 유포지라고 불 수 없어 정확한 유포 경로는 명확하지 않다.




2-3. 실행 과정

해당 악성코드 doubi.exe는 실행 시 실행된 디렉토리에 임의의 문자 5자리의 디렉토리를 생성하고 임의의 이름을 가진 악성 DLL을 생성한다. doubi.exe는 생성한 dll을 rundll32.exe를 이용해 실행시키고 자가 삭제된다. 악성 동작들은 모두 상기의 DLL에서 실행된다.





3. 악성 동작


3-1. 시작 프로그램 등록

생성된 악성 DLL을 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리 키에 rundll32.exe의 인자로 등록하여 부팅 시 자동 실행 되도록 한다.


[그림 1] 시작 프로그램 등록 레지스트리[그림 1] 시작 프로그램 등록 레지스트리




3-2. 프록시 자동 구성(Proxy Auto-Config, PAC) 설정

정상적인 은행 URL을 공격자가 준비한 파밍용 가짜 웹 서버로 자동으로 연결시키도록 PAC를 설정한다. 구성된 프록시 스크립트에는 이전의 금융 정보 파밍형 악성코드와 동일하게 주요 은행들의 URL이 포함되어있다.

[그림 2] PAC 설정[그림 2] PAC 설정



3-3. 공인 인증서 탈취

PC의 모든 드라이브에서 NPKI 디렉토리를 탐색하여 아래와 같이 PC의 네트워크 카드 정보와 함께 전송한다.

[그림 3] 수집 정보[그림 3] 수집 정보




4. 결론


단순히 프로세스로만 실행되던 이전의 동작 방식과 달리 악성 DLL을 생성하고, rundll32.exe를 통해 악성 행위를 수행하기 때문에 프로세스 목록에서 악성 프로세스를 쉽게 찾을 수 없다. 전체적인 악성 행위 자체에는 변함이 없지만 그 동작을 이루는 과정이 이전보다 조금 복잡해졌다고 볼 수 있다. 그렇기 때문에 인터넷 상에서 금융 정보나 개인 정보를 과도하게 요구하는 경우 항상 감염 상황을 의심하여 피해를 예방할 수 있도록 해야한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
Posted by nProtect

파일 바이러스 Bloored 





1. 개요 


대부분 사용자들이 일반적으로 악성코드하면 ‘바이러스(Virus)’를 떠오르기 마련이다. 바이러스는 사전적으로 ‘프로그램을 통해 감염되는 악성 소프트웨어’를 말하는데 보통 바이러스 감염 후에 공격자에게 실질적인 이득을 주는 기능이나, 기능 확장을 위한 추가 모듈 다운로드 및 실행 기능을 포함한다. 본 보고서에서 다루게 될 악성코드 Bloored는 앞서 설명한 바이러스 형태의 악성코드이며, 구조가 다른 바이러스들에 비해 비교적 단순하다. 본 보고서를 통해 바이러스가 다른 파일을 감염하는 방식과 공격자가 이를 이용해 불법적으로 이득을 취하는 방법을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Bloored.exe

파일크기

259,072 byte

진단명

Worm/W32.Bloored.Gen

악성동작

파일 바이러스, 드롭퍼, 다운로더, 이메일 웜

네트워크

www.k***a.com

 


2-2. 유포 경로

바이러스는 주로 감염 파일의 실행으로 유포되므로, 대체로 감염된 컴퓨터에 연결되었던 USB 등의 보조기억매체를 통해 유포되었을 확률이 높다. 게다가 Bloored는 이메일 웜(Email-worm) 기능을 포함하기 때문에 이메일을 통해 유포 되었을 확률도 있다.



2-3. 실행 과정


해당 악성코드 실행 시, Bloored가 기록해 놓은 시그니처(Signature)를 확인하여 감염 여부를 판단한다. 감염 파일일 경우 시그니처에 포함된 정보로 감염 대상인 파일의 원래 크기를 이용하여 %TEMP%에 정상 파일을 복원 후 실행 시키고, 악성 동작을 수행한다. 감염되지 않은 파일일 경우 위 동작을 건너뛰고, 악성 동작을 수행한다.





3. 악성 동작


3-1. 파일 감염

경로 ‘C:\’를 루트로 이하의 파일과 디렉토리 내부를 감염하며, [그림 1]과 같이 루트에서 15회 이상 깊게 들어가지 않는다. C 드라이브 외에는 감염하지 않는다.


[그림 1] 깊이 제한[그림 1] 깊이 제한



[그림 2]와 같이 임시 파일을 생성하여 ‘악성PE - 감염 대상 PE - Signature’ 순서로 입력한 뒤 감염 대상 경로 파일 명으로 복사하여 파일 감염을 수행한다.


[그림 2] 파일 감염 루틴[그림 2] 파일 감염 루틴


여기서 Bloored는 실행 된 파일의 감염 여부를 고려하지 않기 때문에, 이미 감염된 파일이 다른 정상 파일을 감염 시키면 계속해서 파일이 뒤로 붙는 구조이다.




3-2. 파일 다운로드 및 실행

[그림 3]과 같은 루틴으로 파일을 다운로드 및 실행시킨다

[그림 3] 파일 다운로드 및 실행 루틴[그림 3] 파일 다운로드 및 실행 루틴




3-3. 이메일 웜

레지스트리 키 ‘HKCU\Software\Microsoft\WAB\WAB4\Wab File Name’을 참조하여, Outlook에서 사용하는 주소록 파일 ‘.wab(Windows Address Book)’의 내용을 파싱해 아래 그림들과 같은 내용을 임의로 선택하여 전송한다.

[그림 4] 전송하는 계정 명[그림 4] 전송하는 계정 명


[그림 5] 메일 내용[그림 5] 메일 내용


[그림 6] 첨부 파일 명[그림 6] 첨부 파일 명


[그림 7] 첨부 파일 확장자[그림 7] 첨부 파일 확장자



첨부 파일은 확장자가 .zip일 경우 압축된 Bloored.exe를, 이외의 확장자일 경우는 압축되지 않은 Bloored.exe가 첨부된다.




3-4. 파일 드롭

C ~ X 드라이브 중 DRIVE_FIXED 또는 DRIVE_RAMDISK 타입인 드라이브를 탐색하여, 문자열 “shar” 또는 “mus”를 디렉토리 명에 포함하는 디렉토리 발견 시 bloored.exe 파일을 아래 [그림 8]의 파일 이름으로 복사한다.

[그림 8] 드롭 파일 명[그림 8] 드롭 파일 명



드라이브 탐색 중 아래와 같은 확장자 파일 발견 시, 이메일 주소를 파싱하여 ‘3-3. 이메일 웜’ 항목과 같이 메일을 전송한다.

[그림 9] 파싱 대상 파일[그림 9] 파싱 대상 파일





4. 결론


Bloored와 같은 바이러스는 정상 파일을 악성 파일로 만들기 때문에, 일반적인 악성코드의 치료방법인 ‘삭제’보다 치료 방법이 까다롭다. 그렇기 때문에, 감염 시 치료가 불가능한 파일이 비교적 많이 발생할 수 있어, 원본 파일을 삭제할 수 밖에 없는 상황이 생길 수 있다. 이런 바이러스에 감염되지 않도록 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
Posted by nProtect

악성코드 접근을 숨겨주는 포트 루트킷 




1. 개요 


루트킷(Rootkit)의 의미는 본래 Unix 계열의 관리자 계정인 루트(Root) 권한을 획득하기 위한 코드와 프로그램의 집합으로 사용되었다. 하지만 최근에 루트킷이 단순히 특정 악성코드가 시스템에서 탐지되지 않도록 악용되면서 이제 개인 PC에서 루트킷의 역할은 악성코드 은닉이 주가 되었다. 본 보고서에서는 악성코드가 통신하는 포트 또는 통신 대상의 IP를 기준으로 연결 정보를 숨겨주는 루트킷을 분석하여 포트 루트킷이 동작 방식을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

SynDrives.sys

파일크기

3,840 byte

진단명

Trojan/W32.KRDDoS.3840

악성동작

포트 루트킷

 




2-2. 유포 경로

SynDrives.sys는 이전에 분석된 악성코드 Trojan/W32.jorik.90624.Z 가 드롭하는 부속 모듈이었다. 주로 앞의 상황과 같이 다른 악성코드의 라이프 사이클 연장을 위한 보조적인 목적으로 악성코드와 함께 유포된다.




2-3. 실행 과정

SynDrives.sys가 숙주 파일에 의해 시스템에 설치되면, SSDT 후킹(Hooking)을 통하여 포트를 은닉할 준비를 해놓고 은닉할 대상의 IP 또는 포트 정보 와 명령을 기다린다. 이후 netstat.exe 등의 프로그램에서 네트워크 연결 정보 조회를 시도하면, 네트워크 연결 정보 테이블에서 악성코드가 지정한 IP 또는 포트에 해당되는 정보를 제외한 나머지 정보를 반환하여 악성코드가 지정한 특정 IP 또는 포트에 대한 정보 은닉을 수행한다.





3. 악성 동작


3-1. SSDT 후킹(Hooking)

SynDrives.sys는 [그림 1]과 같이 네트워크 정보 은닉을 위한 자신의 함수(SynDrives+0x70D)를 ZwDeviceIoControlFile 함수가 호출하는 SSDT의 인덱스(NtDeviceIoControlFile)의 주소에 입력하여 이후 ZwDeviceIoControlFile 호출 시 SynDrives+0x70D가 호출 되도록 한다.


[그림 1] ZwDeviceIoControlFile 후킹[그림 1] ZwDeviceIoControlFile 후킹




3-2. 네트워크 정보 은닉

SynDrives.sys 의 드라이버 객체에 등록된 함수는 숙주 파일로부터 IRP(I/O Request Packet)를 받는다. [그림 2]의 우측에 나타낸 것은 숙주 파일로부터 받은 IRP로 IoControlCode 가 0x222004 인 것을 확인할 수 있다. SynDrives.sys 는 이 값을 기준으로 은닉하고자 하는 데이터가 IP인지 Port인지 결정한다.

[그림 2] IRP 버퍼 데이터[그림 2] IRP 버퍼 데이터



위에서 은닉하고자 하는 데이터의 타입(IP or Port)을 확인한 뒤, IRP 구조체의 SystemBuffer에 있는 값을 확인한다. 이 값은 은닉하고자 하는 데이터(0xdec8c8c8)의 값을 나타낸다.


[그림 3] 은닉시킬 데이터 값 확인 (IRP->AssociatedIrp.SystemBuffer)[그림 3] 은닉시킬 데이터 값 확인 (IRP->AssociatedIrp.SystemBuffer)



SynDrives.sys는 IP 및 Port 정보가 있는 구조체 체인에서 은닉하고자 하는 데이터(0xdec8c8c8)를 찾는다. 그리고 해당 데이터가 속한 구조체(그림 4의 표시된 부분)를 덮어씌운다. 이를 통해 결과적으로 은닉시키고자 하는 정보가 조회되지 않도록 한다.


[그림 4] 조회 된 내용이 있는 버퍼 조작[그림 4] 조회 된 내용이 있는 버퍼 조작





4. 결론


앞서 말한 포트 루트킷은 윈도우 XP의 netstat.exe의 네트워크 상태 조회 방식에 맞춰 제작된 것으로 보이며 윈도우 XP 이후의 OS에서는 공격자의 의도대로 동작하지 않는다. 하지만 다른 OS에서도 정확히 동작을 수행하는 포트 루트킷이 존재하기 때문에 수상한 포트가 열려있지 않더라도 백도어(Backdoor) 및 봇(Bot)으로부터 안전한 상태는 아닐 수 있다. 그러므로 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 악성코드 감염을 예방할 필요가 있다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect