파일 바이러스 Bloored 





1. 개요 


대부분 사용자들이 일반적으로 악성코드하면 ‘바이러스(Virus)’를 떠오르기 마련이다. 바이러스는 사전적으로 ‘프로그램을 통해 감염되는 악성 소프트웨어’를 말하는데 보통 바이러스 감염 후에 공격자에게 실질적인 이득을 주는 기능이나, 기능 확장을 위한 추가 모듈 다운로드 및 실행 기능을 포함한다. 본 보고서에서 다루게 될 악성코드 Bloored는 앞서 설명한 바이러스 형태의 악성코드이며, 구조가 다른 바이러스들에 비해 비교적 단순하다. 본 보고서를 통해 바이러스가 다른 파일을 감염하는 방식과 공격자가 이를 이용해 불법적으로 이득을 취하는 방법을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Bloored.exe

파일크기

259,072 byte

진단명

Worm/W32.Bloored.Gen

악성동작

파일 바이러스, 드롭퍼, 다운로더, 이메일 웜

네트워크

www.k***a.com

 


2-2. 유포 경로

바이러스는 주로 감염 파일의 실행으로 유포되므로, 대체로 감염된 컴퓨터에 연결되었던 USB 등의 보조기억매체를 통해 유포되었을 확률이 높다. 게다가 Bloored는 이메일 웜(Email-worm) 기능을 포함하기 때문에 이메일을 통해 유포 되었을 확률도 있다.



2-3. 실행 과정


해당 악성코드 실행 시, Bloored가 기록해 놓은 시그니처(Signature)를 확인하여 감염 여부를 판단한다. 감염 파일일 경우 시그니처에 포함된 정보로 감염 대상인 파일의 원래 크기를 이용하여 %TEMP%에 정상 파일을 복원 후 실행 시키고, 악성 동작을 수행한다. 감염되지 않은 파일일 경우 위 동작을 건너뛰고, 악성 동작을 수행한다.





3. 악성 동작


3-1. 파일 감염

경로 ‘C:\’를 루트로 이하의 파일과 디렉토리 내부를 감염하며, [그림 1]과 같이 루트에서 15회 이상 깊게 들어가지 않는다. C 드라이브 외에는 감염하지 않는다.


[그림 1] 깊이 제한[그림 1] 깊이 제한



[그림 2]와 같이 임시 파일을 생성하여 ‘악성PE - 감염 대상 PE - Signature’ 순서로 입력한 뒤 감염 대상 경로 파일 명으로 복사하여 파일 감염을 수행한다.


[그림 2] 파일 감염 루틴[그림 2] 파일 감염 루틴


여기서 Bloored는 실행 된 파일의 감염 여부를 고려하지 않기 때문에, 이미 감염된 파일이 다른 정상 파일을 감염 시키면 계속해서 파일이 뒤로 붙는 구조이다.




3-2. 파일 다운로드 및 실행

[그림 3]과 같은 루틴으로 파일을 다운로드 및 실행시킨다

[그림 3] 파일 다운로드 및 실행 루틴[그림 3] 파일 다운로드 및 실행 루틴




3-3. 이메일 웜

레지스트리 키 ‘HKCU\Software\Microsoft\WAB\WAB4\Wab File Name’을 참조하여, Outlook에서 사용하는 주소록 파일 ‘.wab(Windows Address Book)’의 내용을 파싱해 아래 그림들과 같은 내용을 임의로 선택하여 전송한다.

[그림 4] 전송하는 계정 명[그림 4] 전송하는 계정 명


[그림 5] 메일 내용[그림 5] 메일 내용


[그림 6] 첨부 파일 명[그림 6] 첨부 파일 명


[그림 7] 첨부 파일 확장자[그림 7] 첨부 파일 확장자



첨부 파일은 확장자가 .zip일 경우 압축된 Bloored.exe를, 이외의 확장자일 경우는 압축되지 않은 Bloored.exe가 첨부된다.




3-4. 파일 드롭

C ~ X 드라이브 중 DRIVE_FIXED 또는 DRIVE_RAMDISK 타입인 드라이브를 탐색하여, 문자열 “shar” 또는 “mus”를 디렉토리 명에 포함하는 디렉토리 발견 시 bloored.exe 파일을 아래 [그림 8]의 파일 이름으로 복사한다.

[그림 8] 드롭 파일 명[그림 8] 드롭 파일 명



드라이브 탐색 중 아래와 같은 확장자 파일 발견 시, 이메일 주소를 파싱하여 ‘3-3. 이메일 웜’ 항목과 같이 메일을 전송한다.

[그림 9] 파싱 대상 파일[그림 9] 파싱 대상 파일





4. 결론


Bloored와 같은 바이러스는 정상 파일을 악성 파일로 만들기 때문에, 일반적인 악성코드의 치료방법인 ‘삭제’보다 치료 방법이 까다롭다. 그렇기 때문에, 감염 시 치료가 불가능한 파일이 비교적 많이 발생할 수 있어, 원본 파일을 삭제할 수 밖에 없는 상황이 생길 수 있다. 이런 바이러스에 감염되지 않도록 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
Posted by nProtect

북한이 사용한 악성 프로그램 ‘유령쥐’



 

1. 개요

지난 6월 13일 경찰청 사이버안전국은 북한이 4차 핵실험 직후인 2월, 국내 대기업 전산망을 해킹했음을 발표하였다. 발표에 따르면 북한은 악성 프로그램 ‘유령쥐’를 이용해 13만여대의 컴퓨터를 감염시켰다고 한다. 이번 보고서에선 이 유령쥐를 자세하게 알아보고자 한다. 


실행파일명은 zegost.exe로 통칭 Gh0st RAT의 변종으로 불리고 있다. 여기서 RAT은  Remote Access Tool 혹은 Remote Administrator Tool로 불리며 단어의 차이는 있으나 그 뜻은 원격 접속을 보장하는 도구로 같다. 유령쥐라는 명칭 또한 Gh0st RAT이라는 영문이름에서 비롯된 것으로 보인다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

svchsot.exe

파일크기

106,496 byte

진단명

Backdoor/W32.Zegost.106496

악성동작

C&C, 백도어, 키로거











2-2. 유포 경로

지난 6월 13일 기사 경찰청 사이버안전국 발표에 따르면, 유령쥐는 PC 통합관리 시스템의 취약점을 통해 기업 전산망에 침투한 것으로 알려졌다. 이 보고서에서 분석하는 샘플은 유령쥐의 변종으로 구체적으로 어떤 악성동작을 수행할 수 있는지 알아보고자 한다.




2-3. 실행 과정

최초 실행 시 %WINDIR%\[임의6글자]\svchsot.exe 로 자신을 복제하고 작업 스케줄러를 통해 매시간 자동실행 되도록 설정한다. 이후 악성동작은 메모리상에만 존재하는 .dll 파일에서 이뤄진다. 이후 하기의 C&C서버에 접속하여 악성동작을 수행하나 현재 서버가 차단되어 실제 동작은 하지 않는다.

[그림] 메모리상에만 존재하는 .dll 파일



h****0.g***y.net:6000

com.g****2.com:6000

com1.g****2.com:6000

[표] C&C 서버 주소






3. 악성 동작

3-1. PC정보 전송

감염 PC의 세부 정보를 악성 서버로 전송한다. C&C 형 악성코드에 감염됐을 때 공격자는 관리를 위해 PC를 식별할 필요가 있어 가장 먼저 수행하는 일반적인 동작이다.


[그림] PC정보 수집




3-2. 키로깅

키보드 입력이 발생할 경우 입력한 키를 문자열로 저장한다. 문자로 표현할 수 없는 키(쉬프트, 컨트롤키 등)는 <SHIFT>, <CTRL> 등으로 치환하여 저장한다. 단순 키보드 탈취는 물론 현재 활성화된 프로그램도 검사하여, 어느 프로그램에 어느 정보를 입력하는지 가로챌 수 있다.


[그림] 키보드 입력 탈취 코드




3-3. 추가 악성코드 다운로드

또한 하기 주소로부터 추가 악성코드를 다운로드 및 실행한다. 다운로드 대상 주소는 C&C 서버와 동일하다. 다행히 C&C 서버와 마찬가지로 모두 차단되어 접속되지 않는다.

http://www.a****5.com:2011/1.exe

http://www.f****5.com:2011/1.exe

http://www.w****8.com:2011/1.exe

[표] 추가 악성코드 다운로드




[그림] 추가 악성코드 다운로드 코드




3-4. 기타 특이사항

웹 브라우저 즐겨찾기가 저장된 폴더를 탐색해 해당 정보를 수집해 공격자에게 전송하고, 받은 정보로 수정하는 코드가 존재한다. 즐겨찾기 정보 탈취 동작은 다른 종류의 C&C 악성코드에선 쉽게 찾을 수 없는 부분이다.

[그림] 즐겨찾기 정보 수집 및 수정




아래 코드를 통해 PC에 연결된 마이크가 있을 경우 소리를 녹음한다. 녹음한 음성은 별도의 로그로 기록하지 않고, 바로 공격자에게 전송된다.

[그림] 마이크 음성 탈취




이 외에도 디바이스 드라이버 설치, 원격연결 저장정보 탈취, 원격접속 세션 제어, 윈도우 타이틀 창 확인, 백신제품 동작방해 등 실로 다양한 동작을 수행할 수 있다. 특히 드라이버 설치 동작이 있어, 감염 후 루트킷을 통해 장기적인 보안위협이 될 여지가 있다.


[그림] 그 외 동작 중 일부



4. 결론

C&C 형태의 악성코드는 공격자의 원격 접속을 보장하는 백도어 기능과 함께 추가 악성 파일 다운로드는 물론 PC에 대한 모든 제어권을 갖는다는 점에서 APT 공격의 빠지지 않는 요소로 등장한다. 이번 유령쥐에 의한 북한의 대기업 해킹 공격 또한 같은 맥락이다. 백도어는 공격자가 감염 PC에 지속적으로 접근할 수 있는 통로를 제공하기에 발견 즉시 삭제해야 하며, 주기적인 백신 검사를 통해 피해를 최소화 할 수 있도록 해야한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

다운로드 프로그램으로 위장한 애드웨어 배포 주의

 



 

1. 개요

컴퓨터를 사용하다보면 컴퓨터 문의 중 한 번쯤 이런 말을 들어봤을 것이다. “아무것도 하지 않았는데 컴퓨터가 느려졌어요.” “인터넷을 하는데 자꾸 이상한 광고가 나와요. 고쳐주세요.” 이런 문제가 있는 PC를 들여다보면 대부분 애드웨어가 원인인 것으로 밝혀진다.


애드웨어의 유포는 여러 경로지만, 보통 특정 프로그램을 설치할 때 사용자가 인지하기 힘든 방식으로 추가 설치되어 골치를 꽤 썪이곤 한다. 사실 추가설치 자체는 잘못된 방식이 아니다. 마이크로소프트사의 오피스 프로그램만 하더라도 ‘워드’만 설치할지, ‘엑셀’도 설치할지 사용자 편의에 맞게 프로그램 설치를 할 수 있기에 추 후 있을 사항을 대비해 추가설치는 꼭 필요한 형태의 설치 방식이다. 또한 이렇게 설치되는 프로그램은 대게 원본 프로그램의 동작에 필수적인 드라이버 등이거나 그와 연관된 프로그램이 대부분이다.


문제는 애드웨어는 원본 프로그램 설치에 필수적이지 않다는 것이다. 동작 또한 원치 않는 광고를 출력하거나, 사용자가 인지할 수 없게 자사 광고를 클릭해 광고수익을 올리는 동작을 한다. 만약 사용자가 광고를 보고 싶어 하더라도, 애드웨어가 설치되는 과정을 본다면 과연 적절한 절차를 따르는지 의문이다. 


핵심은 애드웨어가 ‘사용자가 분명히 인지할 수 있는 방식으로’ 추가설치를 안내하는지 여부이다. 애드웨어의 유포는 속칭 ‘끼워팔기’라고도 불리는데, 아래의 애드웨어의 설치화면을 본다면 그 이유를 확실히 알 수 있다.



[그림] 애드웨어 설치화면




ChaosOne.exe 란 프로그램을 다운받기 위한 단순 다운로더처럼 보이는 이 프로그램은 “제휴 프로그램 추가 설치 및 약관에 동의합니다” 란 문구 아래 설치할 제휴프로그램의 목록이 나열된 애드웨어이다. 그림에서 확인할 수 있듯이 설치 할 제휴 프로그램은 화살표를 클릭하지 않는 한 사용자가 인지할 수 없음은 물론이고, 모든 제휴 프로그램이 기본적으로 체크되어 있기 때문에 ‘실행’ 혹은 ‘저장’ 버튼을 누르면 부지불식간에 모든 추가 제휴 프로그램이 다운로드 및 설치된다.


이처럼 ‘사용자가 원치 않을만한 광고동작’, ‘인지하기 힘든 형태의 추가설치’란 특성으로 인해 애드웨어는 PUP(Potentially Unwanted Program)라 불리기도 한다.


아래 표는 정상 인스톨러와 애드웨어 인스톨러가 설치하는 추가 옵션 프로그램의 성격을 간략하게 나타낸다.



 구

정상 인스톨러

애드웨어 인스톨러

옵션 프로그램

경우에 따라 있음

있음

옵션 프로그램의 성격

원본 설치파일의 동작에 필수적이거나 연관 프로그램

광고, 클릭커, 사용정보 유출

옵션 설치 안내여부

있음(전체 목록이 한 화면에 노출)

있거나 없음(일부 목록만 노출)

옵션 설치방식

원본 설치파일에 포함(경우에 따라 다운로드)

다운로드

옵션 프로그램 약관

원본 설치파일에 포함

다운로드


[표] 정상 설치 프로그램과 애드웨어 설치 프로그램의 차이




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

23-12369_chaosone.exe

파일크기

953,120 byte

진단명

Downloader/W32.W***til.N3.A

악성동작

추가 애드웨어 다운로드

네트워크

 http://pil****e.blogspot.kr/ (유포지)








 



2-2. 유포 경로

23-12369_chaosone.exe 는 개인 블로그로 위장한 http://pil****e.blogspot.kr/ 에서 유포되었다. 애드웨어는 대게 이력서, 플래시 게임, 각종 유틸리티 프로그램 등 검색에 자주 노출될 만한 키워드로 블로그 글을 작성하고, 해당 글에 첨부파일로 첨부되어 유포된다.

이 파일의 경우 게임 워크레프트3의 유틸리티로 위장하여 유포되고 있다. 이 블로그의 첨부파일 다운로드 URL은 애드웨어 유포업체 w***til.com 임을 확인할 수 있다. 외부 링크를 사용하기 때문에 첨부파일은 언제든지 교체될 여지가 있고, 실제로 3~4개월마다 파일을 교체하여 백신업체의 진단을 피하는 모습을 보인다.





[그림] 첨부파일 다운로드 URL




2-3. 실행 과정

23-12369_chaosone.exe 는 최초 실행 시 자사 URL로부터 실제 다운로드 할 파일(여기서는 ChaosOne.exe)의 정보와 추가 다운로드 할 애드웨어의 정보를 얻어온다. ‘실행’ 혹은 ‘저장’ 버튼을 누를 경우 사용자가 원래 받고자 했던 ChaosOne.exe와 함께 10여 개의 애드웨어가 설치된다.




[그림] 다운로드 정보




www.w***til.com/down2/dnfile_101216.ini.php 파일을 확인할 경우 아래와 같은 내용을 확인할 수 있으며, 이용약관, 설치파일 다운로드 URL, 설치 폴더, 설치 파라미터 등 애드웨어 설치에 관한 아주 자세한 정보가 담겨있다.


[검색도우미-**]

agrurl=http://th**m.co.kr/sub/pop01.htm

dnurl=http://www.th**m.co.kr/bin/tam_s01.exe

cnturl=

chkpath={program files}

params=/s

 

[* 아이콘]

agrurl=http://ut***ada.com/down2/KPISS.txt

dnurl=http://www.lot***op.co.kr/bacon/bacon.exe

cnturl=

chkpath={program files}

params=

옵션 프로그램 명(추가 애드웨어)

약관

원본 파일 다운로드 주소

 

설치 경로

설치 파라미터

 

옵션 프로그램 명(추가 애드웨어)

약관

원본 파일 다운로드 주소

 

설치 경로

설치 파라미터


[그림] 애드웨어 설치정보



3. 악성 동작

3-1. 광고동작

동시에 설치되는 애드웨어의 종류가 워낙 많기에 각각의 광고동작을 일일이 나열하는 것은 무의미하다. 아래는 일부 애드웨어의 약관을 토대로 해당 기능을 간략히 나열한 것이다. 대부분 추가 광고노출, 추가 제휴프로그램 다운로드, 개인정보 수집에 관한 내용이다.



(전략) 특정 웹사이트가 자체 웹페이지 또는 팝업창 형태로 연결되게 됩니다.

(전략) URL을 키워드로 인식하여 특정 배너(동영상,이미지,음원등을 포함)등을 (중략) 화면의 중간 또는 웹페이지의 여백등에 배너가 노출되어 집니다.

(전략) 사용자가 방문하려는 사이트와 관련된 다른 사이트를 팝업, 팝언더, 후팝업, 웹브라우저 탭등의 다양한 방식으로 보여주거나 (후략)

(전략) 사이트 바로가기 버튼을 제공하며, 클릭 시 해당 사이트로 바로 연결 되는 서비스를 제공합니다.

(전략) 다양한 형태의 상업적, 비상업적 또는 유, 무료 서비스 또는 컨텐츠, 광고 등을 (중략) 사용자에게 제공할 수 있습니다.

(전략) 새탭의 시작페이지가 변경 재설정 됩니다.

(전략) 추가적인 정보결과페이지(컨텐츠 및 광고상품)를 노출, 제공합니다.

사용자가 최근 열람한 상품 및 관심상품이 (중략) 일정 기간동안 일정한 횟수로 재노출되는 방식으로 광고서비스가 제공되어 집니다.

(전략) 기본탭외에 새탭에 (중략) 추가적인 정보결과페이지(컨테츠 및 광고상품)를 노출, 제공합니다.

(전략) 별도(제휴업체)의 소프트웨어를 제공(추천, 업데이트) 할 수 있습니다.

(전략) 본 소프트웨어 외에 광고 , 컨텐츠 및 기타 서비스를 직접 제공할 수 있습니다.

(전략) 사용자의 개인정보나 PC의 데이터를 수집하고 사용할 수 있습니다.

(전략) 검색엔진이나 주소창 등에서 검색어를 입력하여 나타나는 결과와 연관되는 제3자의 상업적 내용을 사용자의 PC에 전송할 수 있습니다.


[그림] 약관을 토대로 한 애드웨어 동작




4. 결론

애드웨어는 다운로드 받고자 하는 프로그램의 다운로드 성공/실패 여부와 관계 없이 백그라운드로 설치된다. 또한 별도의 설치과정 등이 육안으로 보이지 않아 사용자가 추가 프로그램이 설치되고 있음을 인지못하며 중간에 중지할 수 없고, 하단의 동의 및 설치할 프로그램들이 모두 기본적으로 체크되어 있어 해당 목록을 조회함에 있어 추가적인 동작이 필요하다. 


따라서, 애드웨어는 사용자에게 충분히 설치 여부를 알렸다고 보기 어렵다. 이는 “정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 50조의 5: 정보통신서비스 제공자는 영리목적의 광고성 정보가 보이도록 하거나 개인정보를 수집하는 프로그램을 이용자의 컴퓨터나 그 밖에 대통령령으로 정하는 정보처리장치에 설치하려면 이용자의 동의를 받아야 한다. 이 경우 해당 프로그램의 용도와 삭제방법을 고지하여야 한다.”에서 말하는 이용자의 동의를 받아야 한다. 에 저촉될수 있다고 볼 수 있다.


상기 다운로더와 해당 다운로더로 다운로드된 제휴 프로그램은 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware 에서 진단 및 치료가 가능하다.



[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

CryptXXX 랜섬웨어 분석 보고서 



 

1. 개요

흔히 많은 사람들은 악성코드는 .exe 파일을 실행하여 감염되는 것으로 알고 있다. 하지만 사람들의 생각과 다르게 .exe 파일 실행이 아니어도 악성코드에 감염되는 방식은 다양하다. 이번 보고서에서는 그 예 중 하나로 .dll 파일형태이며 최근 대형 커뮤니티에 유포되어 문제를 일으킨 랜섬웨어 CryptXXX에 대해 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

CryptXXX.dll (임의의 파일명)

파일크기

402, 432 Byte

진단명

Ransom/W32.CryptXXX.402432

악성동작

파일 암호화를 통한 Bit-coin 요구








 

2-2. 유포 경로

CryptXXX 는 주로 Angler Exploit Kit 을 통해 전파된다. Angler Exploit Kit 은 취약점을 찾아 악성코드를 다운로드 및 실행 할 수 있게 하는 소프트웨어 킷 이다. Angler Exploit Kit으로 리다이렉트되도록 설정된 손상된 웹서버에 사용자가 접속하면, Angler Exploit Kit 내부 다운로더에 의해 CryptXXX 파일이 다운로드 된다.





[그림 1] CryptXXX 유포방식




2-3. 실행 과정

해당 악성파일은 .dll 파일이기 때문에 파일 특성상 자체 실행이 불가능하다. 따라서 CryptXXX는 기존 rundll32.exe 의 이름을 svchost.exe 로 바꾸어 자신이 다운로드 된 곳으로 복사하며 이후 복사된 svchost.exe 를 통하여 자기자신을 동작시킨다. svchost.exe 는 윈도우 구동에 있어 필수적으로 사용되는 프로세스로 기본적으로 여러 개의 svchost.exe 가 동작하고 있기 때문에 해당 프로세스의 정보를 확인하지 않는 한 사용자가 쉽게 알아차리기 힘들다.




[그림 2] 악성 DLL이 로드 된 svchost.exe 프로세스



[그림 3] 악성 DLL 내의 익스포트(Export) 된 함수를 실행 중인 svchost.exe



3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 각종 파일들을 암호화 하고 기존 파일의 확장자를 “.crypt” 로 변경한다. 또한, 암호화를 수행하는 모든 경로에 “!Recovery_[사용자ID]” 형식의 이름으로 랜섬웨어 관련 안내 텍스트 파일과 html 파일을 드롭 한다.



[그림 4] 랜섬웨어 실행 후 암호화 된 테스트 파일 목록





[그림 5] 암호화 후 생성된 랜섬웨어 안내 텍스트 파일





하기의 목록은 CrytpXXX 가 암호화하는 확장자 목록이다. 다양한 파일의 확장자로 암호화의 대상을 지정하고 있으며 특히 국내에서 주로 쓰이는 한글 파일 포맷(.HWP)도 포함되어 있다.


.DS .PDT .PE4 .PEF .PEM .PDB .PDD .PDF .PFF .PFI .PFS .PFV .PFX .PGF .PGM .PHM .PHP .PI1 .PI2 .PI3 .PIC .PICT .PIF .PIX .PJPG .PJT .PL .PLT .PM .PMG .PNGA .PNIM .PNM .PNTG .PNZ .POP .POT .POT .POTX .PP4 .PP5 .PPAMES .PPM .PPS .PPSM .PPSXON .PPT .PPTM .PPTX .PRFR .PRIVCP .PRIVATE .PRT .PRW .PS .PSD .PSDX .PSE .PSID .PSP .PSPIMAGE .PSW .PTG .PTH .PTX.PU .PVJ .PVM .PVR .PWACO .PWI .PWRM .PXR.PY .PZ3 .PZA .PZP .PZS .QCOW2 .QDL .QMGE .QPX .QRY .QVD .RA .RAD .RAR .RAS .RAWUM .RCTD .RCU .RDB .RDDS .RDL .RFT .RGB .RGFA .RIB .RIC .RIFF .RIS .RIX .RLE .RLI .RM .RNG .RPD .RPF .RPT .RRI .RSB .RSD .RSR .3DM .3DS .3G2 .3GP .4DB .4DL .4MP .7Z .A3D .ABM .ABS .ABW .ACCDB .ACTUM .ADN .ADP .AES .AF2 .AF3 .AFT .AFX .AGIF .AGP .AHD .AI .AIC .AIF .AIM .ALBM .ALF .ANI .ANS .APD .APK .APM .APNG .APP .APS .APT .APX .ARC .ART .ARW .ASC .ASE .ASF .ASK .ASM .ASP .ASPX .ASW .ASX .ASY .ATY .AVI .AWDB .AWP .AWT .AWW .AZZ .BAD .BAK .BAY .BBS .BDB .BDP .BDR .BEAN .BIB .BM2 .BMP .BMX .BNA .BND .BOC .BOK .BRD .BRK .BRN .BRT .BSS .BTD .BTI .BTR .BZ2 .C .C2 .C4 .C4D .CAL .CALS .CAN .CD5 .CDB .CDC .CDG .CDMM .CDMT .CDR .CDR3 .CDR4 .CDR6 .CDT .CER .CF .CFG .CFM .CFU .CGI .CGM .CIMG .CIN .CIT .CKP .CLASS .CLKW .CMA .CMD .CMX .CNM .CNV .COLZ .CPC .CPD .CPG .CPP .CPS .CPT .CPX .CRD .CRT .CRWL .CRYPT .CS .CSR .CSS .CSV .CSY .CUE .CV5 .CVG .CVI .CVS .CVX .CWT .CXF .CYI .DAD .DAF .DB .DB3 .DBF .DBK .DBT .DBV .DBX .DCA .DCB .D .DCS .DCT .DCU .DCX .DDL .DDOC .DDS .DED .DF1 .DG .DGN .DGS .DHS .DIB .DIF .DIP .DIZ .DJV .DJVU .DM3 .DMI .DMO .DNC .DNE .DOC .DOCB .DOCM .DOCX .DOCZ .DOT .DOTM .DOTX .DP1 .DPP .DPX .DQY .DRW .DRZ .DSK .DSN .DSV .DT .DT2 .DTA .DTD .DTSX .DTW .DVI .DVL .DWG .DX .DXB .DXF .DXL .ECO .ECW .ECX .EDB .EFD .EGC .EIO .EIP .EIT .EMD .EMF .EML .EMLX .EP .EPF .EPP .EPS .EPSF .EQL .ERF .ERR .ETF .ETX .EUC .EXR .FAL .FAQ .FAX .FB2 .FB3 .FBL .FBX .FCD .FCF .FDB .FDF .FDR .FDS .FDT .FDX .FDXT .FES .FFT .FH10 .FH11 .FH3 .FH4 .FH5 .FH6 .FH7 .FH8 .FIC .FID .FIF .FIG .FIL .FL .FLA .FLI .FLR .FLV .FM5 .FMV .FODT .FOL .FP3 .FP4 .FP5 .FP7 .FPOS .FPT .FPX .FRM .FRT .FT10 .FT11 .FT7 .FT8 .FT9 .FTN .FWDN .FXC .FXG .FZB .FZV .GADGET .GBK .GBR .GCDP .GDB .GDOC .GED .GEM .GEO .GFB .GGR .GIF .GIH .GIM .GIO .GLOX .GPD .GPG .GPN .GPX .GRO .GROB .GRS .GSD .GTHR .GTP .GV .GWI .GZ .H .HBK .HDB .HDP .HDR .HHT .HIS .HPG .HPGL .HPI .HPL .HS .HTC .HTM .HTML .HZ .HWP .I3D .IB .IBD .IBOOKS .ICN .ICON .IDC .IDEA .IDX .IFF .IGT .IGX .IHX .IIL .IIQ .IMD .INDD .INFO .INK .IPF .IPX .ITDB .ITW .IWI .J2C .J2K .JAR .JAS .JAVA .JB2 .JBMP .JBR .JFIF .JIA .JIS .JKS .JNG .JOE .JP1 .JP2 .JPE .JPEG .JPG .JPG2 .JPS .JPX .JRTF .JS .JSP .JTX .JWL .JXR .KDB .KDBX .KDC .KDI .KDK .KES .KEY .KIC .KLG .KML .KMZ .KNT .KON .KPG .KWD .LAY .LAY6 .LBM .LBT .LDF .LGC .LIS .LIT .LJP .LMK .LNT .LP2 .LRC .LST .LTR .LTX .LUA .LUE .LUF .LWO .LWP .LWS .LYT .LYX .M .M3D .M3U .M4A .M4V .MA .MAC .MAN .MAP .MAQ .MAT .MAX ..MB .MBM .MBOX .MDB .MDF .MDN .MDT ..ME .MEF .MELL .MFD .MFT .MGCB .MGMT .MGMX .MID .MIN .MKV .MMAT .MML .MNG .MNR .MNT .MOBI .MOS .MOV .MP3 .MP4 .MPA .MPF .MPG .MPO .MRG .MRXS .MS11 .MSG .MSI .MT9 .MUD .MWB .MWP .MXL .MYD .MYI .MYL .NCR .NCT .NDF .NEF .NFO .NJX .NLM .NOTE .NOW .NRW .NS2 .NS3 .NS4 .NSF .NV2 .NYF .NZB .OBJ .OC3 .OC4 .OC5 .OCE .OCI .OCR .ODB .ODG .ODM .ODO .ODP .ODS .ODT .OFL .OFT .OMF .OPLC .OQY .A .F .T .X .OTA .OTG .OTI .OTP .OTS .OTT .OVP .OVR .OWC .OWG .OYX .OZB .OZJ .OZT .P12 .P7S .P96 .P97 .PAGES .PAL .PAN .PANO .PAP .PAQ .PAS .PB .PBM .PC1 .PC2 .PC3 .PCD .PCS .PCT .PCX .RT .RTD .RTF .RTX .RUN .RW2 .RWL .RZK .RZN .S2MV .S3M .SAF .SAI .SAM .SAVE .SBF .SCAD .SCC .S .SCI .SCM .SCT .SCV .SCW .SDB .SDF .SDM .SDOC .SDW .SEP .SFC .SFW .SGM .SH .SIG .SITX .SK1 .SK2 .SKM .SLA .SLD .SLDX .SLK .SLN .SLS .SMF .SMIL .SMS .SOB .SPA .SPE .SPH .SPJ .SPP .SPQ .SPR .SQB .SQL .SQLITE3 .SQLITEDB .SR2 .SRT .SRW .SSA .SSK .ST .STC .STD .STE .STI .STM .STN .STP .STR .STW .STY .SUB .SUMO .SVA .SVF .SVG .SVGZ .SWF .SXC .SXD .SXG .SXI .SXM .SXW .T2B .TAB .TAR .TB0 .TBK .TBN .TCX .TDF .TDT .TE .TEX .TEXT .TF .TFC .TG4 .TGA .TGZ .THM .THP .TIF .TIFF .TJP .TLB .TLC ..TM .TM2 .TMD .TMP .TMV .TMX ..TN .TNE .TPC .TPI .TRM .TVJ .TXT .U3D .U3I .UDB .UFO .UFR .UGA .UNX .UOF .UOP .UOT .UPD .USR .UTF8 .UTXT .V12 .VB .VBR .VBS .VCF .VCT .VCXPROJ .VDA .VDB .VDI .VEC .VFF .VMDK .VML .VMX .VNT .VOB .VPD .VPE .VRML .VRP .VSD .VSDM .VSDX .VSM .VST .VSTX .VUE .VW .WAV .WB1 .WBC .WBD .WBK .WBM .WBMP .WBZ .WCF .WDB .WDP .WEBP .WGZ .WI .WKS .WMA .WMDB .WMF .WMV .WN .WP .WP4 .WP5 .WP6 .WP7 .WPA .WPD .WPE .WPG .WPL .WPS .WPT .WPW .WRI .WSC .WSD .WSF .WSH .WTX .WVL .X3D .X3F .XAR .XCODEPROJ .XDB .XDL .XHTM .XHTML .XLC .XLD .XLF .XLGC .XLM .XLR .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .XML .XPM .XPS .XWP .XY3 .XYP .XYW .YAL .YBK .YML .YSP .YUV .Z3D .ZABW .ZDB .ZDC .ZIF .ZIP .ZIPX .ZW


[그림 6] 암호화 대상 확장자 목록



3-2. PC 사용 불능 및 자가파일 삭제

CryptXXX 는 파일 암호화를 마치고 일정시간 경과 후 PC 화면 전체를 덮는 랜섬웨어 안내문을 출력한다. 안내문이 출력 된 상태에서는 PC 제어가 불가능하지만 재부팅 이후에 다시 정상적인 사용이 가능하다. 또한, 해당 과정에서 원본 DLL 파일이 삭제된다.


[그림 7] 랜섬웨어 안내문




4. 결론

분석한 CryptXXX 는 취약점을 이용하여 .dll 파일을 동작시키며 Exploit Kit 을 통해 전파된다. 또한, 악성파일 자체가 .dll 파일 인 것과 더불어 svchost.exe 이름의 프로세스를 통해 동작하기 때문에 일반 사용자가 쉽게 알아 차릴 수 없다. 해당 랜섬웨어는 꾸준히 업데이트 되며 현재 CryptXXX 3.0 버전 까지 배포되고 있다. 더욱이 최근에는 한글화 된 버전도 발견되어 국내 사용자도 각별한 주의가 필요하다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

백도어 악성코드 분석 보고서 



 

1. 개요

여러 악성코드 종류 중에서 표적의 정보를 탈취하거나 추가적인 공격에 흔히 사용되는 악성코드를 백도어 악성코드라고 불린다. 일반적으로 백도어의 의미는 사용자에게 정상적인 인증을 거치지 않고 공격자가 PC에 접근할 수 있는 동작을 말한다.


이번 보고서에서는 백도어 악성코드를 분석하여 백도어 악성코드가 가지고 있는 일반적인 기능과 방식에 대해 이야기한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

server.exe

파일크기

737,280 Byte

진단명

Trojan-Spy/W32.Agent.737280.D

악성동작

백도어, 사용자 정보 탈취








 


3. 악성 동작

3-1. 추가 악성 파일 다운로드

분석한 악성코드는 특정 URL에서 추가적인 파일을 내려 받고 실행시킨다. 악성코드를 다운로드 받는 해당 URL은 분석 시점에서는 접속 되지 않는다.



[그림 1] 특정 주소지에서 파일을 다운받고 실행시키는 부분




3-2. 자동실행 등록

해당 파일은 svchsot.exe(본래 svchost.exe)라는 혼돈 될 수 있는 파일명으로 자기 자신을 Windows 폴더 하위에“XXXXXXPC시간정보” (ex. XXXXXXB1869ED4 등) 폴더를 생성한 뒤 복사한다. 이후 해당 파일을 자동 실행으로 등록하여 사용자가 PC를 재실행 할 때마다 동작 하도록 하였다.



[그림 2] 파일명을 변경 한 뒤 Run 레지스트리에 등록




[그림 3] Run 레지스트에 등록된 값




3-3. 백신 프로그램 동작 방해

일반적으로 많이 쓰이는 백신이 동작 중인지 확인하고 종료 시킨다.


[그림 4] taskkill 명령어로 백신 프로세스를 종료




[그림 5] 여러 백신 사의 프로세스를 탐색 한 뒤 종료




3-4. PC 정보 탈취

CPU 정보, 컴퓨터 이름, 사용자 이름, 디스크 정보, 메모리 정보, 네트워크 정보 등 PC와 관련된 정보와 사용자 정보를 조회하고 탈취한다.


[그림 6] PC 정보를 탈취하는 코드




3-5. 백도어 악성동작 : 화면 캡쳐 기능

현재 사용자의 화면을 캡쳐한다.


[그림 7] 현재 사용자의 화면을 캡쳐하여 저장




3-6. 백도어 악성동작 : 음성 정보 탈취

감염된 PC에서 오디오 입력장치의 유무를 확인 한 뒤 오디오 입력장치를 통해 음성을 녹음 한다.



[그림 8] 사용자의 오디오 입력을 받는 부분




3-7. 백도어 악성동작 : 기타 기능

이 외에도 원하는 파일을 검색하는 기능, 키로깅, 네트워크 접속, 클립 보드 내용 탈취 등 여러가지 기능이 존재하며 사용자 PC가 감염 됐다면 공격자는 원하는 동작을 사용자 모르게 수행 할 수 있다.





4. 결론

이번 보고서에서 분석한 악성파일은 정상 svchost.exe 파일명과 유사하게 위장 실행되어 사용자들이 쉽게 구분 할 수 없는 특징이 있다. 백도어 또는 C&C 악성코드에 감염된다면 자신도 모르게 개인 정보가 탈취 당할 수 있으며, 감염 PC는 또 다른 범죄에 악용 될 수 있다. 


따라서 인증되지 않은 불법적인 소프트웨어 다운로드는 최대한 자제하고, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

인터넷 뱅킹 파밍 KRBanker 악성코드 분석 보고서 



1. 개요

인터넷뱅킹 파밍 악성코드는 정부 및 금융기관의 노력에도 불구하고 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있어 치료에 한계가 따른다. 


이 보고서에서는 활동이 급증하고 있는 악성파일 'KRBanker'을 분석하여, 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

KRBanker_d8dba.exe

파일크기

338,944 byte

진단명

Banker/W32.Agent.338944

악성동작

금융정보 탈취

네트워크

104.***.***.27 (파밍서버)






 


2-2. 유포 경로

KRBanker는 주로 익스플로잇, 피싱 이메일 등으로 유포된다. 따라서 사용중인 소프트웨어를 상시 업데이트하고 모르는 사람으로부터 받은 이메일은 열지 않는 기본 수칙으로 악성코드 감염을 방지할 수 있다.



2-3. 실행 과정

KRBanker_d8dba.exe 는 최초실행 시 실행위치에 숨김 · 읽기전용 속성을 부여하고 윈도우 정상프로세스 chcp.com을 이용해 악성동작을 수행한다. chcp.com 은 국가별 키보드를 설정하기 위한 프로그램이다. KRBanker_d8dba.exe 는 hosts 파일 등을 수정하지 않고, 백신 감시를 피해 chcp.com 을 이용하여 가짜 사이트로 유도하므로 악성동작이 있음을 알아채기 힘들다.




3. 악성 동작

3-1. 자동실행 등록

KRBanker_d8dba.exe 는 재부팅 후에도 자동실행 되도록 레지스트리에 임의의 8글자로 자신을 등록한다. chcp.com 을 실행한 후 종료되기에 감염된 상태에선 KRBanker_d8dba.exe 의 동작을 확인할 수 없다.

 



[그림] 자동실행 등록


3-2. 인터넷뱅킹 파밍

기존 사용하던 파밍 방식으론 hosts 파일 내에서 파밍 대상 은행주소를 쉽게 알 수 있었지만, 자동 구성 스크립트를 이용한 방식이 인기를 끌면서 브라우저가 접속중인 주소와 파밍 대상 은행주소를 해쉬화 시켜 비교하기에 파밍 대상 은행주소를 알아내는데 어려움이 있다. 파밍 대상 주소가 아닌 URL로는 악성동작을 하지 않는다.



[그림파밍 대상 은행주소




감염상태에서는 웹 브라우저 시작페이지가 N 포털 사이트로 바뀌고 팝업 창을 통해 가짜 은행 사이트로 유도한다. 팝업 창 외에는 클릭이 되질 않기에 포털 사이트 이용이 불가하다. 팝업창의 은행 배너를 클릭하면 은행사이트로 보이는 파밍사이트로 이동하게 되고 이후 계좌정보, 계좌비밀번호, 보안카드번호 전체입력을 요구하는 창이 표시된다.





[그림웹 브라우저 시작 페이지 변경 및 가짜사이트로 유도




파밍에 사용되는 가짜 웹 서버의 주소는 아래의 방식으로 얻어온다. 가짜 웹 서버 주소를 얻는 방법으로 중국 메신저 서비스를 이용하기 때문에 차단이 어렵다.



[그림가짜 웹 서버 IP 수신 패킷




위의 방식을 통해 악성코드가 얻어온 웹 서버 IP를 조회해 본 결과 정상 인터넷뱅킹 사이트의 IP를 조회할 때와는 다른 결과를 확인할 수 있다.


[그림가짜 서버(좌)와 정상 서버(우)의 조회결과 차이




3-3. 인증서 유출

인증서 유출은 추가적으로 실행된 chcp.com 에서 수행된다. PC의 모든 폴더를 대상으로 NPKI 폴더를 검색하며 인증서 발견 시 임시폴더 하위에 폴더 경로와 함께 인증서를 백업해 두는 모습을 볼 수 있다.

[그림임시저장된 인증서




4. 결론

이 악성코드는 자동 구성 스크립트를 이용하여 동작하기 때문에 감염 시 아래와 같은 보안 경고가 반드시 출력된다. OS 의 모든 파일이 어떤 역할을 하는지 전부 알기란 불가능하지만 검색을 통해 쉽게 그 역할을 파악할 수 있다. 


검색 결과 chcp.com 은 정상동작 하엔 네트워크 동작을 하지 않음을 확인할 수 있다. 따라서 OS에서 제공하는 보안경고에 조금만 주의를 기울인다면 PC의 이상징후를 보다 빨리 파악할 수 있을 것이다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림OS 보안경고




[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Rokku 랜섬웨어 분석 보고서 



 

 







1. 개요

2015년도 악성코드의 뜨거운 감자가 금융권 파밍 악성코드였다면, 2016년 가장 주목 받게 될 악성코드 유형은 랜섬웨어가 아닐까 한다최근 가장 많이 발견되고 있을 뿐만 아니라한번 감염되면 그 피해가 크다는 점에서 현재 가장 위협적인 악성코드이다.


게다가 랜섬웨어는 그 수가 폭발적으로 증가하면서 암호화 방식이나 동작 유형이 다양하게 등장하고 있어 사용자들에게 더욱 공포감을 심어주고 있다.


이번 보고서에서는 수 많은 변종 랜섬웨어 중 하나인 rokku 랜섬웨어에 대해 이야기한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

rokkuRansom.exe (임의의 파일명)

파일크기

681,984 Byte

진단명

Trojan/W32.Deshacop.681984

악성동작

파일 암호화, Bit-coin 요구






 


2-2. 유포 경로

랜섬웨어의 일반적인 유포 방식은 이메일을 통한 첨부파일 방식이었다하지만 랜섬웨어의 종류가 증가함과 동시에 유포 방식 또한 다양해지고 있다근래에 들어서는 사회적 공학기법을 이용한 이메일 기법 외에도 각종 취약점과 스크립트를 통한 자동 다운로드 등 복합적인 방식으로 유포를 하고 있다.




3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 다른 랜섬웨어와 마찬가지로 각종 파일들을 암호화 하고 기존 파일명을 “.rokku” 로 변경한다또한암호화를 수행하는 모든 경로에 “README_HOW_TO_UNLOCK” 이름의 랜섬웨어 관련 텍스트 파일과 html 파일을 드롭하여 감염자에게 금전을 요구한다.

 



[
그림 1] 랜섬웨어 실행 후 암호화 된 파일 목록





3-2. Bit coin 을 통한 금전 요구

파일을 암호화 한 뒤 각 폴더에 생성 된 “README_HOW_TO_UNLOCK” 파일에는 다른 랜섬웨어와 마찬가지로 파일을 암호화 했다는 메시지와 함께 복호화에 필요한 절차를 기술해 놓았다랜섬웨어 제작자들은 일반 브라우저가 아닌 토르 브라우저에서 접속 가능한 주소(http://z****2****l****m.onion)를 제공하고 있으며 해당 페이지에서는 Bit coin 지불과 관련된 내용과 1개의 파일을 시험적으로 복호화 할 수 있게 했다파일 복호화는 자신들이 만든 복호화 툴을 다운로드 하게하여, Bit coin 을 내고 받은 키를 입력하면 복원되게 했다.


특이한 점은 이전 여러 랜섬웨어가 금전을 지불하고도 제대로 복호화 해주지 않는다는 소문이 돌아 랜섬웨어에 감염된 사용자들이 애초에 복호화를 포기하는 경우가 많았는데이런 경우를 인식했는지 시험용 파일을 하나 복호화 해준다또한금전 지불 방식에 있어서 모바일 결재방식을 추가하였다.

 



[그림 2] 파일 암호화 후 연결되는 인터넷 페이지

 



[그림 3] 랜섬웨어 금전요구 페이지



[
그림 4] 시험 복호화를 위한 키 조회

 




[그림 5-1, 5-2] rokku 파일 복호화에 쓰이는 전용 프로그램 및 다운로드

 



[
그림 6] 1개의 시험 복호화 시 원본파일로 복원된 모습

 



[
그림 7] QR코드 인식 시 비트 코인 지불을 요구하는 화면





4. 결론

랜섬웨어는 그 기술뿐만 아니라 돈을 전달받을 방식이나 범죄행위의 구성심지어 설명페이지의 디자인까지 섬세해지고 정교해지고 있다정교해진 랜섬웨어의 무차별 공격에 따른 피해는 오로지 사용자가 감당해야 하는 것이 현실이다


결국 PC를 사용하는데 있어서 기본적인 보안 수칙이나 습관들이 더욱 중요해지고 있다출처가 불확실한 메일/파일은 열어보는 것을 자제하고사용자 계정 컨트롤(UAC) 설정을 사용하며최신 제품으로 업데이트 등 기본적인 보안수칙만 지켜도 상당한 부분 안전해 질 것이다.


또한 로컬 그룹 정책을 사용하여 소프트웨어 실행 제한을 걸어두는 정책도 임시폴더 등의 위치에서 실행되는 악성코드의 실행을 방지하는 좋은 방법이 될 수 있다소프트웨어 실행 제한이란 윈도우 그룹 정책 중 하나로써 특정 폴더에서의 파일 실행을 제한해 준다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)




[
그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[
그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

SWF 취약점을 통해 전파된 랜섬웨어 분석 보고서 



 

 



1. 개요

악성코드의 목적은 금융정보 탈취파일 암호화, DDoS 공격용 좀비PC 생성단순 PC 파괴 등 다양하다그리고 공격자는 이런 악성코드가 사용자의 PC에서 실행되도록 다양한 수단을 이용한다취약점 CVE-2016-1019 도 그 중 하나이다.


CVE Common Vulnerabilities and Exposures의 약자로보안 취약점 정보를 제공하는 시스템을 말한다각 취약점 별로 번호를 붙여 식별하고이 랜섬웨어에서 사용한 CVE-2016-1019  2016 4월에 발견된 취약점으로, Adobe Flash Player 21.0.0.197 이하 버전을 사용할 경우 이 취약점에 노출된다.


이 보고서에서는 CVE-2016-1019 취약점을 통해 전파된 랜섬웨어에 대해 알아보겠다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

swfRansom02.swf, swfRansom06.kaf외 8

파일크기

45,391 byte ,  278,528 byte

진단명

Trojan-Exploit/W32.CVE-2016-1019.45391, Trojan/W32.Ransom.278528

악성동작

랜섬웨어추가파일 다운로드

네트워크

 http://37.**.***.220/1e8ae3c6d1a39c9ca5de894fa5202850 를 추가 다운






 


2-2. 유포 경로

.swf 확장자는 Adobe 에서 만든 플래시 파일 형식이다웹 페이지의 애니메이션이나 액션 스크립트에 사용되며 국내에서 많이 사용하는 파일 포맷이다웹사이트에 있는 .swf 파일을 실행하기 위해선 사용자 PC Adobe Flash Player 프로그램이 설치되어 있어야 한다


CVE-2016-1019 는 이렇게 인터넷 사용자에게 필수적인 프로그램 Adobe Flash Player에서 발생한 취약점으로Adobe Flash Player 21.0.0.197 이하 버전 사용자는 악의적으로 수정된 .swf 파일이 있는 웹사이트에 방문하는 것만으로도 위험에 노출될 수 있다.





[그림 1] 악의적으로 수정된 .swf 파일




2-3. 실행 과정

악의적으로 수정된 .swf파일 실행 시 악성코드에 감염되며 윈도우 정상 프로세스 파워쉘을 악용하여 추가 악성코드를 다운로드 받는다다운받는 주소는 http://37.**.***.220/1e8ae3c6d1a39c9ca5de894fa5202850 이며사용자 임시폴더 하위에 a.exe 라는 파일명으로 저장 및 실행 시키지만 현재 해당 주소는 접속되지 않는다.




[
그림 2] 파워쉘을 통한 추가 파일 다운로드 시도

 

 



3. 악성 동작

3-1. 파일 암호화

다운로드 된 랜섬웨어는 하기 확장자를 가진 파일에 대해 암호화를 실시하고 확장자를 .cerber 로 변경한다특이사항으로 [2] 에 명시된 프로세스를 종료 시키는데 이는 암호화 과정의 오류를 방지하기 위함으로 보인다.


.contact .dbx .doc .docx .jnt .jpg .mapimail .msg .oab .ods .pdf .pps .ppsm .ppt .pptm .prf .pst .rar .rtf .txt .wab .xls .xlsx .xml .zip .1cd .3ds .3g2 .3gp .7z .7zip .accdb .aoi .asf .asp .aspx .asx .avi   .bak .cer .cfg .class .config .css .csv .db .dds .dwg .dxf .flf .flv .html .idx .js .key .kwm .laccdb .ldf .lit .m3u .mbx .md .mdf .mid .mlb .mov .mp3 .mp4 .mpg .obj .odt .pages .php .psd .pwm .rm .safe .sav .save .sql .srt .swf .thm .vob .wav .wma .wmv .xlsb .3dm .aac .ai .arw .c .cdr .cls .cpi .cpp .cs .db3 .docm .dot .dotm .dotx .drw .dxb .eps .fla .flac .fxg .java .m .m4v .max .mdb .pcd .pct .pl .potm .potx .ppam .ppsm .ppsx .pptm .ps .pspimage .r3d .rw2 .sldm .sldx .svg .tga .wps .xla .xlam .xlm .xlr .xlsm .xlt .xltm .xltx .xlw .act .adp .al .bkp .blend .cdf .cdx .cgm .cr2 .crt .dac .dbf .dcr .ddd .design .dtd .fdb .fff .fpx .h .iif .indd .jpeg .mos .nd .nsd .nsf .nsg .nsh .odc .odp .oil .pas .pat .pef .pfx .ptx .qbb .qbm .sas7bdat .say .st4 .st6 .stc .sxc .sxw .tlg .wad .xlk .aiff .bin .bmp .cmt .dat .dit .edb .flvv .gif .groups .hdd .hpp .log .m2ts .m4p .mkv .mpeg .ndf .nvram .ogg .ost .pab .pdb .pif .png .qed .qcow .qcow2 .rvt .st7 .stm .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .3fr .3pr .ab4 .accde .accdr .accdt .ach .acr .adb .ads .agdl .ait .apj .asm .awg .back .backup .backupdb .bank .bay .bdb .bgt .bik .bpw .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ce1 .ce2 .cib .craw .crw .csh .csl .db_journal .dc2 .dcs .ddoc .ddrw .der .des .dgc .djvu .dng .drf .dxg .eml .erbsql .erf .exf .ffd .fh .fhd .gray .grey .gry .hbk .ibank .ibd .ibz .iiq .incpas .jpe .kc2 .kdbx .kdc .kpdx .lua .mdc .mef .mfw .mmw .mny .moneywell .mrw .myd .ndd .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nwb .nx2 .nxl .nyf .odb .odf .odg .odm .orf .otg .oth .otp .ots .ott .p12 .p7b .p7c .pdd .pem .plus_muhd .plc .pot .pptx .psafe3 .py .qba .qbr .qbw .qbx .qby .raf .rat .raw .rdb .rwl .rwz .s3db .sd0 .sda .sdf .sqlite .sqlite3 .sqlitedb .sr2 .srf .srw .st5 .st8 .std .sti .stw .stx .sxd .sxg .sxi .sxm .tex .wallet .wb2 .wpd .x11 .x3f .xis .ycbcra .yuv .mab .json .ini .sdb .sqlite-shm .sqlite-wal .msf .jar .cdb .srb .abd .qtb .cfn .info .info_ .flb .def .atb .tbn .tbb .tlx .pml .pmo .pnx .pnc .pmi .pmm .lck .pm! .pmr .usr .pnd .pmj .pm .lock .srs .pbf .omg .wmf .sh .war .ascx .tif


[
 1] 암호화 대상 확장자



outlook.exe

이메일 프로그램

thunderbird.exe

이메일 프로그램

thebat.exe

이메일 프로그램

thebat64.exe

이메일 프로그램

steam.exe

게임 클라이언트


[
표 2] 프로세스 종료 목록





3-2. 안내 페이지 및 감염 제외 국가

이 랜섬웨어는 최근 이슈 되고 있는 음성안내를 제공한다또한 PC 언어코드를 기준으로 감염 제외 PC를 식별하는데감염 제외 15개국에는 러시아우크라이나아제르바이잔 등 주로 동유럽 국가가 주를 이뤘다.

1049

Russian

1058

Ukrainian

1059

Belarusian

1064

Tajik

1067

Armenian


[
표 3] 감염 제외 국가




[
그림 3] 안내페이지





4. 결론

과거에는 PC 성능저하를 이유로 소프트웨어 업데이트를 하지 않는 사용자들이 많았다하지만 PC 성능이 상향되면서 성능저하를 이유로 업데이트를 하지않는 경우는 일어나지 않게 되었다. 또한, 윈도우 10의 경우 OS 업데이트를 무조건 설치해야 하는 정책을 준수하고 있다.


장기간 업데이트를 하지 않을 경우, 이처럼 새로 발견되는 취약점에 의해 자신도 모르는 사이에 악성코드에 감염될 수 있다근래에는 전반적인 보안의식 향상으로 피해 사례가 많이 줄었지만 여전히 많은 소프트웨어에서 업데이트에 대해 사용자 선택권을 부여하고 있고 실제로 일부 이용자는 업데이트에 대한 알림조차 받지 않고 있다.




[
그림 4] Adobe Flash Player 설치 시 출력되는 업데이트 설정 화면

 



대부분의 취약점은 알려지는 즉시 제작사에서 패치를 진행한다취약점이 패치 된 버전을 사용하는 것 만으로 해당 위협에서 벗어날 수 있기에 많은 보안전문가가 권고하는 업데이트의 생활화는 가장 기초적인 보안 대책이라고 할 수 있다.


위에 분석된 악성코드 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


최신 Adobe Flash Player 는 https://get.adobe.com/kr/flashplayer/ 에서 다운로드 할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[
그림 5] 제어판에서 확인한 현재 설치 버전

 



[
그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 




[
그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

'방화벽' 기능이 추가된 nProtect Anti-Virus/Spyware V4.0 베타






잉카인터넷의 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0 (nProtect AVS V4.0) 베타버전이 방화벽 기능이 추가되어 업그레이드 되었습니다.


nProtect Anti-Virus/Spyware V4.0은 기존 안티 바이러스/스파이웨어 ▲MBR 보호 ▲게임최적화 ▲무결성 검증 등 강력한 PC 보안 기능으로 제품 출시부터 사용자들에게 관심을 받아왔습니다.


이번에 추가된 방화벽 기능은 네트워크로 유입되는 해킹 공격과 악성코드를 차단하며, IP/Port의 불법적 접근 차단 및 관리를 통해 사용자 PC의 보안성을 향상 시킵니다.


nProtect Anti-Virus/Spyware V4.0는 방화벽을 통해 네트워크를 통한 해킹을 방지하고 공유폴더 감시 및 접근 관리를 할 수 있습니다. 또한, 외부 통신 프로그램 실행 알림 기능이 있으며 IP/Port 모니터링으로 불법적 접근을 막습니다.





방화벽 기능은 nProtect Anti-Virus/Spyware V4.0 메인화면에서 슬라이드 ON/OFF 버튼을 이용하거나, 하단 트레이 아이콘 우클릭 후 방화벽-사용하기에 체크하여 손쉽게 사용유무를 설정할 수 있습니다.






조금 더 고급기능을 사용하고 싶은 사용자는 메인화면의 방화벽 아이콘을 클릭하여 방화벽 상세 기능을 설정할 수 있습니다.




방화벽 상세기능으론 침입차단(IPS), 침입 방지 시스템, 프로그램 인증, 파일/프린터 공유 차단이 있으며 슬라이드 버튼을 통해 사용하고 싶은 기능을 임의로 설정할 수 있습니다. 또한, 설정버튼을 이용하여 차단 IP설정, 파일의 접근 관리를 세세하게 설정할 수 있습니다.


(상세기능에 대해선 추후 포스팅 예정입니다)



참고로  nProtect Anti-Virus/Spyware V4.0 베타버전은 nProtect 제품의 유/무료 서비스정책과 관련없이 별도로 서비스되는 제품으로 무료로 사용할 수 있습니다.


방화벽 기능이 추가된 nProtect Anti-Virus/Spyware V4.0 베타버전을 직접 체험하고 싶으시다면 아래 배너 또는 링크를 클릭해주세요.




nProtect Anti-Virus/Spyware V4.0 소개페이지 : http://avs4.nprotect.com/








저작자 표시 비영리 변경 금지
신고
Posted by nProtect