기업 홈페이지명을 사칭한 백도어 악성코드 분석 보고서




1. 개요 


뒷문이란 의미의 백도어(Backdoor)는 원래는 시스템의 유지 보수나 유사 시 문제 해결을 위해 관리자 보안 설정을 우회하여 시스템에 접근할 수 있도록 하는 것을 뜻했다. 하지만 이 점을 악성코드가 이용하게 되면서 다른 사용자의 보안 설정을 우회하여 접근, 해킹하여 추가적 피해를 입히면서 백도어는 악성동작의 한 종류로 자리잡게 되었다. 


이번 보고서에서는 백도어 악성코드에 대하여 알아보고자 한다. 이번에 분석한 악성코드는 국내 모 대기업의 해외 지사 홈페이지에서 유포된 것으로 추정되며, 신뢰있는 기업의 사이트명을 파일명으로 하여 사용자의 실행을 유도시키며 해킹까지 이어질 수 있다는 점에서 각별한 주의가 필요하다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Hyundai.com

파일크기

384,000 byte

진단명

Trojan/W32.Buzus.384000.C

악성동작

백도어

네트워크

m****s****77.ddns.net – 공격자 서버















2-2. 실행 과정

파일명이 기업명과 동일하며 확장자명이 .com인 이 악성파일은 국내 모기업의 홈페이지 주소와 동일하여 주의가 필요하다. 확장자명 .com은 과거 도스를 사용했던 때의 실행파일 확장자명으로 command.com 같은 구 도스쉘이 이용된 확장자이다. 윈도우 환경에선 .exe와 .com 모두 정상 실행된다.


Hyundai.com 을 실행할 경우 정상 notepad.exe (메모장) 프로세스를 생성한 후 이미지 스위칭을 하며 자신을 종료한다. 정상 notepad.exe 가 실행되었지만 이미지 스위칭으로 인해 그 내용이 악성코드의 내용으로 교체되어 악성 행위를 하게 된다. notepad.exe 는 C&C 서버와 연결을 시도하며 명령을 대기하고, 정상 svchost.exe 를 생성한 후 인젝션을 시도한다. 인젝션 된 svchost.exe 는 notepad.exe 의 생존 주기 연장을 위해 동작하며, 만약 notepad.exe 가 종료된 경우 이를 다시 실행한다.


그림1[그림 1] 악성코드 실행 파일


그림 2[그림 2] 생성된 프로세스


그림 3[그림 3] notepad.exe 생존 주기 연장



악성코드는 m****s****77.ddns.net 에서 공격자 서버의 IP 를 가지고 온다. 여기서 ddns.net 은 DDNS 를 제공해주는 정상 서버이며, 이 곳에 “m****s****77” 로 등록된 서버가 바로 공격자의 서버이다. DDNS 로부터 공격자 서버의 IP 를 받아오지만 현재 연결이 이루어지지 않는다.


정상적으로 연결이 이루어질 경우 공격자는 감염 PC 에 다음과 같은 명령어들을 지시 할 수 있다. 명령어들은 아래와 같은 카테고리로 나누어 볼 수가 있으며, 직관적인 이름과 그에 따른 기능을 가지고 있다.


Category

Command

Process

getprocesslist

killprocessid

suspendprocess

resumeprocessid

Keylogger

keylogger

keyloggerativar

Device

startaudio

webcam

mouseclick

File

fmdownload

fmupload

fmfilesearchlist

fmfilesearchliststop

fmfilesearchlist

fmfolderlist

downexec

Power

fshutdown

fhibernar

flogoff

fpoweroff

frestart

Clipboard

getclipboard

clearclipboard

setclipboard

 

ETC

openweb

shellstart

startupmanager

[표 1] C&C 명령





3. 악성 동작


3-1. 생존 주기 연장

이미지 스위칭 된 notepad.exe 는 자신의 생존 주기 연장을 위해 svchost.exe 를 자식 프로세스로 생성 후 인젝션 한다. 인젝션 된 svchost.exe 는 notepad.exe 가 PC 에서 동작하고 있는지 확인하며, 만약 notepad.exe 가 종료되면 이를 다시 실행한다.


[그림 4][그림 4] notepad.exe 생존 주기 연장




3-2. 파일 다운로드

공격자는 감염 PC 에 추가적인 악성 파일을 다운로드 할 수 있다. 공격자가 특정 URL 을 지정해주면 감염 PC 는 URL 에 접속하여 파일을 다운로드 한다. 임시 폴더 하위에 임의의 이름으로 폴더를 생성한 후 그 곳에 저장한다. 그리고 다운로드가 완료되면 해당 파일을 실행한다.

그림 5[그림 5] 파일 다운로드 후 실행




3-3. 키로깅

공격자는 사용자의 키 입력 정보 또한 가로챌 수 있다. 키로깅 명령을 받으면 키보드 입력 이벤트를 가로채는 함수를 등록하여 Windows 에서 사용자가 입력하는 모든 키 입력 정보를 가로챈다. 가로챈 키 입력 정보와 해당 이벤트가 발생한 윈도우, 시간 등을 종합하여 notepad 폴더 안에 logs.dat 파일에 기록한다.


그림 6[그림 6] 사용자 키 입력 정보 가로채기


그림 7[그림 7] logs.dat 내용




3-4. 사용자 화면 캡쳐

공격자는 현재 사용자가 PC 에서 조작하고 있는 화면을 캡쳐 할 수 있다.


그림 8[그림 8] 사용자 화면 캡쳐




3-5. 기타 기능

공격자는 사용자 PC 에서 어떤 프로세스가 동작하고 있는지 확인할 수 있으며, 오디오 장치를 통해 음성 정보를 탈취 할 수도 있다. 또한 사용자 PC 의 마우스 클릭을 조작하거나 파일 업로드 및 다운로드 등의 동작을 수행할 수 있다.





4. 결론


이번 보고서에서 분석한 악성 파일은 사용자가 일반적으로 사용하는 notepad.exe 를 통해 동작한다. 이로 인해 사용자가 동작 사실을 알아차리기 어려우며, 만약 이를 알아차리고 종료한다 하더라도 인젝션 된 svchost.exe 에 의해 다시 실행되므로 대처가 어렵다.


백도어의 경우 공격자에 의해 추가적인 악성 파일을 다운로드 할 수가 있으며, 지속적으로 사용자의 개인 정보가 탈취 당할 수 있다. 따라서 인증되지 않은 불법 소프트웨어의 다운로드를 자제하고, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.


위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


그림 9[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


그림 10[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

북한이 사용한 악성 프로그램 ‘유령쥐’



 

1. 개요

지난 6월 13일 경찰청 사이버안전국은 북한이 4차 핵실험 직후인 2월, 국내 대기업 전산망을 해킹했음을 발표하였다. 발표에 따르면 북한은 악성 프로그램 ‘유령쥐’를 이용해 13만여대의 컴퓨터를 감염시켰다고 한다. 이번 보고서에선 이 유령쥐를 자세하게 알아보고자 한다. 


실행파일명은 zegost.exe로 통칭 Gh0st RAT의 변종으로 불리고 있다. 여기서 RAT은  Remote Access Tool 혹은 Remote Administrator Tool로 불리며 단어의 차이는 있으나 그 뜻은 원격 접속을 보장하는 도구로 같다. 유령쥐라는 명칭 또한 Gh0st RAT이라는 영문이름에서 비롯된 것으로 보인다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

svchsot.exe

파일크기

106,496 byte

진단명

Backdoor/W32.Zegost.106496

악성동작

C&C, 백도어, 키로거











2-2. 유포 경로

지난 6월 13일 기사 경찰청 사이버안전국 발표에 따르면, 유령쥐는 PC 통합관리 시스템의 취약점을 통해 기업 전산망에 침투한 것으로 알려졌다. 이 보고서에서 분석하는 샘플은 유령쥐의 변종으로 구체적으로 어떤 악성동작을 수행할 수 있는지 알아보고자 한다.




2-3. 실행 과정

최초 실행 시 %WINDIR%\[임의6글자]\svchsot.exe 로 자신을 복제하고 작업 스케줄러를 통해 매시간 자동실행 되도록 설정한다. 이후 악성동작은 메모리상에만 존재하는 .dll 파일에서 이뤄진다. 이후 하기의 C&C서버에 접속하여 악성동작을 수행하나 현재 서버가 차단되어 실제 동작은 하지 않는다.

[그림] 메모리상에만 존재하는 .dll 파일



h****0.g***y.net:6000

com.g****2.com:6000

com1.g****2.com:6000

[표] C&C 서버 주소






3. 악성 동작

3-1. PC정보 전송

감염 PC의 세부 정보를 악성 서버로 전송한다. C&C 형 악성코드에 감염됐을 때 공격자는 관리를 위해 PC를 식별할 필요가 있어 가장 먼저 수행하는 일반적인 동작이다.


[그림] PC정보 수집




3-2. 키로깅

키보드 입력이 발생할 경우 입력한 키를 문자열로 저장한다. 문자로 표현할 수 없는 키(쉬프트, 컨트롤키 등)는 <SHIFT>, <CTRL> 등으로 치환하여 저장한다. 단순 키보드 탈취는 물론 현재 활성화된 프로그램도 검사하여, 어느 프로그램에 어느 정보를 입력하는지 가로챌 수 있다.


[그림] 키보드 입력 탈취 코드




3-3. 추가 악성코드 다운로드

또한 하기 주소로부터 추가 악성코드를 다운로드 및 실행한다. 다운로드 대상 주소는 C&C 서버와 동일하다. 다행히 C&C 서버와 마찬가지로 모두 차단되어 접속되지 않는다.

http://www.a****5.com:2011/1.exe

http://www.f****5.com:2011/1.exe

http://www.w****8.com:2011/1.exe

[표] 추가 악성코드 다운로드




[그림] 추가 악성코드 다운로드 코드




3-4. 기타 특이사항

웹 브라우저 즐겨찾기가 저장된 폴더를 탐색해 해당 정보를 수집해 공격자에게 전송하고, 받은 정보로 수정하는 코드가 존재한다. 즐겨찾기 정보 탈취 동작은 다른 종류의 C&C 악성코드에선 쉽게 찾을 수 없는 부분이다.

[그림] 즐겨찾기 정보 수집 및 수정




아래 코드를 통해 PC에 연결된 마이크가 있을 경우 소리를 녹음한다. 녹음한 음성은 별도의 로그로 기록하지 않고, 바로 공격자에게 전송된다.

[그림] 마이크 음성 탈취




이 외에도 디바이스 드라이버 설치, 원격연결 저장정보 탈취, 원격접속 세션 제어, 윈도우 타이틀 창 확인, 백신제품 동작방해 등 실로 다양한 동작을 수행할 수 있다. 특히 드라이버 설치 동작이 있어, 감염 후 루트킷을 통해 장기적인 보안위협이 될 여지가 있다.


[그림] 그 외 동작 중 일부



4. 결론

C&C 형태의 악성코드는 공격자의 원격 접속을 보장하는 백도어 기능과 함께 추가 악성 파일 다운로드는 물론 PC에 대한 모든 제어권을 갖는다는 점에서 APT 공격의 빠지지 않는 요소로 등장한다. 이번 유령쥐에 의한 북한의 대기업 해킹 공격 또한 같은 맥락이다. 백도어는 공격자가 감염 PC에 지속적으로 접근할 수 있는 통로를 제공하기에 발견 즉시 삭제해야 하며, 주기적인 백신 검사를 통해 피해를 최소화 할 수 있도록 해야한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

다운로드 프로그램으로 위장한 애드웨어 배포 주의

 



 

1. 개요

컴퓨터를 사용하다보면 컴퓨터 문의 중 한 번쯤 이런 말을 들어봤을 것이다. “아무것도 하지 않았는데 컴퓨터가 느려졌어요.” “인터넷을 하는데 자꾸 이상한 광고가 나와요. 고쳐주세요.” 이런 문제가 있는 PC를 들여다보면 대부분 애드웨어가 원인인 것으로 밝혀진다.


애드웨어의 유포는 여러 경로지만, 보통 특정 프로그램을 설치할 때 사용자가 인지하기 힘든 방식으로 추가 설치되어 골치를 꽤 썪이곤 한다. 사실 추가설치 자체는 잘못된 방식이 아니다. 마이크로소프트사의 오피스 프로그램만 하더라도 ‘워드’만 설치할지, ‘엑셀’도 설치할지 사용자 편의에 맞게 프로그램 설치를 할 수 있기에 추 후 있을 사항을 대비해 추가설치는 꼭 필요한 형태의 설치 방식이다. 또한 이렇게 설치되는 프로그램은 대게 원본 프로그램의 동작에 필수적인 드라이버 등이거나 그와 연관된 프로그램이 대부분이다.


문제는 애드웨어는 원본 프로그램 설치에 필수적이지 않다는 것이다. 동작 또한 원치 않는 광고를 출력하거나, 사용자가 인지할 수 없게 자사 광고를 클릭해 광고수익을 올리는 동작을 한다. 만약 사용자가 광고를 보고 싶어 하더라도, 애드웨어가 설치되는 과정을 본다면 과연 적절한 절차를 따르는지 의문이다. 


핵심은 애드웨어가 ‘사용자가 분명히 인지할 수 있는 방식으로’ 추가설치를 안내하는지 여부이다. 애드웨어의 유포는 속칭 ‘끼워팔기’라고도 불리는데, 아래의 애드웨어의 설치화면을 본다면 그 이유를 확실히 알 수 있다.



[그림] 애드웨어 설치화면




ChaosOne.exe 란 프로그램을 다운받기 위한 단순 다운로더처럼 보이는 이 프로그램은 “제휴 프로그램 추가 설치 및 약관에 동의합니다” 란 문구 아래 설치할 제휴프로그램의 목록이 나열된 애드웨어이다. 그림에서 확인할 수 있듯이 설치 할 제휴 프로그램은 화살표를 클릭하지 않는 한 사용자가 인지할 수 없음은 물론이고, 모든 제휴 프로그램이 기본적으로 체크되어 있기 때문에 ‘실행’ 혹은 ‘저장’ 버튼을 누르면 부지불식간에 모든 추가 제휴 프로그램이 다운로드 및 설치된다.


이처럼 ‘사용자가 원치 않을만한 광고동작’, ‘인지하기 힘든 형태의 추가설치’란 특성으로 인해 애드웨어는 PUP(Potentially Unwanted Program)라 불리기도 한다.


아래 표는 정상 인스톨러와 애드웨어 인스톨러가 설치하는 추가 옵션 프로그램의 성격을 간략하게 나타낸다.



 구

정상 인스톨러

애드웨어 인스톨러

옵션 프로그램

경우에 따라 있음

있음

옵션 프로그램의 성격

원본 설치파일의 동작에 필수적이거나 연관 프로그램

광고, 클릭커, 사용정보 유출

옵션 설치 안내여부

있음(전체 목록이 한 화면에 노출)

있거나 없음(일부 목록만 노출)

옵션 설치방식

원본 설치파일에 포함(경우에 따라 다운로드)

다운로드

옵션 프로그램 약관

원본 설치파일에 포함

다운로드


[표] 정상 설치 프로그램과 애드웨어 설치 프로그램의 차이




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

23-12369_chaosone.exe

파일크기

953,120 byte

진단명

Downloader/W32.W***til.N3.A

악성동작

추가 애드웨어 다운로드

네트워크

 http://pil****e.blogspot.kr/ (유포지)








 



2-2. 유포 경로

23-12369_chaosone.exe 는 개인 블로그로 위장한 http://pil****e.blogspot.kr/ 에서 유포되었다. 애드웨어는 대게 이력서, 플래시 게임, 각종 유틸리티 프로그램 등 검색에 자주 노출될 만한 키워드로 블로그 글을 작성하고, 해당 글에 첨부파일로 첨부되어 유포된다.

이 파일의 경우 게임 워크레프트3의 유틸리티로 위장하여 유포되고 있다. 이 블로그의 첨부파일 다운로드 URL은 애드웨어 유포업체 w***til.com 임을 확인할 수 있다. 외부 링크를 사용하기 때문에 첨부파일은 언제든지 교체될 여지가 있고, 실제로 3~4개월마다 파일을 교체하여 백신업체의 진단을 피하는 모습을 보인다.





[그림] 첨부파일 다운로드 URL




2-3. 실행 과정

23-12369_chaosone.exe 는 최초 실행 시 자사 URL로부터 실제 다운로드 할 파일(여기서는 ChaosOne.exe)의 정보와 추가 다운로드 할 애드웨어의 정보를 얻어온다. ‘실행’ 혹은 ‘저장’ 버튼을 누를 경우 사용자가 원래 받고자 했던 ChaosOne.exe와 함께 10여 개의 애드웨어가 설치된다.




[그림] 다운로드 정보




www.w***til.com/down2/dnfile_101216.ini.php 파일을 확인할 경우 아래와 같은 내용을 확인할 수 있으며, 이용약관, 설치파일 다운로드 URL, 설치 폴더, 설치 파라미터 등 애드웨어 설치에 관한 아주 자세한 정보가 담겨있다.


[검색도우미-**]

agrurl=http://th**m.co.kr/sub/pop01.htm

dnurl=http://www.th**m.co.kr/bin/tam_s01.exe

cnturl=

chkpath={program files}

params=/s

 

[* 아이콘]

agrurl=http://ut***ada.com/down2/KPISS.txt

dnurl=http://www.lot***op.co.kr/bacon/bacon.exe

cnturl=

chkpath={program files}

params=

옵션 프로그램 명(추가 애드웨어)

약관

원본 파일 다운로드 주소

 

설치 경로

설치 파라미터

 

옵션 프로그램 명(추가 애드웨어)

약관

원본 파일 다운로드 주소

 

설치 경로

설치 파라미터


[그림] 애드웨어 설치정보



3. 악성 동작

3-1. 광고동작

동시에 설치되는 애드웨어의 종류가 워낙 많기에 각각의 광고동작을 일일이 나열하는 것은 무의미하다. 아래는 일부 애드웨어의 약관을 토대로 해당 기능을 간략히 나열한 것이다. 대부분 추가 광고노출, 추가 제휴프로그램 다운로드, 개인정보 수집에 관한 내용이다.



(전략) 특정 웹사이트가 자체 웹페이지 또는 팝업창 형태로 연결되게 됩니다.

(전략) URL을 키워드로 인식하여 특정 배너(동영상,이미지,음원등을 포함)등을 (중략) 화면의 중간 또는 웹페이지의 여백등에 배너가 노출되어 집니다.

(전략) 사용자가 방문하려는 사이트와 관련된 다른 사이트를 팝업, 팝언더, 후팝업, 웹브라우저 탭등의 다양한 방식으로 보여주거나 (후략)

(전략) 사이트 바로가기 버튼을 제공하며, 클릭 시 해당 사이트로 바로 연결 되는 서비스를 제공합니다.

(전략) 다양한 형태의 상업적, 비상업적 또는 유, 무료 서비스 또는 컨텐츠, 광고 등을 (중략) 사용자에게 제공할 수 있습니다.

(전략) 새탭의 시작페이지가 변경 재설정 됩니다.

(전략) 추가적인 정보결과페이지(컨텐츠 및 광고상품)를 노출, 제공합니다.

사용자가 최근 열람한 상품 및 관심상품이 (중략) 일정 기간동안 일정한 횟수로 재노출되는 방식으로 광고서비스가 제공되어 집니다.

(전략) 기본탭외에 새탭에 (중략) 추가적인 정보결과페이지(컨테츠 및 광고상품)를 노출, 제공합니다.

(전략) 별도(제휴업체)의 소프트웨어를 제공(추천, 업데이트) 할 수 있습니다.

(전략) 본 소프트웨어 외에 광고 , 컨텐츠 및 기타 서비스를 직접 제공할 수 있습니다.

(전략) 사용자의 개인정보나 PC의 데이터를 수집하고 사용할 수 있습니다.

(전략) 검색엔진이나 주소창 등에서 검색어를 입력하여 나타나는 결과와 연관되는 제3자의 상업적 내용을 사용자의 PC에 전송할 수 있습니다.


[그림] 약관을 토대로 한 애드웨어 동작




4. 결론

애드웨어는 다운로드 받고자 하는 프로그램의 다운로드 성공/실패 여부와 관계 없이 백그라운드로 설치된다. 또한 별도의 설치과정 등이 육안으로 보이지 않아 사용자가 추가 프로그램이 설치되고 있음을 인지못하며 중간에 중지할 수 없고, 하단의 동의 및 설치할 프로그램들이 모두 기본적으로 체크되어 있어 해당 목록을 조회함에 있어 추가적인 동작이 필요하다. 


따라서, 애드웨어는 사용자에게 충분히 설치 여부를 알렸다고 보기 어렵다. 이는 “정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 50조의 5: 정보통신서비스 제공자는 영리목적의 광고성 정보가 보이도록 하거나 개인정보를 수집하는 프로그램을 이용자의 컴퓨터나 그 밖에 대통령령으로 정하는 정보처리장치에 설치하려면 이용자의 동의를 받아야 한다. 이 경우 해당 프로그램의 용도와 삭제방법을 고지하여야 한다.”에서 말하는 이용자의 동의를 받아야 한다. 에 저촉될수 있다고 볼 수 있다.


상기 다운로더와 해당 다운로더로 다운로드된 제휴 프로그램은 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware 에서 진단 및 치료가 가능하다.



[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

백도어 악성코드 분석 보고서 



 

1. 개요

여러 악성코드 종류 중에서 표적의 정보를 탈취하거나 추가적인 공격에 흔히 사용되는 악성코드를 백도어 악성코드라고 불린다. 일반적으로 백도어의 의미는 사용자에게 정상적인 인증을 거치지 않고 공격자가 PC에 접근할 수 있는 동작을 말한다.


이번 보고서에서는 백도어 악성코드를 분석하여 백도어 악성코드가 가지고 있는 일반적인 기능과 방식에 대해 이야기한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

server.exe

파일크기

737,280 Byte

진단명

Trojan-Spy/W32.Agent.737280.D

악성동작

백도어, 사용자 정보 탈취








 


3. 악성 동작

3-1. 추가 악성 파일 다운로드

분석한 악성코드는 특정 URL에서 추가적인 파일을 내려 받고 실행시킨다. 악성코드를 다운로드 받는 해당 URL은 분석 시점에서는 접속 되지 않는다.



[그림 1] 특정 주소지에서 파일을 다운받고 실행시키는 부분




3-2. 자동실행 등록

해당 파일은 svchsot.exe(본래 svchost.exe)라는 혼돈 될 수 있는 파일명으로 자기 자신을 Windows 폴더 하위에“XXXXXXPC시간정보” (ex. XXXXXXB1869ED4 등) 폴더를 생성한 뒤 복사한다. 이후 해당 파일을 자동 실행으로 등록하여 사용자가 PC를 재실행 할 때마다 동작 하도록 하였다.



[그림 2] 파일명을 변경 한 뒤 Run 레지스트리에 등록




[그림 3] Run 레지스트에 등록된 값




3-3. 백신 프로그램 동작 방해

일반적으로 많이 쓰이는 백신이 동작 중인지 확인하고 종료 시킨다.


[그림 4] taskkill 명령어로 백신 프로세스를 종료




[그림 5] 여러 백신 사의 프로세스를 탐색 한 뒤 종료




3-4. PC 정보 탈취

CPU 정보, 컴퓨터 이름, 사용자 이름, 디스크 정보, 메모리 정보, 네트워크 정보 등 PC와 관련된 정보와 사용자 정보를 조회하고 탈취한다.


[그림 6] PC 정보를 탈취하는 코드




3-5. 백도어 악성동작 : 화면 캡쳐 기능

현재 사용자의 화면을 캡쳐한다.


[그림 7] 현재 사용자의 화면을 캡쳐하여 저장




3-6. 백도어 악성동작 : 음성 정보 탈취

감염된 PC에서 오디오 입력장치의 유무를 확인 한 뒤 오디오 입력장치를 통해 음성을 녹음 한다.



[그림 8] 사용자의 오디오 입력을 받는 부분




3-7. 백도어 악성동작 : 기타 기능

이 외에도 원하는 파일을 검색하는 기능, 키로깅, 네트워크 접속, 클립 보드 내용 탈취 등 여러가지 기능이 존재하며 사용자 PC가 감염 됐다면 공격자는 원하는 동작을 사용자 모르게 수행 할 수 있다.





4. 결론

이번 보고서에서 분석한 악성파일은 정상 svchost.exe 파일명과 유사하게 위장 실행되어 사용자들이 쉽게 구분 할 수 없는 특징이 있다. 백도어 또는 C&C 악성코드에 감염된다면 자신도 모르게 개인 정보가 탈취 당할 수 있으며, 감염 PC는 또 다른 범죄에 악용 될 수 있다. 


따라서 인증되지 않은 불법적인 소프트웨어 다운로드는 최대한 자제하고, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

인터넷 뱅킹 파밍 KRBanker 악성코드 분석 보고서 



1. 개요

인터넷뱅킹 파밍 악성코드는 정부 및 금융기관의 노력에도 불구하고 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있어 치료에 한계가 따른다. 


이 보고서에서는 활동이 급증하고 있는 악성파일 'KRBanker'을 분석하여, 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

KRBanker_d8dba.exe

파일크기

338,944 byte

진단명

Banker/W32.Agent.338944

악성동작

금융정보 탈취

네트워크

104.***.***.27 (파밍서버)






 


2-2. 유포 경로

KRBanker는 주로 익스플로잇, 피싱 이메일 등으로 유포된다. 따라서 사용중인 소프트웨어를 상시 업데이트하고 모르는 사람으로부터 받은 이메일은 열지 않는 기본 수칙으로 악성코드 감염을 방지할 수 있다.



2-3. 실행 과정

KRBanker_d8dba.exe 는 최초실행 시 실행위치에 숨김 · 읽기전용 속성을 부여하고 윈도우 정상프로세스 chcp.com을 이용해 악성동작을 수행한다. chcp.com 은 국가별 키보드를 설정하기 위한 프로그램이다. KRBanker_d8dba.exe 는 hosts 파일 등을 수정하지 않고, 백신 감시를 피해 chcp.com 을 이용하여 가짜 사이트로 유도하므로 악성동작이 있음을 알아채기 힘들다.




3. 악성 동작

3-1. 자동실행 등록

KRBanker_d8dba.exe 는 재부팅 후에도 자동실행 되도록 레지스트리에 임의의 8글자로 자신을 등록한다. chcp.com 을 실행한 후 종료되기에 감염된 상태에선 KRBanker_d8dba.exe 의 동작을 확인할 수 없다.

 



[그림] 자동실행 등록


3-2. 인터넷뱅킹 파밍

기존 사용하던 파밍 방식으론 hosts 파일 내에서 파밍 대상 은행주소를 쉽게 알 수 있었지만, 자동 구성 스크립트를 이용한 방식이 인기를 끌면서 브라우저가 접속중인 주소와 파밍 대상 은행주소를 해쉬화 시켜 비교하기에 파밍 대상 은행주소를 알아내는데 어려움이 있다. 파밍 대상 주소가 아닌 URL로는 악성동작을 하지 않는다.



[그림파밍 대상 은행주소




감염상태에서는 웹 브라우저 시작페이지가 N 포털 사이트로 바뀌고 팝업 창을 통해 가짜 은행 사이트로 유도한다. 팝업 창 외에는 클릭이 되질 않기에 포털 사이트 이용이 불가하다. 팝업창의 은행 배너를 클릭하면 은행사이트로 보이는 파밍사이트로 이동하게 되고 이후 계좌정보, 계좌비밀번호, 보안카드번호 전체입력을 요구하는 창이 표시된다.





[그림웹 브라우저 시작 페이지 변경 및 가짜사이트로 유도




파밍에 사용되는 가짜 웹 서버의 주소는 아래의 방식으로 얻어온다. 가짜 웹 서버 주소를 얻는 방법으로 중국 메신저 서비스를 이용하기 때문에 차단이 어렵다.



[그림가짜 웹 서버 IP 수신 패킷




위의 방식을 통해 악성코드가 얻어온 웹 서버 IP를 조회해 본 결과 정상 인터넷뱅킹 사이트의 IP를 조회할 때와는 다른 결과를 확인할 수 있다.


[그림가짜 서버(좌)와 정상 서버(우)의 조회결과 차이




3-3. 인증서 유출

인증서 유출은 추가적으로 실행된 chcp.com 에서 수행된다. PC의 모든 폴더를 대상으로 NPKI 폴더를 검색하며 인증서 발견 시 임시폴더 하위에 폴더 경로와 함께 인증서를 백업해 두는 모습을 볼 수 있다.

[그림임시저장된 인증서




4. 결론

이 악성코드는 자동 구성 스크립트를 이용하여 동작하기 때문에 감염 시 아래와 같은 보안 경고가 반드시 출력된다. OS 의 모든 파일이 어떤 역할을 하는지 전부 알기란 불가능하지만 검색을 통해 쉽게 그 역할을 파악할 수 있다. 


검색 결과 chcp.com 은 정상동작 하엔 네트워크 동작을 하지 않음을 확인할 수 있다. 따라서 OS에서 제공하는 보안경고에 조금만 주의를 기울인다면 PC의 이상징후를 보다 빨리 파악할 수 있을 것이다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림OS 보안경고




[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

ZeusBot 변종 악성코드 분석 보고서 



1. 개요

ZBot 이라고 알려진 제우스 봇은 유명한 상용 해킹 툴로써 2007년 이래로 지금껏 활동을 이어오고 있다주로 이메일이나 소프트웨어 취약점을 이용해 전파되며감염된 PC를 쉽게 제어 할 수 있는 C&C 서버 프로그램을 제공한다또한 악성코드를 생성 할 때 자세한 사항을 설정할 수 있는 빌더를 제공하고 있어 감염 방지에 어려움이 따른다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

fc6b9.exe

파일크기

450,560 byte

진단명

Trojan-Spy/W32.ZBot.450560.P

악성동작

인증서 탈취파일 생성실행, C&C, 인젝션

네트워크

78.***.**.114 






 




2-2. 유포 경로

ZBot은 감염PC 봇넷을 생성·관리하는 하나의 해킹 서비스를 말한다많은 변종과 함께 목적에 따라 다양한 유포 및 감염 방식을 취하고 있어 유포경로를 특정 짓기 어렵다.



2-3. 실행 과정

제우스 봇의 변종 중 하나인 fc6b9.exe 는 실행 시 시스템폴더 하위에 정상 ntos.exe 파일을 자신으로 교체한다또한 동일폴더 하위에 wsnpoem 폴더를 생성하고 이곳에 audio.dll 과 video.dll 파일을 생성하여 악성동작에 활용한다이 두 파일은 .dll 확장자를 갖고 있지만 단순 데이터 파일이다.


또한 이 악성코드는 윈도우 정상 프로세스 winlogon.exe 와 explorer.exe 에 인젝션되어 실행되기 때문에 사용자가 감염사실을 인지하기 어렵다.




3. 악성 동작

3-1. 보안 프로그램 종료 시도

fc6b9.exe 는 현재 실행중인 프로세스의 실행 파일명을 기준으로 해당 프로세스 종료를 시도한다대상 프로세스는 outpost.exe 와 zlclient.exe 로 모두 방화벽 프로그램이다.

 



[그림보안 프로그램 종료 시도


3-2. 인증서 탈취

ZBot은 PC에 저장된 인증서를 탈취하는 동작을 한다. PFXExportCertStore 함수는 PC에 저장된 인증서는 물론해당 인증서에 쌍을 이루는 개인 키까지 탈취할 수 있다.



[
그림인증서 탈취



3-3. 암호화된 설정파일

ZBot 만의 특징적인 활동으로 C&C 서버에 저장된 설정파일을 다운로드 한다대게 이 파일은 cfg.bin 이라는 파일명을 사용한다이 설정파일을 통해 아래와 같은 내용을 설정할 수 있다.


설정 항목

설명

timer_logs

감염PC 로그파일 서버 업로드 간격

timer_stats

감염PC 감염통계 서버 전송 간격

url_config

설정파일을 가져오기 위한 서버 URL

url_compip

감염PC를 등록하기 위한 서버 URL

encryption_key

설정파일을 암호화 하기 위한 키

[] ZBot 설정 항목


실제로 이 악성코드에서 audio.dll 파일을 설정을 저장하는 용도로 사용하고 있으며그 내용은 암호화 되어 기록된다.




[
그림설정 파일 다운로드 패킷




[
그림] audio.dll 파일의 내용




4. 결론

ZBot 은 이 악성코드만 전문적으로 추적하여 차단할 수 있는 웹사이트가 있을 정도로 많이 쓰이는 악성코드이지만실시간 탐지 및 차단에도 불구하고 현재까지 활발히 활동하는 악성코드이다매번 새로운 코드로 업데이트 되는 만큼 백신에 진단되기까지의 짧은 시간 동안 감염되는 경우가 많아 사용자의 주의가 요구된다.


위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[
그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[
그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

사용자 행동을 감시하는 악성코드 분석 보고서 



 

 

1. 개요

악성코드는 일반적으로 기존에 사용 되었던 코드를 재사용하거나전문 툴을 이용해서 제작된다그 중에서 전문 툴로 제작된 악성코드는 상당히 정교하기 때문에 해커들 사이에서 많이 사용된다특히전문 툴을 사용하는 악성코드 중 Backdoor 기능이 담겨있는 툴을 RAT라고 하는데 일단 감염에 성공한다면 Backdoor 기능을 통해 수 많은 다른 악성 행위가 가능해진다.


악성코드 Backdoor/W32.DarkKomet.281088.G (procexp.exe) 를 분석하며 원격 제어를 가능하게 하는 악성코드의 위험성에 대해 말하고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

procexp.exe, scrss.exe

파일크기

281,088 Byte

진단명

Backdoor/W32.DarkKomet.281088.G

악성동작

윈도우 관리 유틸 무력화, 원격 접속 시도

네트워크

81.***.**.*19






 


2-2. 유포 경로

악성코드는 procexp.exe 이름으로 유포되고 있었는데 이 파일명은 Microsoft 사의 유틸리티와 같아 사용자들이 실제 유틸리티와 혼동하기 쉽다. 실제 Microsoft의 유틸리티인 procexp.exe는 Windows Sysinternals 에서 배포하고 있으며 윈도우의 작업관리자보다 더 많은 기능을 가지고 있기 때문에 많은 사람들이 사용하고 있다


이 떄문에 악성코드 유포자는 해당 파일을 표적해 악성코드를 위장시켰다고 볼 수 있다악성파일은 개인 사이트 http://m****e****u**.**t****s**.org/procexp.exe 에서 유포되고 있다.





[그림 1] 실제 Microsoft에서 배포하고 있는 정상 procexp.exe





2-3. 실행 과정

악성파일은 실행 시 system32 폴더 하위에 MSDCSC라는 폴더를 생성하고 scrss.exe라는 파일명으로 자기 자신을 복제하고 실행시킨다해당 파일명은 윈도우 시스템의 중요파일인 csrss.exe 를 위장한 것으로 보이며동작 시 시스템 관리 유틸리티에 관한 레지스트리 값을 수정하며 탐지를 회피한다.


이후윈도우 부팅 중 사용자 로그인 인증과정 단계에서 자동 실행 된다실행 된 scrss.exe 파일은 정상 실행파일 iexplore.exe 로 위장하여 자신의 악성동작을 실행 시킨다숙주 파일이었던 procexp.exe 는 자가 삭제 되며 자동실행으로 등록되는 scrss.exe 실행파일은 숨김 속성과 시스템 속성이 할당 된다.



[
그림 2특정 폴더아래에 숨김 속성과 시스템 속성이 부여된 악성파일

 



[
그림 3윈도우 로그인 시 같이 실행 되는 scrss.exe 악성파일

 



3. 악성 동작

3-1. 시스템 관리 유틸리티 동작 방해 및 기타 보안설정 변경

악성코드는 윈도우에서 제공하는 기본적인 관리 유틸리티 프로그램들을 사용하지 못하게 한다감염 시 사용 불가능한 관리 프로그램은 regedit.exe  taskmgr.exe 이다.


또한악성동작에 방해가 되는 요소를 레지스트리 설정 값을 수정하는 방식으로 사용 해제한다해제되는 설정 값은 AntiVirusDisableNotifyUpdatesDisableNotify 값으로사용자 PC에 백신을 사용하지 않고 있거나윈도우 업데이트가 되지 않았을 때 알림을 주는 설정 값이다그 밖에 방화벽 사용 해제, UAC 설정 변경 등의 동작도 수행한다.


마지막으로 윈도우 시큐리티 센터 서비스를 중지 시킨다(wscsvc 서비스 사용 안 함으로 변경). 해당 서비스의 사용 중지와 각 종 알림의 사용 해제로 사용자는 감염 사실을 알아채기 힘들고감염 PC는 더욱 더 취약해진다.

 



[
그림 4실행 불가능한 작업 관리자

 



[
그림 5실행 불가능한 레지스트리 편집기

 



[
그림 6사용 중지 된 Security Center 서비스




3-2. 실행 프로세스 감시 및 키-로그 기능 (RAT 기능)

explorer.exe 를 통해 실행 되는 악성코드의 궁극적인 목표는 원격지로 사용자 컴퓨터의 제어권을 이어주는 RAT 동작이다. RAT 는 Remote Administration Tool 의 약자로써 원격으로 PC를 관리 할 수 있는 소프트웨어를 칭하지만많은 악성코드들이 이런 기능을 내포하고 있기 때문에 근래에 들어 Remote Access TrojanRemote Access Tool 등의 여러 이름으로 불리기도 한다. RAT는 흔히 Backdoor 라고 불리는 동작과 같고 제작자의 의도가 어찌됐든 악용 될 소지가 있기 때문에 특히 주의해야 한다.


해당 악성코드도 유명 RAT 소프트웨어 통해 빌드 된 slave(client)파일인 것으로 보인다분석시점에서는 원격지와의 연결이 되지 않아 명령을 받아 동작하진 않지만 서버와의 통신이 가능해 진다면 추가적인 피해가 있을 수 있다또한서버와 연결이 되지 않아도 기본적으로 사용자의 실행 프로세스를 감시하고 키보드 입력을 기록하는 동작을 수행하고 있다.


[그림 8]에서 보듯이 감염된 환경에서국내 포털 사이트에 가상의 ID와 비밀번호를 입력해 보았더니 여과 없이 기록됨을 볼 수 있었다게다가 프로세스 명도 같이 확인 할 수 있기 때문에 실제 악성서버와 통신 중이었다면 손 쉽게 개인정보를 탈취 당 할 수 있다.


중요한 것은 키-로깅과 실행 프로세스를 기록하는 기능이 RAT 기능 중 극히 일부에 지나지 않기 때문에 추가적인 피해가 있을 수 있다는 것이다.

 



[
그림 7해당 날짜로 생성되는 악성 로그 파일

 



[
그림 8감염된 PC에서 실행 중인 프로세스와 키-로깅이 기록된 텍스트





4. 결론

보고서에서 설명한 악성코드는 사실 Darkcomet 이라고 불리는 유명한 RAT 툴로 생성된 파일이다다른 유명 RAT 툴과 마찬가지로 Darkcomet 은 사용법이 간편하고 강력한 기능이 많기 때문에 전문 해커들도 정보 수집 등에 사용 할 수 있고해당 RAT 기능만으로도 충분히 많은 악성 행위를 수행 할 수 있다.


해당 악성코드는 기본적인 관리 유틸리티를 사용 불가능하게 만들어 수동 탐지와 제거를 어렵게 만들었다또한 여러 경고알람을 끄거나 서비스를 중지하여 사용자가 감염사실을 쉽게 알아챌 수 없게 했다


한가지 다행인 것은 악성파일 procexp.exe 를 실행 시켰을 때 위장대상인 유틸리티의 동작을 하지 않는다는 점이다따라서사용자는 해당 실행파일이 정상적인 동작을 하지 않는다는 것을 확인하고 바로 의심해 볼 수 있으며이후 백신 프로그램 등으로 감염파일을 탐지하고 치료 할 수 있다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.





[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 

 




[
그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

이미지 뷰어 프로그램 '꿀뷰'로 위장한 파밍 악성코드 분석 보고서

 

 

1. 개요

최근 반디소프트의 이미지 뷰어 프로그램 '꿀뷰'를 위장한 악성코드를 200여명의 사용자들이 다운로드 받은 사건이 발생하였다. 3월 26일 오후 2시부터 4시까지 반디소프트 홈페이지에서 유포된 이 악성코드는 꿀뷰 설치파일로 위장하고 있고 설치도 정상적으로 이루어지기 때문에 사용자가 악성코드 감염사실을 인지하기 어렵다다운로드한 악성코드는 인터넷뱅킹 파밍 악성코드로 인증서 탈취 및 사용자를 위조 사이트로 접속하게 하여 금융정보 탈취를 유도한다.


현재 반디소프트 공식 입장에 따르면 반디소프트의 서버 자체가 해킹을 당한 것은 아니며공격사실을 인지함과 동일한 사건이 일어나지 않도록 적절한 조치를 취했다고 밝혔다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

HONEYVIEW-SETUP-KR.EXE

파일크기

7,869,279 byte

진단명

Trojan/W32.KRBanker.7869279

악성동작

인터넷뱅킹 파밍

네트워크

u****.q****.**.com/fcg-bin/cgi_get_portrait.fcg?uins=2****6***8






 


2-2. 유포 경로

꿀뷰로 위장한 해당 악성코드는 반디소프트 홈페이지에서 3월 26일 오후 2시부터 4시까지 약 두 시간 동안 유포되었다이 시간 동안 약 200여명의 사용자가 꿀뷰 대신 악성코드를 다운로드 한 것으로 알려졌다


반디소프트 측에 따르면 반디소프트의 홈페이지나 서버자체가 해킹을 당한 것이 아닌 IDC내 동일 IP대역을 사용하는 다른 서버를 해킹한 후 ARP 스푸핑에 의해 악성코드가 다운로드 되었다고 한다. ARP 스푸핑은 랜카드의 고유한 주소인 MAC 주소를 속여 상대방의 정보를 중간에 가로채는 공격 기법이다.
(ARP 스푸핑에
 대한 자세한 내용은 “[악성코드 분석 보고서] zxarps.exe”(http://erteam.nprotect.com/498에서 확인할 수 있다.)



2-3. 실행 과정

악성파일을 실행하면 해당 악성파일은 윈도우 정상 프로세스인 cacls.exe를 이용하여 악성동작을 수행한다그와 동시에 자신의 악성동작을 숨기기위한 눈속임용 꿀뷰 설치 파일을 C:\[임의8글자].exe 로 생성 및 실행하여 정상적으로 프로그램을 설치한다

특이사항으로 악성코드가 자동실행 등록되어 매 부팅 시 마다 꿀뷰 설치파일을 실행하므로 컴퓨터를 시작하자마자 설치 프로그램이 실행된다면 PC에 이상이 있음을 쉽게 알 수 있다.




[그림] C:\ 하위에 생성 및 실행된 꿀뷰 설치파일 (정상 파일)

 

3. 악성 동작

3-1. 자동실행 등록 및 시작페이지 변경

이 악성코드는 읽기전용/시스템/숨김’ 속성을 통해 자신을 숨기고 레지스트리 변경을 통해 자동실행 등록한다또한 포털 사이트 접속시 아래 [그림]과 같은 팝업창을 띄우는 파밍동작을 수행한다.




[
그림] 변조된 포털 사이트


3-2. 정상 프로세스 인젝션 및 Proxy 동작

악성코드는 윈도우 정상 프로세스 cacls.exe 를 실행하고 이미지 스위칭을 통해 정상과는 전혀 다른 악성동작을 수행하도록 수정한다악성동작은 PAC(Proxy Auto Config)를 통해 위조 사이트로 유도하는 것으로 기존 방식과 매우 유사하다. PAC에 대한 자세한 내용은 “[악성코드 분석 보고서] k01922.exe”(http://erteam.nprotect.com/507)에서 확인할 수 있다.



[그림] 변조 웹서버의 주소를 얻는 패킷




3-3. 사용자 정보 탈취

사용자가 인터넷에 접속하게 되면 변조된 시작페이지 연결하게 되고 각 은행 홈페이지로 위장한 파밍 사이트로 전달 된다이후 이 파밍 사이트를 통해 사용자의 정보를 탈취한다아래 그림에서 가짜 전자금융사기예방서비스 페이지를 확인할 수 있다.





[
그림] 가짜 전자금융사기예방서비스 페이지


 

4. 결론

정상 웹 서버가 해킹당한 것은 아니지만이용자의 입장에서 공식 홈페이지에서 다운로드 받는 것은 기본적으로 신뢰한다는 점에서 그 여파가 크다다행히도 반디소프트측의 빠른 대처로 큰 피해를 막을 수 있었으며, 감염 사실을 확인할 수 있는 자세한 안내 페이지(http://blog.bandisoft.com/132) 또한 제공하고 있어 해당 악성코드로 인한 피해는 커지지 않을 것으로 보인다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 

 




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

인기 게임으로 위장한 악성 토렌트 분석 보고서 


 

1. 개요

토렌트는 많은 사람들이 이용하는 파일 공유 수단으로, 종종 악성코드 유포 수단으로 악용되기도 한다. 동영상이나 음악 같은 데이터 파일로 위장한 악성파일의 경우, 사용자의 실행 유도를 위해 실행파일을 데이터파일로 위장해야 한다. 하지만 실행파일이 필수적으로 포함된 게임, 유틸리티의 경우, 악성코드를 다른 파일 형태로 위장할 필요가 없어 해커들이 자주 사용하는 공격 수단이 된다.


특히 불법으로 유통되는 고 사양 최신 게임의 경우 파일의 크기가 굉장히 크고 쉽게 구할 수 없기 때문에 다운로드 받기가 쉽지 않다. 구하기 어려운 게임 파일로 위장한 악성파일은 사용자를 현혹시키기 쉬워 설령 오류가 있더라도 게임을 하고싶은 사용자 심리에 의해 의심없이 실행되는 경우가 많다. 게다가 저작권 우회를 위한 게임 크랙이 함께 들어있어 백신 종료를 권장하는 크랙에 의해 사용자 PC는 위험에 노출되기 마련이다.


이 보고서에서는 최근 인기 게임토렌트로 위장한 악성코드가 어떻게 유포되는지, 또 어떤 악성동작을 하는지 알아보고자 한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

Client.exe

파일크기

36,352 byte

진단명

Trojan/W32.Agent.36352.SY

악성동작

C&C 백도어

네트워크

h****.ddns.net






 




2-2. 유포 경로

악성파일 Client.exe 는 최신 게임 AssassinsCreed의 실행 파일로 위장하여 유명 토렌트 공유 커뮤니티를 통해 유포되었다다행히 이 커뮤니티에서는 허위 악성 토렌트에 대한 신고기능이 있어 피해가 크지 않을 것으로 보이나 대다수의 커뮤니티는 이런 기능을 지원하지 않기에 토렌트를 통한 파일 공유에는 언제나 주의가 요구된다.

 


[
그림악성 토렌트 유포 게시글

 

 


토렌트 공유 프로그램을 이용해 시드파일(.torrent)을 열었을 경우 다운로드 받을 파일의 목록을 미리 알 수 있다따라서 파일명 및 확장자를 통해 일차적으로 악성파일을 걸러낼 수 있지만 이 악성 토렌트의 경우 압축파일을 공유하기 때문에 다운로드가 완료되기 전까지 내용물을 확인할 수 없도록 하는 치밀함을 보인다.

 


[
그림시드를 통해 다운받을 파일 목록





2-3. 실행 과정

다운로드 된 파일의 압축을 풀어보면 아래[그림]과 같은 파일들을 확인할 수 있다실행방법.txt 파일의 내용은 게임실행에 관한 안내문인데 여기서는 게임 핵의 오진을 이유로 백신종료를 유도하고AssassinsCreedBrotherhood.exe(121,684 byte, 악성) 파일 실행을 요구한다이 파일은 일반적인 게임 실행파일로 보이지만 인스톨 프로그램이며실행 시 두 파일 AssassinsCreedBrotherhood.exe(75,264 byte, 정상)와 Client.exe(악성) 를 생성하고 실행한다

 


[
그림악성파일 실행 안내문


 

[그림게임 실행파일로 위장한 악성 프로그램 인스톨러

 

 

 

비단 AssassinsCreedBrotherhood.exe 뿐 아닌 게임 내의 많은 실행파일이 위와 같은 형태를 띄고 있어 어떤 파일을 실행하더라도 악성코드에 감염될 수 밖에 없는 구조가 된다.


이처럼 정상파일과 악성파일을 합쳐 하나의 정상파일로 위장하는 것은 많은 악성코드에서 활용하는 방식이다알려진 형식으로 합쳐진 파일의 경우 압축해제 도구를 이용해 실행하지 않고도 안전하게 내용물을 확인할 수 있다.


[
그림] C&C 악성코드를 포함하는 위장 인스톨러 및 압축해제 결과



 

3. 악성 동작

3-1. C&C 동작

인스톨러를 통해 실행된 Client.exe 는 C&C 악성코드 형태로 동작한다악성동작에 필요한 IP주소는 정상 DDNS*서비스 제공업체 페이지 ddns.net 으로부터 얻어온다해커는 이곳에 가입하여 자신의 IP를 등록하고악성동작에 이를 활용하지만 현재 해커가 등록한 주소는 응답하지 않는 상태로 악성동작을 수행하지 않는다하지만 해커가 자신의 계정을 활성화 시킨다면 언제든지 악성동작을 재개할 수 있다.

DDNS* - Dynamic DNS 의 약자로 개인 인터넷 사용자 같은 고정되어 있지 않은 IP주소에 URL을 연결시키기 위해 사용된다.

 


[그림악성 서버의 IP를 가져오기 위한 통신

 


 

악성서버에 연결되면 명령을 수신해 프로세스 제어파일 제어추가 다운로드화면 캡처하드디스크 포맷 등의 악성동작을 수행할 수 있다.


[
그림서버의 명령을 수행하는 코드 부분




[
그림하드디스크 포맷

 

 


아래는 C&C 형태로 동작하는 악성코드들이 반드시 수행하는 감염PC 정보수집 부분이다정보수집을 위해 PC의 위치를 검색하는 기능현재 로그인한 사용자의 권한을 확인하는 기능 등 여러 부분에서 한글이 사용된 모습이 보인다.


생명주기가 짧은 악성코드의 특성상 해커는 자신이 가장 익숙한 방식으로 빠르고 많이 악성코드를 생산하려 한다악성서버로 전송하는 문자열에 한글을 사용했다는 점과 여러 지도 제공 사이트 중 국내 포털 사이트를 이용조회된 한글 위치를 그대로 전송한다는 점이 특징이다.


[
그림서버로 전송하는 감염PC정보에 포함된 한글


 


[그림서버로 전송하는 감염PC 위치조회에 이용된 국내 포털 사이트




 

4. 결론

게임 유통방식은 과거 CD, DVD 등 저장매체를 통해 물리적으로 유통되는 방식에서 유통사 전용 프로그램을 통해 인터넷으로 결제 및 다운로드 하는 방식으로 변화하고 있다이러한 정상적인 방식으로 설치된 게임의 경우 파일의 안전을 보장받을 수 있고설령 악성파일이 감염됐다 하더라도 유통사에 책임을 물을 수 있다


하지만 불법적인 경로를 통해 다운받은 파일의 경우 중간에 파일의 변조가 일어나도 확인할 길이 없을뿐더러 이 파일을 실행함으로 발생되는 피해 또한 온전히 사용자가 책임져야 한다제작자의 저작권을 존중하고 합법적으로 콘텐츠를 소비한다면 이러한 위협을 막을 수 있다.


상기 분석한 악성코드들은 모두 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 

 


[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
Posted by nProtect

C&C 동작의 악성코드 분석 보고서 

 

 

1. 개요

PC나 시스템을 자유자제로 조작하고 감시하는 것은 해킹의 궁극적인 목적이다. 만약 사용자가 자신이 해킹 공격을 당하고 있다는 사실을 인지하지 못한다면 공격의 기간도 길어질 것이고, 피해의 심각성은 커질것이다.


윈도우 필수 프로세스에 인젝션되어 동작하는 악성코드들은 겉으론 보이지 않기 때문에 일반사용자가 쉽게 찾아내기 힘들다또한 C&C 악성동작을 겸비하고 있는 악성코드에 감염된 PC라면 추후 공격에 사용될 가능성이 크다.


악성코드 Trojan.GenericKD.3003712 (factuur2390.exe) 를 분석하며 PC에서 동작하고 있을지 모르는 C&C 악성코드의 위험성에 대해 설명하고자 한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

factuur2390.exe

파일크기

369,664 Byte

진단명

Trojan-Spy/W32.ZBot.369664.AS

악성동작

C&C 동작 및 DDoS공격

네트워크

192.**.***.41

 


2-2. 유포 경로

factuur2390.exe 악성코드는 g****u**.co.kr/bbs/factuur2390.exe 주소를 통해 유포되고 있었다웹 페이지의 bbs 폴더는 일반적으로 자료를 보관하는데 이용되며특히 웹 페이지 제작 및 관리를 위한 CMS(Contents Management System)를 사용하여 만든 사이트에 기본적으로 사용되고 있다.


factuur2390.exe 악성코드의 경우 해당 악성코드의 변종이 다른 여러 웹 사이트에서 동시에 발견 되는 특징이 있었다.  변종 악성파일들은 Schadeformulier_A26000121747.doc.exe”, “JPEG - img545789-545798_schade_fotos_auto_januari_2016-jpeg.exe” 등의 이름으로 유포되고 있었으며 factuur2390.exe와 동일하게 동작 한다또한 유사한 악성파일들이 가짜 파일명과 아이콘으로 위장하여 사용자의 클릭을 유도한다.




[그림여러사이트에서 유포되고 있는 변종 악성코드

 



[그림다른 종류 파일의 아이콘과 확장자 명으로 위장한 악성코드




2-3. 실행 과정

악성파일은 실행 시 가장 먼저 사용자의 Outlook 메일정보를 백업한다백업 파일은 현재 Outlook과 연동 된 계정의 모든 메일 정보를 저장한다.

다음으로 악성코드는 exeplorer.exe 프로세스에 인젝션되어 원격지 악성서버 s****23****er.**/c_**4/file.php 와 통신한다이 후 C&C 명령에 따라 추가적인 악성동작이 가능하나현재 명령을 받아 동작하지는 않는다다만아직 원격지와의 연결이 가능하기 때문에 세심한 주의가 필요하다.



[그림] explorer.exe를 통해 악성 주소지와 통신 대기



 

3. 악성 동작

3-1. MS Outlook 메일 백업

사용자의 Outlook 계정을 백업하는 동작은 Outlook의 내보내기기능과 동일한 동작이며사용 중이던 메일 계정에 관련된 모든 정보가 백업 된다이후 악성동작에서 백업한 파일을 공격자에게 전송 할 것으로 의심되기 때문에 평소 Outlook 프로그램을 즐겨쓰는 사용자의 개인정보 유출이 우려된다.




[그림악성코드 실행 시 생성된 메일 백업 파일

 



[그림]백업 된 메일 조회.


 

3-2. 사용자 PC 정보 수집

악성코드는 감염 PC정보를 수집한다수집하는 정보에는 PC이름, CPU 종류프로세서 코어 수사용 중인 메모리 등의 상세한 정보를 조회한다해당 정보는 암호화 되어 전송 된다.



[그림감염된 PC의 정보를 조회하는 코드

 

 

3-3. 자가복제 및 시작프로그램 등록

factuur2390.exe 는 Application Data 폴더 하위의 임의의 이름을 가진 폴더를 생성하고임의의 파일명으로 자신을 복제한다또한복제한 파일을 자동 실행 되도록 등록한다이때파일의 끝에 약 300바이트 정도가 다르게 생성된다.

다음으로 시작프로그램 폴더 안에 system.pif 로 자기자신을 복제한다. pif 파일은 Program Information File의 약자로써 도스용 프로그램의 실행에 필요한 정보를 기록한 파일이지만윈도우 환경에서도 실행이 가능한 파일이다.

 

 

3-4. C&C 동작

C&C 동작에는 일반적인 C&C방식의 악성코드와 마찬가지로 많은 기능들이 있다추가적인 악성파일을 다운로드 하는 것은 물론이고 클립보드의 내용을 수집하거나 명령을 받아 다양한 DDoS 공격도 가능하다현재는 특별한 명령을 받아 악성동작을 하고 있지는 않지만 감염된 PC라면 언제든지 C&C 동작이 수행 될 수 있다.

 



[
그림메모장에 적힌 내용을 복사했을 때클립보드의 내용을 읽는 부분

 



[
그림] DDoS 공격에 사용되는 각종 문자열




 

4. 결론

분석한 악성코드는 주요 프로세스에 인젝션되어 동작하기 때문에 일반 사용자가 감염사실을 쉽게 인지할 수가 없다또한실행중인 악성코드는 현재 대기 상태에 있지만 나중에라도 공격자의 명령을 받아 C&C 동작을 수행 할 수 있는 위험이 있다.

해당 악성코드는 발견될 당시 PDF 파일이나 그림 파일 등의 아이콘으로 위장하고 파일명도 그럴듯하게 속이고 있다따라서 인터넷 상에서 검증되지 않은 파일을 받을 때는 한번 더 주의하는 습관을 가지고 윈도우의 기본 옵션인 알려진 파일 형식의 파일 확장명 숨기기” 를 해제하여 다른 파일로 위장한 .exe파일을 실행하지 않도록 해야 한다.


마지막으로 최근에 의심스러운 파일을 받아 열어보았거나 실행시켰다면백신 프로그램을 사용하여 악성파일 검사를 수행 해보는 것이 안전하다.



[
그림윈도우 기본 옵션인 알려진 파일 형식의 파일 확장명 숨기기” 해제

 

해당 악성코드는 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect