'백도어 악성코드'에 해당되는 글 2건

  1. 2016.09.28 [악성코드 분석] 백도어 악성코드 분석 보고서
  2. 2016.05.25 [악성코드 분석] 백도어 악성코드 분석

백도어 악성코드 분석





1. 개요 


백도어(Backdoor)의 본래 의미는 시스템 개발이나 유지 보수를 편리하게 수행하기 위해, 시스템 인증과정 없이 원격 접속을 보장하여 운영체제나 프로그램 등에 접근할 수 있도록 만든 통로였다. 하지만, 최근에는 사용자 모르게 시스템에 무단으로 접근하고, 추가적인 악성코드를 설치하거나 개인 정보를 수집하는 악성코드 종류를 뜻하는 경우가 많아졌다. 

본 보고서에서는 백도어 형태의 악성코드를 분석하여 백도어의 일반적인 기능과 동작 방식 등을 알아본다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

1.exe

파일크기

135,185 byte

진단명

Backdoor/W32.Farfli.135185

악성동작

백도어

네트워크

http://www.h*****r.com - 유포지

49.**.*.84:81 - 공격자 서버

103.*.**.86:80 - 공격자 서버





2-2. 유포 경로

해당 악성코드는 중국의 중고차 매매 사이트 http://www.h*****r.com/1.exe 를 통하여 유포되었다. 이는 해당 악성코드가 또 다른 악성코드나, Exploit Kit 등을 통해 다운로드 될 수 있음을 보인다. 해당 페이지는 현재 접속이 불가능하다.





2-3. 실행 과정

해당 악성코드는 아래 그림과 같이 MS 워드 파일 아이콘으로 위장하고 있으며 파일 실행 시 자신을 %ProgramFiles%\Google\google.com으로 복사하고, 서비스 명이 “Cnykvi Ugrdoalw Jugrdoal Xjug” 인 서비스를 생성한 뒤 자가 삭제된다. 이 후 악성 행위는 모두 google.com 프로세스에서 이루어진다.


[그림 1] 워드 파일 아이콘으로 위장한 악성코드[그림 1] 워드 파일 아이콘으로 위장한 악성코드







3. 악성 동작


3-1. 실행 파일 다운로드

악성코드는 추가 모듈이나 실행 파일을 공격자가 지정한 웹 서버에서 다운로드 후, 감염 PC의 특정한 경로 및 파일명으로 생성한다.


[그림 2] 추가 파일 다운로드[그림 2] 추가 파일 다운로드





3-2. PC 정보 수집

사용자 PC의 메모리 사용량과 OS 버전 정보, 동작중인 백신 프로세스 등 컴퓨터 정보를 수집한다.


[그림 3] 백신 프로세스 조회 대상[그림 3] 백신 프로세스 조회 대상





3-3. MBR 파괴 및 시스템 종료

공격자의 명령에 따라 MBR (0~512Byte) 영역을 임의의 데이터로 덮어 씌운다. 이후 시스템을 재부팅 시키지만 비정상적인 MBR로 인해 부팅이 정상적으로 이루어지지 않는다.


[그림 4] MBR 파괴 코드 부분[그림 4] MBR 파괴 코드 부분


[그림 5] 시스템 재부팅 명령[그림 5] 시스템 재부팅 명령







4. 결론


이와 같은 백도어 악성코드들은 해당 악성코드 하나만 보았을 때는 피해가 크지 않지만, 감염 된 후 공격자에 의해 추가로 다운로드 될 수 있는 악성코드 및 모듈로 피해가 확대될 수 있어 사용자의 주의가 필요하다. 


백도어 악성코드 피해를 막기 위해선 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

백도어 악성코드 분석 보고서 



 

1. 개요

여러 악성코드 종류 중에서 표적의 정보를 탈취하거나 추가적인 공격에 흔히 사용되는 악성코드를 백도어 악성코드라고 불린다. 일반적으로 백도어의 의미는 사용자에게 정상적인 인증을 거치지 않고 공격자가 PC에 접근할 수 있는 동작을 말한다.


이번 보고서에서는 백도어 악성코드를 분석하여 백도어 악성코드가 가지고 있는 일반적인 기능과 방식에 대해 이야기한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

server.exe

파일크기

737,280 Byte

진단명

Trojan-Spy/W32.Agent.737280.D

악성동작

백도어, 사용자 정보 탈취








 


3. 악성 동작

3-1. 추가 악성 파일 다운로드

분석한 악성코드는 특정 URL에서 추가적인 파일을 내려 받고 실행시킨다. 악성코드를 다운로드 받는 해당 URL은 분석 시점에서는 접속 되지 않는다.



[그림 1] 특정 주소지에서 파일을 다운받고 실행시키는 부분




3-2. 자동실행 등록

해당 파일은 svchsot.exe(본래 svchost.exe)라는 혼돈 될 수 있는 파일명으로 자기 자신을 Windows 폴더 하위에“XXXXXXPC시간정보” (ex. XXXXXXB1869ED4 등) 폴더를 생성한 뒤 복사한다. 이후 해당 파일을 자동 실행으로 등록하여 사용자가 PC를 재실행 할 때마다 동작 하도록 하였다.



[그림 2] 파일명을 변경 한 뒤 Run 레지스트리에 등록




[그림 3] Run 레지스트에 등록된 값




3-3. 백신 프로그램 동작 방해

일반적으로 많이 쓰이는 백신이 동작 중인지 확인하고 종료 시킨다.


[그림 4] taskkill 명령어로 백신 프로세스를 종료




[그림 5] 여러 백신 사의 프로세스를 탐색 한 뒤 종료




3-4. PC 정보 탈취

CPU 정보, 컴퓨터 이름, 사용자 이름, 디스크 정보, 메모리 정보, 네트워크 정보 등 PC와 관련된 정보와 사용자 정보를 조회하고 탈취한다.


[그림 6] PC 정보를 탈취하는 코드




3-5. 백도어 악성동작 : 화면 캡쳐 기능

현재 사용자의 화면을 캡쳐한다.


[그림 7] 현재 사용자의 화면을 캡쳐하여 저장




3-6. 백도어 악성동작 : 음성 정보 탈취

감염된 PC에서 오디오 입력장치의 유무를 확인 한 뒤 오디오 입력장치를 통해 음성을 녹음 한다.



[그림 8] 사용자의 오디오 입력을 받는 부분




3-7. 백도어 악성동작 : 기타 기능

이 외에도 원하는 파일을 검색하는 기능, 키로깅, 네트워크 접속, 클립 보드 내용 탈취 등 여러가지 기능이 존재하며 사용자 PC가 감염 됐다면 공격자는 원하는 동작을 사용자 모르게 수행 할 수 있다.





4. 결론

이번 보고서에서 분석한 악성파일은 정상 svchost.exe 파일명과 유사하게 위장 실행되어 사용자들이 쉽게 구분 할 수 없는 특징이 있다. 백도어 또는 C&C 악성코드에 감염된다면 자신도 모르게 개인 정보가 탈취 당할 수 있으며, 감염 PC는 또 다른 범죄에 악용 될 수 있다. 


따라서 인증되지 않은 불법적인 소프트웨어 다운로드는 최대한 자제하고, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect