악성코드 접근을 숨겨주는 포트 루트킷 




1. 개요 


루트킷(Rootkit)의 의미는 본래 Unix 계열의 관리자 계정인 루트(Root) 권한을 획득하기 위한 코드와 프로그램의 집합으로 사용되었다. 하지만 최근에 루트킷이 단순히 특정 악성코드가 시스템에서 탐지되지 않도록 악용되면서 이제 개인 PC에서 루트킷의 역할은 악성코드 은닉이 주가 되었다. 본 보고서에서는 악성코드가 통신하는 포트 또는 통신 대상의 IP를 기준으로 연결 정보를 숨겨주는 루트킷을 분석하여 포트 루트킷이 동작 방식을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

SynDrives.sys

파일크기

3,840 byte

진단명

Trojan/W32.KRDDoS.3840

악성동작

포트 루트킷

 




2-2. 유포 경로

SynDrives.sys는 이전에 분석된 악성코드 Trojan/W32.jorik.90624.Z 가 드롭하는 부속 모듈이었다. 주로 앞의 상황과 같이 다른 악성코드의 라이프 사이클 연장을 위한 보조적인 목적으로 악성코드와 함께 유포된다.




2-3. 실행 과정

SynDrives.sys가 숙주 파일에 의해 시스템에 설치되면, SSDT 후킹(Hooking)을 통하여 포트를 은닉할 준비를 해놓고 은닉할 대상의 IP 또는 포트 정보 와 명령을 기다린다. 이후 netstat.exe 등의 프로그램에서 네트워크 연결 정보 조회를 시도하면, 네트워크 연결 정보 테이블에서 악성코드가 지정한 IP 또는 포트에 해당되는 정보를 제외한 나머지 정보를 반환하여 악성코드가 지정한 특정 IP 또는 포트에 대한 정보 은닉을 수행한다.





3. 악성 동작


3-1. SSDT 후킹(Hooking)

SynDrives.sys는 [그림 1]과 같이 네트워크 정보 은닉을 위한 자신의 함수(SynDrives+0x70D)를 ZwDeviceIoControlFile 함수가 호출하는 SSDT의 인덱스(NtDeviceIoControlFile)의 주소에 입력하여 이후 ZwDeviceIoControlFile 호출 시 SynDrives+0x70D가 호출 되도록 한다.


[그림 1] ZwDeviceIoControlFile 후킹[그림 1] ZwDeviceIoControlFile 후킹




3-2. 네트워크 정보 은닉

SynDrives.sys 의 드라이버 객체에 등록된 함수는 숙주 파일로부터 IRP(I/O Request Packet)를 받는다. [그림 2]의 우측에 나타낸 것은 숙주 파일로부터 받은 IRP로 IoControlCode 가 0x222004 인 것을 확인할 수 있다. SynDrives.sys 는 이 값을 기준으로 은닉하고자 하는 데이터가 IP인지 Port인지 결정한다.

[그림 2] IRP 버퍼 데이터[그림 2] IRP 버퍼 데이터



위에서 은닉하고자 하는 데이터의 타입(IP or Port)을 확인한 뒤, IRP 구조체의 SystemBuffer에 있는 값을 확인한다. 이 값은 은닉하고자 하는 데이터(0xdec8c8c8)의 값을 나타낸다.


[그림 3] 은닉시킬 데이터 값 확인 (IRP->AssociatedIrp.SystemBuffer)[그림 3] 은닉시킬 데이터 값 확인 (IRP->AssociatedIrp.SystemBuffer)



SynDrives.sys는 IP 및 Port 정보가 있는 구조체 체인에서 은닉하고자 하는 데이터(0xdec8c8c8)를 찾는다. 그리고 해당 데이터가 속한 구조체(그림 4의 표시된 부분)를 덮어씌운다. 이를 통해 결과적으로 은닉시키고자 하는 정보가 조회되지 않도록 한다.


[그림 4] 조회 된 내용이 있는 버퍼 조작[그림 4] 조회 된 내용이 있는 버퍼 조작





4. 결론


앞서 말한 포트 루트킷은 윈도우 XP의 netstat.exe의 네트워크 상태 조회 방식에 맞춰 제작된 것으로 보이며 윈도우 XP 이후의 OS에서는 공격자의 의도대로 동작하지 않는다. 하지만 다른 OS에서도 정확히 동작을 수행하는 포트 루트킷이 존재하기 때문에 수상한 포트가 열려있지 않더라도 백도어(Backdoor) 및 봇(Bot)으로부터 안전한 상태는 아닐 수 있다. 그러므로 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 악성코드 감염을 예방할 필요가 있다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

사용자 PC를 감염시켜 봇으로 만드는 악성코드 jorik 




1. 개요 


해커가 마음대로 제어할 수 있는 감염된 다수의 컴퓨터로 형성된 네트워크를 봇넷(Botnet)이라 한다. 이 봇넷을 구성하는 감염된 컴퓨터 봇(Bot)은 C&C(Command and Control) 서버의 명령을 수행한다. C&C 서버의 명령은 주로 봇넷 확장을 위한 악성코드 유포 또는 DDoS(Distributed Denial of Service) 공격을 이루기 위한 DoS(Denial of Service) 공격 등이다. 본 보고서에선 사용자 컴퓨터를 감염시켜 봇으로 만드는 C&C 악성코드의 주요 기능을 분석하여 봇의 동작 방식을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

server.exe

파일크기

90,624 byte

진단명

Trojan/W32.jorik.90624.Z

악성동작

파일 드롭, 다운로드 및 실행, 포트 루트킷, DoS 공격

네트워크

116.***.***.150:8692 - 유포지

v******l.c***s.com:8080 - 공격자 서버

 


2-2. 유포 경로

유포 경로는 정확히 알려진 바가 없지만 개인 서버에서 수집된 것으로 보아, 다른 악성코드에서 추가로 다운로드되어 실행되었을 가능성이 커 보인다.




2-3. 실행 과정

server.exe는 자신의 리소스로부터 SynDrives.sys 바이너리를 가져와 생성하고, 임의의 문자 6자리 파일명으로 자신을 복사한다. 각 파일의 경로는 아래와 같으며, 두 파일 모두 서비스로 생성 및 시작 시킨 뒤 server.exe는 자가 삭제 후 종료된다.


구 분

포트 루트킷

자가 복제

파일명

SynDrives.sys

[Random_06].exe

경로

%SystemRoot%\system32\dirvers\

%SystemRoot%\system32\

서비스명

SynDrives

National Instruments Domain Service

[1] 드롭 파일


자가 복제된 파일인 [random_06].exe가 실질적으로 공격자 서버와 통신하며 공격자의 명령을 수행하며, SynDrives.sys는 공격자 서버와의 통신을 은닉하기 위한 포트 루트킷 기능을 수행한다.



3. 악성 동작


3-1. 타 서버 DoS(Denical of Service) 공격

공격자 서버로부터 명령을 받아 대상이 된 서버에 아래 그림과 같은 의미 없는 요청을 반복하여 대상 서버에 부하를 일으킨다.


[그림 1] 패킷 내용 중 일부[그림 1] 패킷 내용 중 일부


[그림 2] 패킷 전송 스레드 반복 생성[그림 2] 패킷 전송 스레드 반복 생성





SYN Flood 기능 및 다양한 소켓 옵션, 패킷 내용 등이 존재하며, 패킷 내용 대부분이 HTTP GET 요청 메소드인 것으로 미루어 보아 공격 대상은 주로 웹 서버일 것으로 추측된다.




3-2. 파일 다운로드 및 실행

공격자가 특정하는 URL을 통해 아래 그림과 같이 웹 서버에서 파일을 다운로드 받고, 실행시킨다. 이 후 server.exe가 등록했던 서비스들을 삭제한다.

[그림 3] 파일 다운로드 및 실행[그림 3] 파일 다운로드 및 실행




등록했던 2개의 서비스를 모두 제거하는 것으로 보아, 추가로 다운로드 된 모듈 또한 같은 서비스명을 가질 가능성이 높아 보인다.





4. 결론


해당 악성코드는 서비스로 돌아가며, 포트 또한 감춰져 있어 일반 사용자가 감염 사실을 알아차리기 어렵다. 악성코드 감염을 막기 위해선, 주기적으로 바이러스 검사를 해 감염 상태를 확인해야 하며, 운영체제와 응용 소프트웨어들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 내려받지 않아야 한다.


위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

금융정보 탈취하는 KRBanker 분석 보고서 



1. 개요 


최근 악성코드 제작자는 현금을 목적으로 하는 악성코드를 주로 만들고 있다. 랜섬웨어와 같이 사용자 파일을 인질로 하여 현금을 요구하거나, 사용자의 직접적인 금융 정보를 탈취하여 이를 악용하기도 한다. 이번 분석 보고서에서는 자동 구성 프록시(PAC) 설정으로 사용자를 파밍 사이트로 유도하여 금융정보 탈취를 시도하는 KRBanker 에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

adinstall.exe

파일크기

478,208 byte

진단명

Banker/W32.Agent.478208.B

악성동작

파밍, 금융정보 탈취

네트워크

103.***.***.86 – 공격자 서버

 


2-2. 유포 경로

해당 악성코드의 정확한 유포 방식은 밝혀지지 않았지만, 현재 운영이 되고 있지 않은 국내 사이트 h*****rm.co.kr 에 악성코드가 업로드 되어있다.




2-3. 실행 과정

악성코드는 hosts 파일 등을 수정하지 않고 자동 구성 프록시(PAC)를 통해 사용자를 파밍 사이트로 유도한다. 실행 시 아래와 같이 UAC 경고창이 나타나는 것을 확인할 수 있다. 그 다음 인터넷 브라우저의 시작 페이지를 국내 N 포털 사이트로 변경하고, 특정 페이지 접속 시 파밍 사이트로 유도한다.

[그림] Windows 방화벽 보안 경고[그림] Windows 방화벽 보안 경고





3. 악성 동작


3-1. 자동 실행 등록 및 인증서 유출

해당 악성코드는 PC 를 재부팅 한 후에도 다시 실행되도록 자동 실행 레지스트리에 자신을 등록한다. 자동 실행에 등록할 때의 이름은 아래(“000C29AF13B8”)와 같이 임의의 8 자리 문자를 사용한다.


[그림] 자동 실행 등록[그림] 자동 실행 등록




감염된 사용자의 PC 에 공인인증서가 있다면 이를 탈취하기 위해 임시 폴더 하위에 복사해 놓는다. 복사 된 파일이 포함 된 폴더는 .zip 파일로 압축한다.


[그림] 복사된 인증서와 압축 파일[그림] 복사된 인증서와 압축 파일




3-2. 자동 구성 프록시 (Proxy Auto-Config, PAC)

악성코드가 동작하면 자동 구성 프록시(PAC) 를 설정한다. PAC 란 별도의 프록시 서버 설정 없이 특정 URL 에 대해 자동으로 프록시 서버 설정을 해주는 스크립트다. 아래 그림과 같이 PAC 가 ‘127.0.0.1:1171’ 로 설정되어 있는 것을 확인할 수 있다. 이는 URL 정보에 대해 사용자 PC 의 1171번 포트로 질의하게 된다.

[그림] 자동 구성 프록시 설정[그림] 자동 구성 프록시 설정



1171번 포트에는 해당 악성코드가 대기하고 있다. 이를 통해 사용자가 웹 브라우저 서핑 등으로 URL 을 접속하고자 할 때, 악성코드는 공격자가 지정해 놓은 주소를 반환하여 파밍 사이트로 접속을 유도한다.


[그림] 프록시 포트와 연결[그림] 프록시 포트와 연결





3-3. 시작 페이지 변경 및 파밍 사이트 연결

인터넷 브라우저의 시작 페이지가 N 포털 사이트로 변경된 것을 확인할 수 있다.

[그림] 시작 페이지 변경[그림] 시작 페이지 변경



현재 공격자의 파밍 사이트와 연결이 제대로 이루어지지 않아 금융권 등의 사이트에 접속을 시도하면 페이지에 접속할 수 없다고 나타난다. 하지만 공격자의 서버와 연결이 성공적으로 이루어진다면 실제 금융권 사이트와 유사한 파밍 사이트로 접속 된다.





4. 결론


해당 악성코드와 같은 파밍 악성코드는 공인인증서를 탈취하며, 파밍 사이트 접속을 유도하여 사용자의 보안 카드 정보를 탈취한다. 따라서 접속한 금융, 공공기관 사이트에서 과도하게 금융 정보 입력을 요구한다면 파밍 사이트라 의심하고 입력을 중지해야 한다. 또한 PAC 방식으로 인해 Windows 보안 경고창이 나타나므로 이를 무심코 넘기지 말아야 한다.


만약 앞서 말한 것과 같이 하나라도 의심되는 증상이 있다면 백신 프로그램을 설치하여 정기적으로 악성코드 검사를 해야 한다. 해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

CDSpace 업데이트 서버를 통해 유포된 악성코드 



1. 개요 


금융 기관을 사칭한 가짜 웹 사이트로 사용자의 접속을 유도하여 계좌번호, 비밀번호, 보안카드와 같은 금융 정보를 빼앗아 악용하는 파밍(Pharming)은 과거 hosts 파일을 직접 변조하는 방식이 대다수였다. 이에따라 파밍을 막기위해 hosts 파일을 보호하는 제품이 계속해서 출시됐고, 공격자들은 최근 이를 우회하기 위해 프록시 자동 구성(Proxy auto-config, PAC) 스크립트를 이용한 파밍 악성코드를 사용하고 있다. PAC는 hosts 파일을 변조하지 않고 스크립트를 작성하여 특정 URL을 자동으로 다른 웹 서버에 연결 시켜줄 수 있다.


본 보고서는 2016년 9월 10일 시디 스페이스(CDSpace) 프로그램의 업데이트 서버를 통해 유포되어 금융정보를 탈취하는 파밍 악성코드를 분석하여 최근 유포되고 있는 파밍 악성코드의 특징을 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

CDSpace8.exe

파일크기

454,144 byte

진단명

Banker/W32.Agent.454144

악성동작

파밍, 공인 인증서 탈취

 




2-2. 유포 경로

해당 악성코드는 시디 스페이스 프로그램의 업데이트 서버가 공격당하여 업데이트 서버를 통해 유포된것으로 알려졌다. 또한, 정상적인 시디 스페이스 프로그램이 설치된 위치에 원본 시디 스페이스 파일과 같은 이름으로 악성코드가 다운로드되기 때문에 사용자가 의심없이 악성코드의 작동을 허용할 가능성이 있다. 

(기본 경로 - %ProgramFiles%\CDSpace\CDSpace8\)





2-3. 실행 과정

악성코드 실행 시 특성상 Windows 방화벽 설정을 변경하기 때문에 아래 그림과 같은 UAC 경고창이 발생한다. 하지만 사용자가 직접 다운받은 프로그램이 아닌 프로그램 업데이트 서버를 통해 다운받아진 점과 프로그램의 이름, 경로 등이 정상 시디 스페이스 프로그램과 유사하여 사용자가 무심코 허용할 가능성이 크다.

[그림 1] Windows 방화벽 보안 경고[그림 1] Windows 방화벽 보안 경고




그 다음 레지스트리 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에 키를 등록하여 악성코드가 부팅 시 자동으로 실행되게 설정하고, HKCU\Software\Microsoft\Internet Explorer\Main의 Start Page 키를 이용하여 Internet Explorer의 시작 페이지를 포털 사이트 네이버로 위장한 파밍 사이트로 변경한다.






3. 악성 동작


3-1. 프록시 자동 구성(Proxy Auto-Config, PAC) 설정

해당 악성코드는 정상적인 은행 웹 서버 URL을 공격자가 준비한 파밍용 가짜 웹 서버로 연결시키기 위해 아래 그림과 같이 PAC를 설정한다.


[그림 2] 자동 구성 스크립트 설정[그림 2] 자동 구성 스크립트 설정




스크립트에는 PAC 구성에 필요한 함수와 해시 값들이 난독화 되어있으며 국민은행, 농협, 신한은행, 우리은행, 씨티은행, 우체국 은행, 기업은행, 하나은행, 새마을금고, SC제일은행, 수협, 신협, 부산은행, 광주은행, 경남은행 총 15개의 은행 URL이 포함되어있다.


[그림 3] 난독화 해제된 PAC 스크립트[그림 3] 난독화 해제된 PAC 스크립트






3-2. 공인 인증서 수집

감염된 사용자 컴퓨터 내의 모든 드라이브에서 공인 인증서 폴더 NPKI를 검색하여 %TEMP% 디렉토리에 복사한 후 공격자의 서버로 전송한다.

[그림 4] 복사된 공인인증서[그림 4] 복사된 공인인증서






4. 결론


해당 악성코드와 같은 금융정보 파밍 악성코드는 공인인증서, 보안카드 정보와 같이 인터넷 뱅킹에 필요한 정보를 탈취하기 때문에 사용자에게 직접적인 피해를 준다. 또한, 실제 포털 사이트와 은행 웹 사이트 소스를 이용하여 만든 파밍 사이트에 접속을 유도하고, PAC를 이용하여 파밍 사이트의 URL을 속이기 때문에 사용자의 각별한 주의가 필요하다. 무엇보다 은행, 공공기관에서 운영하는 웹 사이트가 과도하게 개인 정보나 금융 정보를 요구하는 경우, 정보를 입력하지 말고 파밍인지 의심해볼 필요가 있다.


[그림 5] 변조된 시작 페이지[그림 5] 변조된 시작 페이지



해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

백도어 악성코드 분석





1. 개요 


백도어(Backdoor)의 본래 의미는 시스템 개발이나 유지 보수를 편리하게 수행하기 위해, 시스템 인증과정 없이 원격 접속을 보장하여 운영체제나 프로그램 등에 접근할 수 있도록 만든 통로였다. 하지만, 최근에는 사용자 모르게 시스템에 무단으로 접근하고, 추가적인 악성코드를 설치하거나 개인 정보를 수집하는 악성코드 종류를 뜻하는 경우가 많아졌다. 

본 보고서에서는 백도어 형태의 악성코드를 분석하여 백도어의 일반적인 기능과 동작 방식 등을 알아본다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

1.exe

파일크기

135,185 byte

진단명

Backdoor/W32.Farfli.135185

악성동작

백도어

네트워크

http://www.h*****r.com - 유포지

49.**.*.84:81 - 공격자 서버

103.*.**.86:80 - 공격자 서버





2-2. 유포 경로

해당 악성코드는 중국의 중고차 매매 사이트 http://www.h*****r.com/1.exe 를 통하여 유포되었다. 이는 해당 악성코드가 또 다른 악성코드나, Exploit Kit 등을 통해 다운로드 될 수 있음을 보인다. 해당 페이지는 현재 접속이 불가능하다.





2-3. 실행 과정

해당 악성코드는 아래 그림과 같이 MS 워드 파일 아이콘으로 위장하고 있으며 파일 실행 시 자신을 %ProgramFiles%\Google\google.com으로 복사하고, 서비스 명이 “Cnykvi Ugrdoalw Jugrdoal Xjug” 인 서비스를 생성한 뒤 자가 삭제된다. 이 후 악성 행위는 모두 google.com 프로세스에서 이루어진다.


[그림 1] 워드 파일 아이콘으로 위장한 악성코드[그림 1] 워드 파일 아이콘으로 위장한 악성코드







3. 악성 동작


3-1. 실행 파일 다운로드

악성코드는 추가 모듈이나 실행 파일을 공격자가 지정한 웹 서버에서 다운로드 후, 감염 PC의 특정한 경로 및 파일명으로 생성한다.


[그림 2] 추가 파일 다운로드[그림 2] 추가 파일 다운로드





3-2. PC 정보 수집

사용자 PC의 메모리 사용량과 OS 버전 정보, 동작중인 백신 프로세스 등 컴퓨터 정보를 수집한다.


[그림 3] 백신 프로세스 조회 대상[그림 3] 백신 프로세스 조회 대상





3-3. MBR 파괴 및 시스템 종료

공격자의 명령에 따라 MBR (0~512Byte) 영역을 임의의 데이터로 덮어 씌운다. 이후 시스템을 재부팅 시키지만 비정상적인 MBR로 인해 부팅이 정상적으로 이루어지지 않는다.


[그림 4] MBR 파괴 코드 부분[그림 4] MBR 파괴 코드 부분


[그림 5] 시스템 재부팅 명령[그림 5] 시스템 재부팅 명령







4. 결론


이와 같은 백도어 악성코드들은 해당 악성코드 하나만 보았을 때는 피해가 크지 않지만, 감염 된 후 공격자에 의해 추가로 다운로드 될 수 있는 악성코드 및 모듈로 피해가 확대될 수 있어 사용자의 주의가 필요하다. 


백도어 악성코드 피해를 막기 위해선 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

사용자 자원을 무단으로 이용하는 가상 화폐 채굴 악성코드 





1. 개요 


비트코인과 같이 가상 화폐의 이용이 많아짐에 따라 가상 화폐 채굴 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 가상 화폐 채굴 동작은 과도한 연산이 필요하기에 채굴 전용 GPU, 주문형 반도체(ASIC) 등을 동원해도 수익을 내기 어렵다. 이 때문에 해커들은 적은 비용으로 많은 가상 화폐를 채굴하기 위해, 소유자의 동의 없이 불특정 다수의 자원을 무단으로 이용하는 악성코드를 사용하고 있다.


본 보고서에서 다루게 될 Photo.scr 또한 가상 화폐의 한 종류인 모네로 코인(Monero Coin)을 채굴하여 사용자 모르게 해커의 가상 화폐 지갑에 전송하는 프로그램을 설치 및 실행시킨다. 게다가 이 악성코드는 취약한 웹 서버들을 자동으로 공격해 웹을 통해 제2, 3의 감염자가 발생할 수 있기에 주의가 요구된다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Photo.scr

파일크기

1,578,496 byte

진단명

Trojan/W32.BitCoinMiner.1578496

악성동작

시작 프로그램 등록

자가 복제

Monero 코인 채굴기 실행

임의의 서버 공격

네트워크

http://s****t**t.ru

http://h****ts.ru

http://p****t**t.ru

http://t****sy.ru

http://p****ts.ru

http://q****t.ru

http://pr****s.ru

http://j****s*s.ru

http://i****ti.ru

 




2-2. 유포 경로

최초의 유포 경로는 불분명하다. 해당 바이너리의 동작 특성상 사용자가 감염된 서버의 웹 페이지를 방문하여 Photo.scr을 다운받고, 부주의에 의해 이를 실행하여 제2, 3의 감염자를 발생 시킨 것으로 보인다.

[그림] 감염된 서버의 웹 페이지[그림] 감염된 서버의 웹 페이지





2-3. 실행 과정

Photo.scr은 %TEMP%에 Monero 코인 채굴 프로그램 NsCpuCNMiner32.exe를 생성하고, 채굴한 코인을 자신의 Monero 코인 지갑에 전송하도록 실행시킨다. 그 후 Photo.scr 자신을 시작프로그램으로 등록하고, 모든 드라이브 루트 디렉토리에 주기적으로 자신을 복사하는 등 로컬에서 추가로 감염 활동을 한다. 또한, 임의 서버의 FTP 서비스를 대상으로 사전 대입 공격을 실행하며, 공격에 성공하면 Photo.scr을 업로드하고, php, html과 같은 웹 페이지 파일에 해커의 코드를 삽입하여 해당 페이지를 방문하는 사용자가 Photo.scr을 받게끔 유도한다.


[그림] 동작 개념도[그림] 동작 개념도





3. 악성 동작


3-1. 비트코인 채굴 프로그램 생성 및 실행

Photo.scr은 %TEMP% 위치에 자신의 리소스에서 가져온 내용으로 NsCpuCNMiner32.exe을 생성한다.


[그림] NsCpuCNMiner32.exe 생성[그림] NsCpuCNMiner32.exe 생성



NsCpuCNMiner32.exe은 Claymore CryptoNote CPU miner라는 Monero코인 채굴 프로그램이며, 아래와 같은 인자를 주어 NsCpuCNMiner32.exe를 실행시킨다.


[그림] NsCpuCNMiner32.exe 실행[그림] NsCpuCNMiner32.exe 실행



인자로 들어가는 문자열은 아래 웹 서버들의 /test.html 페이지에서 받아온 암호화 된 문자열이다.


[그림] 공격자 서버 리스트[그림] 공격자 서버 리스트


[그림] 복호화된 문자열[그림] 복호화된 문자열



NsCpuCNMiner32.exe의 인자로써의 각각 의미는 아래와 같다.


옵션

설명

-dbg

로그 파일과 디버그 매세지를 생성하지 않는다.

-o

mining pool(채굴 집단 개념)을 지정, httpStratum 프로토콜 모두 지원한다,

-t

쓰레드 수

-u

비트코인 지갑

-p

패스워드, x를 패스워드로 사용

[표] 옵션 설명



3-2. 로컬에서의 추가 감염

주기적으로 쉘에 아래와 같은 명령을 내려 A~Z드라이브에 Photo.scr을 복사한다.

[그림] Photo.scr 복사 명령[그림] Photo.scr 복사 명령



복사된 Photo.scr은 아래 그림과 같은 폴더 아이콘을 띄우고 있어 사용자가 착각하기 쉽다.

[그림] 복사된 Photo.scr[그림] 복사된 Photo.scr




3-3. 임의 서버 공격

Photo.scr은 무작위 IP 주소로 FTP 서비스에 사전 대입 공격을 시도한다.

[그림] FTP 서비스 연결[그림] FTP 서비스 연결



사전 대입 공격은 아래 그림과 같이 5개의 사용자 이름과 29개의 패스워드 조합으로 이루어진다.

[그림] 사용자이름, 패스워드[그림] 사용자이름, 패스워드



공격에 성공하여 서버와 연결이 이루어지면 웹 페이지 변조를 위해 확장자가 아래 그림과 같은 파일을 찾아 다운받고, 자신의 코드를 삽입한 뒤 다시 업로드한다. 코드에 쓰인 <iframe> 태그는 페이지 내에서 다른 페이지를 보여주고자 할 때 쓰이며, 페이지의 크기를 가로 세로 1로 주어 감염 페이지에 시각적으로 보이지는 않지만 브라우저는 이를 인식하여 악성코드 Photo.scr 를 다운로드하는 창을 띄운게 된다.

[그림] 공격 대상 확장자[그림] 공격 대상 확장자


[그림] 웹페이지에 삽입되는 HTML 코드[그림] 웹페이지에 삽입되는 HTML 코드



이와 같은 방식으로 FTP 서버에 존재하는 모든 웹 페이지를 감염시킨 뒤 악성코드 Photo.scr 도 업로드된다.


[그림] Photo.scr 업로드[그림] Photo.scr 업로드



그 다음 3-1. 부문에서 연결했던 해커 서버의 S.php 페이지에 http GET 방식으로 페이지 요청을 하여 아래 그림과 같은 감염 정보를 송신하며, 각각 의미는 아래와 같다.


[그림] 감염 정보 전송[그림] 감염 정보 전송


항목

설명

pc

감염시킨 서버 IP

user

감염시킨 서버 사용자 계정

sys

감염시킨 서버 패스워드

cmd

사용자 로컬 %AppData% 경로

startup

감염시킨 페이지 경로

[표] 항목 설명





4. 결론


해당 악성코드로 감염된 웹 페이지는 드라이브 바이 다운로드(Drive by Download) 방식과는 다르게, 단순히 악성 코드를 다운로드 시키려고 하므로, 사용자가 다운로드를 허용하지 않거나 다운로드 되었더라도 실행시키지 않으면 악성코드에 감염될 일이 없다. 하지만 컴퓨터에 대해 잘 모르거나 부주의한 사용자들은 무심코 다운로드를 허용하고, 폴더 이미지의 아이콘과 확장자가 .scr인 파일인 점에 속아 실행할 수 있으므로 주의해야 한다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

인터넷 쇼핑몰 I사 해킹에 사용된 악성코드 상세 분석



1. 개요 


최근 국내 대형 인터넷 쇼핑몰 I사가 지능형 지속가능 위협(APT) 공격을 받아 회원 1030만명의 개인 정보가 유출되었다. 본 보고서에선 당시 APT 공격에 사용된 것으로 추정되는 악성 파일 ‘우리가족.abcd.scr’을 분석하고자 한다. 


해당 악성코드는 정상적인 화면 보호기 파일로 위장하기 위해 확장자 scr(Screensaver)을 사용하며, 실제 화면 보호기처럼 동작하기도 한다. 또한 문서, 미디어, 프로세스 정보를 공격자에게 전송하는 등 PC 정보 수집이 목적인 것으로 보인다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

우리가족.abcd.scr

파일크기

9,097,216 byte

진단명

Trojan-Dropper/W32.Agent.9097216

악성동작

악성 파일 생성

 

구분

내용

파일명

msoia.exe, ielowutil.exe

파일크기

921,600 byte

진단명

Backdoor/W32.Agent.921600.AE

악성동작

시스템 정보 송신, 추가 DLL다운로드

네트워크

192.xxx.xxx.125

220.xxx.xxx.110

202.xxx.xxx.198

 




2-2. 유포 경로

이 악성코드는 메일의 첨부 파일을 통해 유포된 것으로 알려져 있으며 화면 보호기 확장자인 .scr을 가지고 있어 사용자가 해당 파일을 의심 없이 실행시킬 가능성이 높다. scr 확장자는 제어판-디스플레이 설정에서 화면 보호기로 설정하지 않고 사용자가 직접 더블 클릭을 통해 실행하면 exe 파일과 유사하게 실행되기 때문에 악성코드에 자주 사용되는 확장자이다.




2-3. 실행 과정

실행된 ‘우리가족.abcd.scr’은 ‘%LocalAppData%\Microsoft\Office\15.0’ 경로에 msoia.exe를 생성한다. 그 다음 msoia.exe를 “/update” 인자와 함께 실행시키고, 정상 파일로 위장하기 위해 화면 보호기 동작을 수행한다. msoia.exe는 ‘%LocalAppData%\Microsoft\Internet Explorer\IECompatData’ 경로에 자기 자신을 ielowutil.exe로 복사하고, “/AUTOSTART”를 인자로 주어 실행시키고 종료된다. 복사된 ielowutil.exe는 총 10가지의 명령을 처리하며, 추가 모듈 다운로드(명령어 86 1A 36 88 15 94 98) 기능을 제외한 나머지 기능은 감염된 PC 정보를 공격자의 서버로 전송하는 기능이다.

[그림] 실행 과정[그림] 실행 과정





3. 악성 동작


3-1. C&C 서버 연결

ielowutil.exe는 아래와 같은 서버에 연결을 시도한다. 서버를 분석한 결과 각각 온두라스, 타이완, 뉴질랜드에 위치한 것으로 나타났다.


[그림] C&C 서버 IP 및 PORT 정보[그림] C&C 서버 IP 및 PORT 정보




3-2. 추가 모듈 다운로드

ielowutil.exe는 공격자의 서버에서 다운로드한 ‘iehmmapi.dll’를 실행된 경로에 생성하고, 메모리에 다시 로드하여 ‘iehmmapi.dll’가 동작하도록 한다.

[그림] iehmmapi.dll 생성과 로드[그림] iehmmapi.dll 생성과 로드


[그림] iehmmapi.dll의 함수 호출[그림] iehmmapi.dll의 함수 호출





4. 결론


해당 파일은 결과적으로 다른 악성 파일에 비해 악성 동작을 많이 수행 하진 않지만 추가되는 모듈의 동작에 따라 피해량이 커질 수 있어 각별한 주의가 필요하다. 


scr 파일은 일반 사용자들에게 다소 생소할 수 있으며, exe 파일과 같은 실행 계열의 PE파일이므로 악성코드에 많이 사용되고 있으며, 화면 보호기뿐만 아니라 그림, 동영상 등의 파일 이름으로도 유포되기 때문에 악성코드로 많이 사용된다. 따라서 해당 파일을 실행할 땐 항시 주의해야하며 정상 파일로 판단이 되더라도 제어판-디스플레이 설정을 통해 사용하면서 만약의 경우를 대비해야 할 것이다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

기업 홈페이지명을 사칭한 백도어 악성코드 분석 보고서




1. 개요 


뒷문이란 의미의 백도어(Backdoor)는 원래는 시스템의 유지 보수나 유사 시 문제 해결을 위해 관리자 보안 설정을 우회하여 시스템에 접근할 수 있도록 하는 것을 뜻했다. 하지만 이 점을 악성코드가 이용하게 되면서 다른 사용자의 보안 설정을 우회하여 접근, 해킹하여 추가적 피해를 입히면서 백도어는 악성동작의 한 종류로 자리잡게 되었다. 


이번 보고서에서는 백도어 악성코드에 대하여 알아보고자 한다. 이번에 분석한 악성코드는 국내 모 대기업의 해외 지사 홈페이지에서 유포된 것으로 추정되며, 신뢰있는 기업의 사이트명을 파일명으로 하여 사용자의 실행을 유도시키며 해킹까지 이어질 수 있다는 점에서 각별한 주의가 필요하다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Hyundai.com

파일크기

384,000 byte

진단명

Trojan/W32.Buzus.384000.C

악성동작

백도어

네트워크

m****s****77.ddns.net – 공격자 서버















2-2. 실행 과정

파일명이 기업명과 동일하며 확장자명이 .com인 이 악성파일은 국내 모기업의 홈페이지 주소와 동일하여 주의가 필요하다. 확장자명 .com은 과거 도스를 사용했던 때의 실행파일 확장자명으로 command.com 같은 구 도스쉘이 이용된 확장자이다. 윈도우 환경에선 .exe와 .com 모두 정상 실행된다.


Hyundai.com 을 실행할 경우 정상 notepad.exe (메모장) 프로세스를 생성한 후 이미지 스위칭을 하며 자신을 종료한다. 정상 notepad.exe 가 실행되었지만 이미지 스위칭으로 인해 그 내용이 악성코드의 내용으로 교체되어 악성 행위를 하게 된다. notepad.exe 는 C&C 서버와 연결을 시도하며 명령을 대기하고, 정상 svchost.exe 를 생성한 후 인젝션을 시도한다. 인젝션 된 svchost.exe 는 notepad.exe 의 생존 주기 연장을 위해 동작하며, 만약 notepad.exe 가 종료된 경우 이를 다시 실행한다.


그림1[그림 1] 악성코드 실행 파일


그림 2[그림 2] 생성된 프로세스


그림 3[그림 3] notepad.exe 생존 주기 연장



악성코드는 m****s****77.ddns.net 에서 공격자 서버의 IP 를 가지고 온다. 여기서 ddns.net 은 DDNS 를 제공해주는 정상 서버이며, 이 곳에 “m****s****77” 로 등록된 서버가 바로 공격자의 서버이다. DDNS 로부터 공격자 서버의 IP 를 받아오지만 현재 연결이 이루어지지 않는다.


정상적으로 연결이 이루어질 경우 공격자는 감염 PC 에 다음과 같은 명령어들을 지시 할 수 있다. 명령어들은 아래와 같은 카테고리로 나누어 볼 수가 있으며, 직관적인 이름과 그에 따른 기능을 가지고 있다.


Category

Command

Process

getprocesslist

killprocessid

suspendprocess

resumeprocessid

Keylogger

keylogger

keyloggerativar

Device

startaudio

webcam

mouseclick

File

fmdownload

fmupload

fmfilesearchlist

fmfilesearchliststop

fmfilesearchlist

fmfolderlist

downexec

Power

fshutdown

fhibernar

flogoff

fpoweroff

frestart

Clipboard

getclipboard

clearclipboard

setclipboard

 

ETC

openweb

shellstart

startupmanager

[표 1] C&C 명령





3. 악성 동작


3-1. 생존 주기 연장

이미지 스위칭 된 notepad.exe 는 자신의 생존 주기 연장을 위해 svchost.exe 를 자식 프로세스로 생성 후 인젝션 한다. 인젝션 된 svchost.exe 는 notepad.exe 가 PC 에서 동작하고 있는지 확인하며, 만약 notepad.exe 가 종료되면 이를 다시 실행한다.


[그림 4][그림 4] notepad.exe 생존 주기 연장




3-2. 파일 다운로드

공격자는 감염 PC 에 추가적인 악성 파일을 다운로드 할 수 있다. 공격자가 특정 URL 을 지정해주면 감염 PC 는 URL 에 접속하여 파일을 다운로드 한다. 임시 폴더 하위에 임의의 이름으로 폴더를 생성한 후 그 곳에 저장한다. 그리고 다운로드가 완료되면 해당 파일을 실행한다.

그림 5[그림 5] 파일 다운로드 후 실행




3-3. 키로깅

공격자는 사용자의 키 입력 정보 또한 가로챌 수 있다. 키로깅 명령을 받으면 키보드 입력 이벤트를 가로채는 함수를 등록하여 Windows 에서 사용자가 입력하는 모든 키 입력 정보를 가로챈다. 가로챈 키 입력 정보와 해당 이벤트가 발생한 윈도우, 시간 등을 종합하여 notepad 폴더 안에 logs.dat 파일에 기록한다.


그림 6[그림 6] 사용자 키 입력 정보 가로채기


그림 7[그림 7] logs.dat 내용




3-4. 사용자 화면 캡쳐

공격자는 현재 사용자가 PC 에서 조작하고 있는 화면을 캡쳐 할 수 있다.


그림 8[그림 8] 사용자 화면 캡쳐




3-5. 기타 기능

공격자는 사용자 PC 에서 어떤 프로세스가 동작하고 있는지 확인할 수 있으며, 오디오 장치를 통해 음성 정보를 탈취 할 수도 있다. 또한 사용자 PC 의 마우스 클릭을 조작하거나 파일 업로드 및 다운로드 등의 동작을 수행할 수 있다.





4. 결론


이번 보고서에서 분석한 악성 파일은 사용자가 일반적으로 사용하는 notepad.exe 를 통해 동작한다. 이로 인해 사용자가 동작 사실을 알아차리기 어려우며, 만약 이를 알아차리고 종료한다 하더라도 인젝션 된 svchost.exe 에 의해 다시 실행되므로 대처가 어렵다.


백도어의 경우 공격자에 의해 추가적인 악성 파일을 다운로드 할 수가 있으며, 지속적으로 사용자의 개인 정보가 탈취 당할 수 있다. 따라서 인증되지 않은 불법 소프트웨어의 다운로드를 자제하고, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.


위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


그림 9[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


그림 10[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

북한이 사용한 악성 프로그램 ‘유령쥐’



 

1. 개요

지난 6월 13일 경찰청 사이버안전국은 북한이 4차 핵실험 직후인 2월, 국내 대기업 전산망을 해킹했음을 발표하였다. 발표에 따르면 북한은 악성 프로그램 ‘유령쥐’를 이용해 13만여대의 컴퓨터를 감염시켰다고 한다. 이번 보고서에선 이 유령쥐를 자세하게 알아보고자 한다. 


실행파일명은 zegost.exe로 통칭 Gh0st RAT의 변종으로 불리고 있다. 여기서 RAT은  Remote Access Tool 혹은 Remote Administrator Tool로 불리며 단어의 차이는 있으나 그 뜻은 원격 접속을 보장하는 도구로 같다. 유령쥐라는 명칭 또한 Gh0st RAT이라는 영문이름에서 비롯된 것으로 보인다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

svchsot.exe

파일크기

106,496 byte

진단명

Backdoor/W32.Zegost.106496

악성동작

C&C, 백도어, 키로거











2-2. 유포 경로

지난 6월 13일 기사 경찰청 사이버안전국 발표에 따르면, 유령쥐는 PC 통합관리 시스템의 취약점을 통해 기업 전산망에 침투한 것으로 알려졌다. 이 보고서에서 분석하는 샘플은 유령쥐의 변종으로 구체적으로 어떤 악성동작을 수행할 수 있는지 알아보고자 한다.




2-3. 실행 과정

최초 실행 시 %WINDIR%\[임의6글자]\svchsot.exe 로 자신을 복제하고 작업 스케줄러를 통해 매시간 자동실행 되도록 설정한다. 이후 악성동작은 메모리상에만 존재하는 .dll 파일에서 이뤄진다. 이후 하기의 C&C서버에 접속하여 악성동작을 수행하나 현재 서버가 차단되어 실제 동작은 하지 않는다.

[그림] 메모리상에만 존재하는 .dll 파일



h****0.g***y.net:6000

com.g****2.com:6000

com1.g****2.com:6000

[표] C&C 서버 주소






3. 악성 동작

3-1. PC정보 전송

감염 PC의 세부 정보를 악성 서버로 전송한다. C&C 형 악성코드에 감염됐을 때 공격자는 관리를 위해 PC를 식별할 필요가 있어 가장 먼저 수행하는 일반적인 동작이다.


[그림] PC정보 수집




3-2. 키로깅

키보드 입력이 발생할 경우 입력한 키를 문자열로 저장한다. 문자로 표현할 수 없는 키(쉬프트, 컨트롤키 등)는 <SHIFT>, <CTRL> 등으로 치환하여 저장한다. 단순 키보드 탈취는 물론 현재 활성화된 프로그램도 검사하여, 어느 프로그램에 어느 정보를 입력하는지 가로챌 수 있다.


[그림] 키보드 입력 탈취 코드




3-3. 추가 악성코드 다운로드

또한 하기 주소로부터 추가 악성코드를 다운로드 및 실행한다. 다운로드 대상 주소는 C&C 서버와 동일하다. 다행히 C&C 서버와 마찬가지로 모두 차단되어 접속되지 않는다.

http://www.a****5.com:2011/1.exe

http://www.f****5.com:2011/1.exe

http://www.w****8.com:2011/1.exe

[표] 추가 악성코드 다운로드




[그림] 추가 악성코드 다운로드 코드




3-4. 기타 특이사항

웹 브라우저 즐겨찾기가 저장된 폴더를 탐색해 해당 정보를 수집해 공격자에게 전송하고, 받은 정보로 수정하는 코드가 존재한다. 즐겨찾기 정보 탈취 동작은 다른 종류의 C&C 악성코드에선 쉽게 찾을 수 없는 부분이다.

[그림] 즐겨찾기 정보 수집 및 수정




아래 코드를 통해 PC에 연결된 마이크가 있을 경우 소리를 녹음한다. 녹음한 음성은 별도의 로그로 기록하지 않고, 바로 공격자에게 전송된다.

[그림] 마이크 음성 탈취




이 외에도 디바이스 드라이버 설치, 원격연결 저장정보 탈취, 원격접속 세션 제어, 윈도우 타이틀 창 확인, 백신제품 동작방해 등 실로 다양한 동작을 수행할 수 있다. 특히 드라이버 설치 동작이 있어, 감염 후 루트킷을 통해 장기적인 보안위협이 될 여지가 있다.


[그림] 그 외 동작 중 일부



4. 결론

C&C 형태의 악성코드는 공격자의 원격 접속을 보장하는 백도어 기능과 함께 추가 악성 파일 다운로드는 물론 PC에 대한 모든 제어권을 갖는다는 점에서 APT 공격의 빠지지 않는 요소로 등장한다. 이번 유령쥐에 의한 북한의 대기업 해킹 공격 또한 같은 맥락이다. 백도어는 공격자가 감염 PC에 지속적으로 접근할 수 있는 통로를 제공하기에 발견 즉시 삭제해야 하며, 주기적인 백신 검사를 통해 피해를 최소화 할 수 있도록 해야한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

다운로드 프로그램으로 위장한 애드웨어 배포 주의

 



 

1. 개요

컴퓨터를 사용하다보면 컴퓨터 문의 중 한 번쯤 이런 말을 들어봤을 것이다. “아무것도 하지 않았는데 컴퓨터가 느려졌어요.” “인터넷을 하는데 자꾸 이상한 광고가 나와요. 고쳐주세요.” 이런 문제가 있는 PC를 들여다보면 대부분 애드웨어가 원인인 것으로 밝혀진다.


애드웨어의 유포는 여러 경로지만, 보통 특정 프로그램을 설치할 때 사용자가 인지하기 힘든 방식으로 추가 설치되어 골치를 꽤 썪이곤 한다. 사실 추가설치 자체는 잘못된 방식이 아니다. 마이크로소프트사의 오피스 프로그램만 하더라도 ‘워드’만 설치할지, ‘엑셀’도 설치할지 사용자 편의에 맞게 프로그램 설치를 할 수 있기에 추 후 있을 사항을 대비해 추가설치는 꼭 필요한 형태의 설치 방식이다. 또한 이렇게 설치되는 프로그램은 대게 원본 프로그램의 동작에 필수적인 드라이버 등이거나 그와 연관된 프로그램이 대부분이다.


문제는 애드웨어는 원본 프로그램 설치에 필수적이지 않다는 것이다. 동작 또한 원치 않는 광고를 출력하거나, 사용자가 인지할 수 없게 자사 광고를 클릭해 광고수익을 올리는 동작을 한다. 만약 사용자가 광고를 보고 싶어 하더라도, 애드웨어가 설치되는 과정을 본다면 과연 적절한 절차를 따르는지 의문이다. 


핵심은 애드웨어가 ‘사용자가 분명히 인지할 수 있는 방식으로’ 추가설치를 안내하는지 여부이다. 애드웨어의 유포는 속칭 ‘끼워팔기’라고도 불리는데, 아래의 애드웨어의 설치화면을 본다면 그 이유를 확실히 알 수 있다.



[그림] 애드웨어 설치화면




ChaosOne.exe 란 프로그램을 다운받기 위한 단순 다운로더처럼 보이는 이 프로그램은 “제휴 프로그램 추가 설치 및 약관에 동의합니다” 란 문구 아래 설치할 제휴프로그램의 목록이 나열된 애드웨어이다. 그림에서 확인할 수 있듯이 설치 할 제휴 프로그램은 화살표를 클릭하지 않는 한 사용자가 인지할 수 없음은 물론이고, 모든 제휴 프로그램이 기본적으로 체크되어 있기 때문에 ‘실행’ 혹은 ‘저장’ 버튼을 누르면 부지불식간에 모든 추가 제휴 프로그램이 다운로드 및 설치된다.


이처럼 ‘사용자가 원치 않을만한 광고동작’, ‘인지하기 힘든 형태의 추가설치’란 특성으로 인해 애드웨어는 PUP(Potentially Unwanted Program)라 불리기도 한다.


아래 표는 정상 인스톨러와 애드웨어 인스톨러가 설치하는 추가 옵션 프로그램의 성격을 간략하게 나타낸다.



 구

정상 인스톨러

애드웨어 인스톨러

옵션 프로그램

경우에 따라 있음

있음

옵션 프로그램의 성격

원본 설치파일의 동작에 필수적이거나 연관 프로그램

광고, 클릭커, 사용정보 유출

옵션 설치 안내여부

있음(전체 목록이 한 화면에 노출)

있거나 없음(일부 목록만 노출)

옵션 설치방식

원본 설치파일에 포함(경우에 따라 다운로드)

다운로드

옵션 프로그램 약관

원본 설치파일에 포함

다운로드


[표] 정상 설치 프로그램과 애드웨어 설치 프로그램의 차이




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

23-12369_chaosone.exe

파일크기

953,120 byte

진단명

Downloader/W32.W***til.N3.A

악성동작

추가 애드웨어 다운로드

네트워크

 http://pil****e.blogspot.kr/ (유포지)








 



2-2. 유포 경로

23-12369_chaosone.exe 는 개인 블로그로 위장한 http://pil****e.blogspot.kr/ 에서 유포되었다. 애드웨어는 대게 이력서, 플래시 게임, 각종 유틸리티 프로그램 등 검색에 자주 노출될 만한 키워드로 블로그 글을 작성하고, 해당 글에 첨부파일로 첨부되어 유포된다.

이 파일의 경우 게임 워크레프트3의 유틸리티로 위장하여 유포되고 있다. 이 블로그의 첨부파일 다운로드 URL은 애드웨어 유포업체 w***til.com 임을 확인할 수 있다. 외부 링크를 사용하기 때문에 첨부파일은 언제든지 교체될 여지가 있고, 실제로 3~4개월마다 파일을 교체하여 백신업체의 진단을 피하는 모습을 보인다.





[그림] 첨부파일 다운로드 URL




2-3. 실행 과정

23-12369_chaosone.exe 는 최초 실행 시 자사 URL로부터 실제 다운로드 할 파일(여기서는 ChaosOne.exe)의 정보와 추가 다운로드 할 애드웨어의 정보를 얻어온다. ‘실행’ 혹은 ‘저장’ 버튼을 누를 경우 사용자가 원래 받고자 했던 ChaosOne.exe와 함께 10여 개의 애드웨어가 설치된다.




[그림] 다운로드 정보




www.w***til.com/down2/dnfile_101216.ini.php 파일을 확인할 경우 아래와 같은 내용을 확인할 수 있으며, 이용약관, 설치파일 다운로드 URL, 설치 폴더, 설치 파라미터 등 애드웨어 설치에 관한 아주 자세한 정보가 담겨있다.


[검색도우미-**]

agrurl=http://th**m.co.kr/sub/pop01.htm

dnurl=http://www.th**m.co.kr/bin/tam_s01.exe

cnturl=

chkpath={program files}

params=/s

 

[* 아이콘]

agrurl=http://ut***ada.com/down2/KPISS.txt

dnurl=http://www.lot***op.co.kr/bacon/bacon.exe

cnturl=

chkpath={program files}

params=

옵션 프로그램 명(추가 애드웨어)

약관

원본 파일 다운로드 주소

 

설치 경로

설치 파라미터

 

옵션 프로그램 명(추가 애드웨어)

약관

원본 파일 다운로드 주소

 

설치 경로

설치 파라미터


[그림] 애드웨어 설치정보



3. 악성 동작

3-1. 광고동작

동시에 설치되는 애드웨어의 종류가 워낙 많기에 각각의 광고동작을 일일이 나열하는 것은 무의미하다. 아래는 일부 애드웨어의 약관을 토대로 해당 기능을 간략히 나열한 것이다. 대부분 추가 광고노출, 추가 제휴프로그램 다운로드, 개인정보 수집에 관한 내용이다.



(전략) 특정 웹사이트가 자체 웹페이지 또는 팝업창 형태로 연결되게 됩니다.

(전략) URL을 키워드로 인식하여 특정 배너(동영상,이미지,음원등을 포함)등을 (중략) 화면의 중간 또는 웹페이지의 여백등에 배너가 노출되어 집니다.

(전략) 사용자가 방문하려는 사이트와 관련된 다른 사이트를 팝업, 팝언더, 후팝업, 웹브라우저 탭등의 다양한 방식으로 보여주거나 (후략)

(전략) 사이트 바로가기 버튼을 제공하며, 클릭 시 해당 사이트로 바로 연결 되는 서비스를 제공합니다.

(전략) 다양한 형태의 상업적, 비상업적 또는 유, 무료 서비스 또는 컨텐츠, 광고 등을 (중략) 사용자에게 제공할 수 있습니다.

(전략) 새탭의 시작페이지가 변경 재설정 됩니다.

(전략) 추가적인 정보결과페이지(컨텐츠 및 광고상품)를 노출, 제공합니다.

사용자가 최근 열람한 상품 및 관심상품이 (중략) 일정 기간동안 일정한 횟수로 재노출되는 방식으로 광고서비스가 제공되어 집니다.

(전략) 기본탭외에 새탭에 (중략) 추가적인 정보결과페이지(컨테츠 및 광고상품)를 노출, 제공합니다.

(전략) 별도(제휴업체)의 소프트웨어를 제공(추천, 업데이트) 할 수 있습니다.

(전략) 본 소프트웨어 외에 광고 , 컨텐츠 및 기타 서비스를 직접 제공할 수 있습니다.

(전략) 사용자의 개인정보나 PC의 데이터를 수집하고 사용할 수 있습니다.

(전략) 검색엔진이나 주소창 등에서 검색어를 입력하여 나타나는 결과와 연관되는 제3자의 상업적 내용을 사용자의 PC에 전송할 수 있습니다.


[그림] 약관을 토대로 한 애드웨어 동작




4. 결론

애드웨어는 다운로드 받고자 하는 프로그램의 다운로드 성공/실패 여부와 관계 없이 백그라운드로 설치된다. 또한 별도의 설치과정 등이 육안으로 보이지 않아 사용자가 추가 프로그램이 설치되고 있음을 인지못하며 중간에 중지할 수 없고, 하단의 동의 및 설치할 프로그램들이 모두 기본적으로 체크되어 있어 해당 목록을 조회함에 있어 추가적인 동작이 필요하다. 


따라서, 애드웨어는 사용자에게 충분히 설치 여부를 알렸다고 보기 어렵다. 이는 “정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 50조의 5: 정보통신서비스 제공자는 영리목적의 광고성 정보가 보이도록 하거나 개인정보를 수집하는 프로그램을 이용자의 컴퓨터나 그 밖에 대통령령으로 정하는 정보처리장치에 설치하려면 이용자의 동의를 받아야 한다. 이 경우 해당 프로그램의 용도와 삭제방법을 고지하여야 한다.”에서 말하는 이용자의 동의를 받아야 한다. 에 저촉될수 있다고 볼 수 있다.


상기 다운로더와 해당 다운로더로 다운로드된 제휴 프로그램은 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware 에서 진단 및 치료가 가능하다.



[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect