다운로더 악성동작 Tufik 바이러스 분석




1. 개요 


바이러스(Virus) 형태의 악성코드는 실행 파일에 코드나 파일 형태로 기생하므로 감염된 파일을 치료하기 위해선 감염 형태 분석이 필요하다. 본 보고서에서는 바이러스 형태 다운로더 악성코드인 ‘Tufik’을 분석하여, 바이러스들의 다양한 감염 형태 중 하나를 파악하고 파일 감염 진행 방식에 대해 다루었다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

tufik.exe

파일크기

41,472 Bytes

진단명

Virus/W32.Tufik

악성동작

파일 바이러스

다운로더

 



2-2. 유포 경로

해당 악성코드는 네트워크 활동을 통한 감염 시도가 발견되지 않았으므로, 감염된 컴퓨터에서 옮겨간 파일의 실행을 통하여 유포되었을 확률이 크다.




2-3. 실행 과정

실행된 악성코드는 자신을 %SystemRoot%\system\alg.exe로 복사하여 재실행 후 다운로드 및 파일 감염 등 악성 동작을 수행한다.




3. 악성 동작


3-1. 파일 감염

해당 악성코드의 감염 형태는 섹션 스펙에 따라, 아래 그림과 같이 악성 섹션을 추가하는 Type1-1과 기존 섹션을 늘려 악성 코드를 추가하는 Type 1-2, 악성 파일 뒤에 원본 파일을 그대로 붙이는 Type 2로 나뉜다.


[그림 1] 감염 형태[그림 1] 감염 형태




Type 1-1은 PE 스펙 상 파일 크기가 실제 파일 크기와 같으며, 섹션 헤더를 추가할 공간이 있으면 아래 그림처럼 섹션을 추가해준다.


[그림 2] Type 1-1 생성[그림 2] Type 1-1 생성



Type 1-2는 PE 스펙 상 파일 크기가 실제 파일 크기와 같으며, 섹션 헤더를 추가할 공간이 없으면 조건에 맞는 섹션을 선택하여 아래 그림처럼 섹션 크기를 늘린 후 악성 코드를 복사한다.


[그림 3] Type 1-2 생성[그림 3] Type 1-2 생성



Type 2는 PE 스펙 상 파일 크기가 실제와 같지않으면 대상 파일 원본을 보존하기 위해 아래 그림처럼 악성코드 전체를 원본 파일 앞부분에 기록한다. 이 후 원본 파일의 리소스에서 아이콘을 추출하여 원본 파일과 같이 위장한다.


[그림 3] Type 2 생성[그림 3] Type 2 생성





4. 결론


이와 같은 바이러스는 원본을 거의 훼손하지 않아 파일 대부분을 복구할 수 있지만, 다운로더 악성동작으로 다운로드 및 실행될 파일에 의한 피해가 확산될 수 있어 사용자의 주의가 필요하다. 이를 예방하기 위해선, 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
Posted by nProtect

파일 바이러스 Bloored 





1. 개요 


대부분 사용자들이 일반적으로 악성코드하면 ‘바이러스(Virus)’를 떠오르기 마련이다. 바이러스는 사전적으로 ‘프로그램을 통해 감염되는 악성 소프트웨어’를 말하는데 보통 바이러스 감염 후에 공격자에게 실질적인 이득을 주는 기능이나, 기능 확장을 위한 추가 모듈 다운로드 및 실행 기능을 포함한다. 본 보고서에서 다루게 될 악성코드 Bloored는 앞서 설명한 바이러스 형태의 악성코드이며, 구조가 다른 바이러스들에 비해 비교적 단순하다. 본 보고서를 통해 바이러스가 다른 파일을 감염하는 방식과 공격자가 이를 이용해 불법적으로 이득을 취하는 방법을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Bloored.exe

파일크기

259,072 byte

진단명

Worm/W32.Bloored.Gen

악성동작

파일 바이러스, 드롭퍼, 다운로더, 이메일 웜

네트워크

www.k***a.com

 


2-2. 유포 경로

바이러스는 주로 감염 파일의 실행으로 유포되므로, 대체로 감염된 컴퓨터에 연결되었던 USB 등의 보조기억매체를 통해 유포되었을 확률이 높다. 게다가 Bloored는 이메일 웜(Email-worm) 기능을 포함하기 때문에 이메일을 통해 유포 되었을 확률도 있다.



2-3. 실행 과정


해당 악성코드 실행 시, Bloored가 기록해 놓은 시그니처(Signature)를 확인하여 감염 여부를 판단한다. 감염 파일일 경우 시그니처에 포함된 정보로 감염 대상인 파일의 원래 크기를 이용하여 %TEMP%에 정상 파일을 복원 후 실행 시키고, 악성 동작을 수행한다. 감염되지 않은 파일일 경우 위 동작을 건너뛰고, 악성 동작을 수행한다.





3. 악성 동작


3-1. 파일 감염

경로 ‘C:\’를 루트로 이하의 파일과 디렉토리 내부를 감염하며, [그림 1]과 같이 루트에서 15회 이상 깊게 들어가지 않는다. C 드라이브 외에는 감염하지 않는다.


[그림 1] 깊이 제한[그림 1] 깊이 제한



[그림 2]와 같이 임시 파일을 생성하여 ‘악성PE - 감염 대상 PE - Signature’ 순서로 입력한 뒤 감염 대상 경로 파일 명으로 복사하여 파일 감염을 수행한다.


[그림 2] 파일 감염 루틴[그림 2] 파일 감염 루틴


여기서 Bloored는 실행 된 파일의 감염 여부를 고려하지 않기 때문에, 이미 감염된 파일이 다른 정상 파일을 감염 시키면 계속해서 파일이 뒤로 붙는 구조이다.




3-2. 파일 다운로드 및 실행

[그림 3]과 같은 루틴으로 파일을 다운로드 및 실행시킨다

[그림 3] 파일 다운로드 및 실행 루틴[그림 3] 파일 다운로드 및 실행 루틴




3-3. 이메일 웜

레지스트리 키 ‘HKCU\Software\Microsoft\WAB\WAB4\Wab File Name’을 참조하여, Outlook에서 사용하는 주소록 파일 ‘.wab(Windows Address Book)’의 내용을 파싱해 아래 그림들과 같은 내용을 임의로 선택하여 전송한다.

[그림 4] 전송하는 계정 명[그림 4] 전송하는 계정 명


[그림 5] 메일 내용[그림 5] 메일 내용


[그림 6] 첨부 파일 명[그림 6] 첨부 파일 명


[그림 7] 첨부 파일 확장자[그림 7] 첨부 파일 확장자



첨부 파일은 확장자가 .zip일 경우 압축된 Bloored.exe를, 이외의 확장자일 경우는 압축되지 않은 Bloored.exe가 첨부된다.




3-4. 파일 드롭

C ~ X 드라이브 중 DRIVE_FIXED 또는 DRIVE_RAMDISK 타입인 드라이브를 탐색하여, 문자열 “shar” 또는 “mus”를 디렉토리 명에 포함하는 디렉토리 발견 시 bloored.exe 파일을 아래 [그림 8]의 파일 이름으로 복사한다.

[그림 8] 드롭 파일 명[그림 8] 드롭 파일 명



드라이브 탐색 중 아래와 같은 확장자 파일 발견 시, 이메일 주소를 파싱하여 ‘3-3. 이메일 웜’ 항목과 같이 메일을 전송한다.

[그림 9] 파싱 대상 파일[그림 9] 파싱 대상 파일





4. 결론


Bloored와 같은 바이러스는 정상 파일을 악성 파일로 만들기 때문에, 일반적인 악성코드의 치료방법인 ‘삭제’보다 치료 방법이 까다롭다. 그렇기 때문에, 감염 시 치료가 불가능한 파일이 비교적 많이 발생할 수 있어, 원본 파일을 삭제할 수 밖에 없는 상황이 생길 수 있다. 이런 바이러스에 감염되지 않도록 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
Posted by nProtect

 JavaScript(JScript)를 이용한 RAA 랜섬웨어 



 

 

1. 개요

JavaScript를 이용하여 동작하는 랜섬웨어가 발견됐다. Script 언어를 활용하여 악성코드를 추가적으로 다운로드 하거나 부수적 동작을 수행하는 악성코드는 이전에도 있었지만, JavaScript(.js) 단일 파일로 암호화를 진행하는 랜섬웨어는 근래 보기 힘든 악성동작이라 주의가 필요하다. 


잉카인터넷 시큐리티 대응센터에선 이번 보고서를 통해 JavaScript로 동작하는 RAA 랜섬웨어를 알아보고 대책 방안에 대해 살펴보고자 한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

RAA.js

파일크기

758,931 Byte

진단명

Script-VBS/W32.RAA

악성동작

파일 암호화를 통한 Bit-coin 요구






 



2-2. 유포 경로

RAA 랜섬웨어는 워드파일로 위장한 .js 파일을 이메일을 통해 유포되는 것으로 일반적으로 알려져 있다. 하지만 유포방식 및 공격방식은 추후 다른 방법으로 변경될 가능성이 있다.





2-3. 실행 과정

해당 악성파일은 JavaScript 파일(.js 파일)이지만 Windows 운영체제에서 실행이 가능하다. Script로 작성된 파일은Windows에서 지원하는 WSH(Windows Scripting Host) 기술을 통해 동작한다. RAA 랜섬웨어가 실행 되면 가장 먼저 가짜 워드 파일을 출력시켜 사용자의 주의를 돌리고 그 사이 암호화를 수행한다. 암호화가 끝난 뒤 RAA는 또 다른 정보탈취형 악성코드를 생성하고 실행한다.


[그림 1] 사용자의 주의를 돌리기 위한 가짜 문서 및 해당 내용





3. 악성 동작

3-1. 시작 프로그램 등록 및 VSS 삭제

RAA 는 동작하고 있는 wscript.exe 프로세스 수와 이전의 RAA 랜섬웨어가 암호화를 끝내고 설정한 “Raa-fnl” 레지스트리 값을 읽어 들여 RAA 랜섬웨어가 중복 실행됐는지 확인한다. 처음 실행이라면 현재 스크립트 파일이름을 Run 레지스트리 하위 값으로 설정한다. 또한 Windows 의 백업기능인 VSS(Volume Snapshot Service) 관련 정보를 삭제하고 실제 암호화 루틴을 수행한다.



[그림 2] JS 파일을 Run 레지스트리에 등록

 



[그림 3] 제거 된 VSS 관련 레지스트리 값




3-2. 암호화

RAA 랜섬웨어는 중복 실행됐는지 확인하고 처음 동작이라면 새 GUID 를 생성하여 감염된 사용자의 식별 아이디로 삼는다. 또한, 생성한 GUID 값을 특정 서버로 보내 응답 받은 값으로 실제 암호화에 쓰일 키를 생성한다.


[그림 4] GUID 값 생성 및 읽기


[그림 5] 생성 된 사용자 고유 ID (GUID 값)




암호화 대상이 되는 파일 확장자는 [표 1]과 같으며, 총 16개의 종류가 대상이다. [표 2]와 같은 폴더의 하위 파일은 암호화를 수행하지 않는다.


 

.doc .xls .rtf .pdf .dbf .jpg .dwg .cdr .psd.cd .mdb .png .lcd .zip .rar .csv

[표 1] 암호화 대상 파일 확장자



WINDOWS, RECYCLER, Program Files, Program Files (x86), Windows, Recycle.Bin, RECYCLE.BIN, Recycler, TEMP, APPDATA, AppData, Temp, ProgramData, Microsoft

[표 2] 암호화 대상에 들어가지 않는 폴더명





RAA 에서는 파일을 암호화 하기 위해 CryptoJS 라이브러리의 AES 암호화 방식을 사용한다. 파일은 크기에 따라 총 3가지 다른 방식으로 암호화 하며, 크기가 약 476MB 이상인 파일에 대해서는 암호화 하지 않는다. 암호화가 끝난 파일에 대해서는 “.locked” 확장자를 붙이며 암호화된 파일은 현재까지 복구가 불가능 하다.



[그림 6] 실제 데이터를 암호화하는 부분





모든 암호화를 끝낸 뒤 wordpad.exe 를 통해 랜섬웨어에 대한 안내문을 출력하고, “Raa-fnl” 레지스트리에 “beenFinished” 라는 값을 설정한다. 이 값은 RAA 가 시작할 때 검사하는 값으로 이미 동작 완료한 PC에서 다시 동작하지 않도록 한다.


[그림 7] 랜섬웨어 감염 안내 및 금전 요구 화면




[그림 8] 암호화가 끝난 뒤 설정하는 값과 안내문을 출력하는 코드



3-2. 추가 악성코드 실행

해당 랜섬웨어는 인포-스틸러(정보탈취 악성코드)를 추가적으로 드랍하고 실행시킨다. st.exe 라는 이름으로 드랍되는 이 악성코드는 PC 에 저장 된 FTP, 비트코인 지갑, 공유 드라이브, 웹 로그인 등의 계정정보를 조회하여 공격자에게 전송한다. 분석시점에서는 원격지에 연결이 되지 않고 있다.






4. 결론

Javascript를 이용한 랜섬웨어는 Ransom32 악성코드가 최초인 것으로 알려져 있어 RAA 랜섬웨어를 완전히 새로운 형태의 랜섬웨어로 보긴 어렵다. 


하지만, 일반 악성코드는 스크립트 파일이 부수적인 역할을 해왔던 반면, 이와 다르게 RAA 랜섬웨어는 Javascript로 단독 실행된다는 점에서 주의깊게 볼 필요가 있다. 또한, 파일 암호화 악성동작 외에도 사용자 계정정보를 탈취하는 악성코드를 추가 실행시키므로 2차 피해를 입기 쉽다. 


RAA 랜섬웨어는 감염 안내문을 볼 때 타깃이 러시아일 것으로 추정된다. 하지만, 비슷한 형태의 변종이 언제든지 국내에 유입될 수 있기 때문에 안심해서는 안된다.


랜섬웨어 피해를 최소화하기 위해선 불명확한 파일은 다운로드 받지 않고, 모르는 링크와 이메일 접속을 금지하며 만일의 사태를 대비하여 중요파일을 상시 백업하는 습관을 가져야 한다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신 버전으로 업데이트하는 것이 중요하다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한, nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-검사 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단 할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 


[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림 11] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능

저작자 표시 비영리 변경 금지
신고
Posted by nProtect

북한이 사용한 악성 프로그램 ‘유령쥐’



 

1. 개요

지난 6월 13일 경찰청 사이버안전국은 북한이 4차 핵실험 직후인 2월, 국내 대기업 전산망을 해킹했음을 발표하였다. 발표에 따르면 북한은 악성 프로그램 ‘유령쥐’를 이용해 13만여대의 컴퓨터를 감염시켰다고 한다. 이번 보고서에선 이 유령쥐를 자세하게 알아보고자 한다. 


실행파일명은 zegost.exe로 통칭 Gh0st RAT의 변종으로 불리고 있다. 여기서 RAT은  Remote Access Tool 혹은 Remote Administrator Tool로 불리며 단어의 차이는 있으나 그 뜻은 원격 접속을 보장하는 도구로 같다. 유령쥐라는 명칭 또한 Gh0st RAT이라는 영문이름에서 비롯된 것으로 보인다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

svchsot.exe

파일크기

106,496 byte

진단명

Backdoor/W32.Zegost.106496

악성동작

C&C, 백도어, 키로거











2-2. 유포 경로

지난 6월 13일 기사 경찰청 사이버안전국 발표에 따르면, 유령쥐는 PC 통합관리 시스템의 취약점을 통해 기업 전산망에 침투한 것으로 알려졌다. 이 보고서에서 분석하는 샘플은 유령쥐의 변종으로 구체적으로 어떤 악성동작을 수행할 수 있는지 알아보고자 한다.




2-3. 실행 과정

최초 실행 시 %WINDIR%\[임의6글자]\svchsot.exe 로 자신을 복제하고 작업 스케줄러를 통해 매시간 자동실행 되도록 설정한다. 이후 악성동작은 메모리상에만 존재하는 .dll 파일에서 이뤄진다. 이후 하기의 C&C서버에 접속하여 악성동작을 수행하나 현재 서버가 차단되어 실제 동작은 하지 않는다.

[그림] 메모리상에만 존재하는 .dll 파일



h****0.g***y.net:6000

com.g****2.com:6000

com1.g****2.com:6000

[표] C&C 서버 주소






3. 악성 동작

3-1. PC정보 전송

감염 PC의 세부 정보를 악성 서버로 전송한다. C&C 형 악성코드에 감염됐을 때 공격자는 관리를 위해 PC를 식별할 필요가 있어 가장 먼저 수행하는 일반적인 동작이다.


[그림] PC정보 수집




3-2. 키로깅

키보드 입력이 발생할 경우 입력한 키를 문자열로 저장한다. 문자로 표현할 수 없는 키(쉬프트, 컨트롤키 등)는 <SHIFT>, <CTRL> 등으로 치환하여 저장한다. 단순 키보드 탈취는 물론 현재 활성화된 프로그램도 검사하여, 어느 프로그램에 어느 정보를 입력하는지 가로챌 수 있다.


[그림] 키보드 입력 탈취 코드




3-3. 추가 악성코드 다운로드

또한 하기 주소로부터 추가 악성코드를 다운로드 및 실행한다. 다운로드 대상 주소는 C&C 서버와 동일하다. 다행히 C&C 서버와 마찬가지로 모두 차단되어 접속되지 않는다.

http://www.a****5.com:2011/1.exe

http://www.f****5.com:2011/1.exe

http://www.w****8.com:2011/1.exe

[표] 추가 악성코드 다운로드




[그림] 추가 악성코드 다운로드 코드




3-4. 기타 특이사항

웹 브라우저 즐겨찾기가 저장된 폴더를 탐색해 해당 정보를 수집해 공격자에게 전송하고, 받은 정보로 수정하는 코드가 존재한다. 즐겨찾기 정보 탈취 동작은 다른 종류의 C&C 악성코드에선 쉽게 찾을 수 없는 부분이다.

[그림] 즐겨찾기 정보 수집 및 수정




아래 코드를 통해 PC에 연결된 마이크가 있을 경우 소리를 녹음한다. 녹음한 음성은 별도의 로그로 기록하지 않고, 바로 공격자에게 전송된다.

[그림] 마이크 음성 탈취




이 외에도 디바이스 드라이버 설치, 원격연결 저장정보 탈취, 원격접속 세션 제어, 윈도우 타이틀 창 확인, 백신제품 동작방해 등 실로 다양한 동작을 수행할 수 있다. 특히 드라이버 설치 동작이 있어, 감염 후 루트킷을 통해 장기적인 보안위협이 될 여지가 있다.


[그림] 그 외 동작 중 일부



4. 결론

C&C 형태의 악성코드는 공격자의 원격 접속을 보장하는 백도어 기능과 함께 추가 악성 파일 다운로드는 물론 PC에 대한 모든 제어권을 갖는다는 점에서 APT 공격의 빠지지 않는 요소로 등장한다. 이번 유령쥐에 의한 북한의 대기업 해킹 공격 또한 같은 맥락이다. 백도어는 공격자가 감염 PC에 지속적으로 접근할 수 있는 통로를 제공하기에 발견 즉시 삭제해야 하며, 주기적인 백신 검사를 통해 피해를 최소화 할 수 있도록 해야한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

이동식 디스크를 통해 전파되는 ZCrypt 랜섬웨어 분석 보고서

 



 

1. 개요

최근 랜섬웨어의 공격 및 전파 방식이 한층 더 다양해지고 있다. 이번 보고서에서 분석한 ZCrypt 는 autorun.inf 를 이용해 사용자 PC를 감염시킨다. 이 공격방법은 최근 여러 악성코드와 비교할 때 상대적으로 사용하지 않는 방식인데, 이를 통해 해커들이 수 많은 랜섬웨어 변종을 양산하며 다양한 공격을 시도하고 있다는 것을 알 수 있다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

ZCrypt.exe (파일명 확인되지 않음)

파일크기

536, 699 Byte

진단명

Ransom/W32.ZCryptor.536699

악성동작

파일 암호화를 통한 금전(Bit-coin) 요구











2-2. 유포 경로

랜섬웨어는 대체적으로 불특정 다수를 대상으로 분포되며 주로 웹사이트의 취약점이나 이메일의 첨부파일 형식으로 전파된다. ZCrypt 역시 초기엔 워드 매크로에 삽입되어 이메일을 통해 전파 된 것으로 보인다. 

ZCrypt가 다른 랜섬웨어과 차별되는 점은 감염 이후에 볼 수 있다. ZCrypt는 이동식 디스크가 연결되어 있는지 확인한 후 해당 디스크에 autorun.inf 파일과 자기자신을 복사하여 감염시킨다. 이 후 감염된 이동식 디스크가 다른 PC에 연결되면 복사된 ZCrypt가 자동으로 실행되면서 2차 피해를 꾀했다.





2-3. 동작

ZCrypt 랜섬웨어는 NSIS(Nullsoft Scriptable Install System)를 이용한 설치파일의 일종으로 악성 행위에 필요한 파일들이 압축형태로 저장되어 있다. ZCrypt 설치 파일이 내포하고 있는 파일 중 System.dll 은 NSIS 에서 사용하는 정상 모듈이고, 그 외 SetCursor.dll 과 .cCS, .9 파일은 실제 악성동작에서 사용하는 모듈 및 파일이다. 


ZCrypt 랜섬웨어의 특징적인 부분은 대상 OS 버전이 Windows XP 일 때는 동작하지 않는 것이다. 최근 OS 점유율을 보면 Windows XP 는 공식지원이 끝났지만 2016년 1월부터 5월까지 OS 시장 점유율을 살펴보면 아직까지 10% 이상의 점유율을 보이고 있다. 일반적인 악성코드가 더 많은 감염자를 발생시키기 위해 최대한 많은 OS 버전에서 동작 할 수 있도록 하는 것과 달리 ZCrypt 랜섬웨어는 특정 OS에선 동작하지 않는다는 차이점을 보인다.



[그림 1] 원본 ZCrypt 파일이 가지고 있는 모듈 및 파일




[그림 2] 2016년 OS 시장 점유율

(출처 : NETMARKETSHARE Market Share Report, Desktop Operating System Market Share, 2016.01~2016.05)





3. 악성 동작

3-1. 시작프로그램 등록 및 자가복제

악성코드 실행 시 Run 레지스트리 하위에 ‘zcrypt’라는 이름으로 자기 자신을 등록하며 시작프로그램에도 .lnk 파일 형태로 자기자신의 실행파일을 연결한다. 시작프로그램 폴더에는 재부팅 후 사용자에게 바로 보여질 수 있는 랜섬웨어 안내문 ‘How to decrypt files.html’ 도 생성한다. 또한, %APPDATA% 폴더 하위에 zcrypt.exe 이름으로 자기 자신을 복사한다.




3-2. 이동식디스크 감염

해당 랜섬웨어는 동작 중 이동식디스크(USB 등)가 연결되어 있는지 확인하고 연결 중이라면 해당 파일에 ‘autorun.inf’ 와 ‘invoice.exe’ 파일을 생성한다. autorun.inf 는 이동식디스크가 새로 연결될 때 invoice.exe 를 실행시켜주는 역할을 하며, invoice.exe 는 ZCrypt 랜섬웨어다.



[그림 3] USB에 생성된 파일


3-2. 이동식디스크 감염

해당 랜섬웨어는 동작 중 이동식디스크(USB 등)가 연결되어 있는지 확인하고 연결 중이라면 해당 파일에 ‘autorun.inf’ 와 ‘invoice.exe’ 파일을 생성한다. autorun.inf 는 이동식디스크가 새로 연결될 때 invoice.exe 를 실행시켜주는 역할을 하며, invoice.exe 는 ZCrypt 랜섬웨어다.


.gif .zip .7z .mp4 .avi .mkv .wmv .swf .pdf .sql .txt .jpeg .jpg .png .bmp .psd .doc .docx .rtf .xls .xlsx .odt .ppt .pptx .ai .xml .c .cpp .asm .js .php .cs .aspx .html .conf .sln .mdb .asp .3fr .accdb .arw .bay .cdr .cer .cr2 .crt .crw .dbf .dcr .der .dng .dwg .dxf .dxg .eps .erf .indd .kdc .mdf .mef .mrw .nef .nrw .odb .odp .ods .orf .p12 .p7b .p7c .pdd .pef .pem .pfx .pst .ptx .r3d .raf .raw .rw2 .rwl .srf .srw .wb2 .wpd .jnt .pub .trc .gz .tar .jsp .pl .py .rb .mpeg .msg .log .vob .max .3ds .3dm .db .cgi .jar .class .java .bak .pdb .apk .sav .cbr .pkg .tar .gz .fla .h .sh .vb .vcxproj .XCODEPROJ .eml .emlx .mbx .vcf


[그림 4] 암호화 대상 파일 확장자 목록




[그림 5] 암호화 된 파일




암호화가 완료 된 뒤 암호화를 진행한 폴더 안에 안내문 파일을 생성하여 피해자에게 금전을 요구한다.



[그림 6] 암호화 후 생성된 랜섬웨어 안내문


4. 결론

최근 여러 가지 공격방법을 적용시켜 만든 랜섬웨어가 발견되고 있다. 이동식 디스크를 통한 전파방식은 근래에 많이 사용되지 않았기 때문에 사용자들이 방심할 수 있는 부분을 노린 것으로 보인다. 또한, 기업이나 단체에서의 파일 이동은 아직 이동 저장장치를 통해서 이뤄지는 곳이 많이 때문에 기업 내로 퍼질 경우 피해가 상당 할 것으로 생각된다. 


따라서 이동식 디스크의 자동실행을 수행하지 않도록 설정하는 것이 해당 랜섬웨어 뿐만 아닌 다른 악성코드에 대해서도 안전한 방법이다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, nProtect Anti-Virus/Spyware V4.0 에서는 USB 등 이동식 디스크의 자동실행을 방지하는 기능과 자동 검사가 가능하다.



(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[
그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[
그림 8nProtect Anti-Virus/Spyware V4.0 이동식 디스크 자동 실행 방지 기능 설정





[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
Posted by nProtect

다운로드 프로그램으로 위장한 애드웨어 배포 주의

 



 

1. 개요

컴퓨터를 사용하다보면 컴퓨터 문의 중 한 번쯤 이런 말을 들어봤을 것이다. “아무것도 하지 않았는데 컴퓨터가 느려졌어요.” “인터넷을 하는데 자꾸 이상한 광고가 나와요. 고쳐주세요.” 이런 문제가 있는 PC를 들여다보면 대부분 애드웨어가 원인인 것으로 밝혀진다.


애드웨어의 유포는 여러 경로지만, 보통 특정 프로그램을 설치할 때 사용자가 인지하기 힘든 방식으로 추가 설치되어 골치를 꽤 썪이곤 한다. 사실 추가설치 자체는 잘못된 방식이 아니다. 마이크로소프트사의 오피스 프로그램만 하더라도 ‘워드’만 설치할지, ‘엑셀’도 설치할지 사용자 편의에 맞게 프로그램 설치를 할 수 있기에 추 후 있을 사항을 대비해 추가설치는 꼭 필요한 형태의 설치 방식이다. 또한 이렇게 설치되는 프로그램은 대게 원본 프로그램의 동작에 필수적인 드라이버 등이거나 그와 연관된 프로그램이 대부분이다.


문제는 애드웨어는 원본 프로그램 설치에 필수적이지 않다는 것이다. 동작 또한 원치 않는 광고를 출력하거나, 사용자가 인지할 수 없게 자사 광고를 클릭해 광고수익을 올리는 동작을 한다. 만약 사용자가 광고를 보고 싶어 하더라도, 애드웨어가 설치되는 과정을 본다면 과연 적절한 절차를 따르는지 의문이다. 


핵심은 애드웨어가 ‘사용자가 분명히 인지할 수 있는 방식으로’ 추가설치를 안내하는지 여부이다. 애드웨어의 유포는 속칭 ‘끼워팔기’라고도 불리는데, 아래의 애드웨어의 설치화면을 본다면 그 이유를 확실히 알 수 있다.



[그림] 애드웨어 설치화면




ChaosOne.exe 란 프로그램을 다운받기 위한 단순 다운로더처럼 보이는 이 프로그램은 “제휴 프로그램 추가 설치 및 약관에 동의합니다” 란 문구 아래 설치할 제휴프로그램의 목록이 나열된 애드웨어이다. 그림에서 확인할 수 있듯이 설치 할 제휴 프로그램은 화살표를 클릭하지 않는 한 사용자가 인지할 수 없음은 물론이고, 모든 제휴 프로그램이 기본적으로 체크되어 있기 때문에 ‘실행’ 혹은 ‘저장’ 버튼을 누르면 부지불식간에 모든 추가 제휴 프로그램이 다운로드 및 설치된다.


이처럼 ‘사용자가 원치 않을만한 광고동작’, ‘인지하기 힘든 형태의 추가설치’란 특성으로 인해 애드웨어는 PUP(Potentially Unwanted Program)라 불리기도 한다.


아래 표는 정상 인스톨러와 애드웨어 인스톨러가 설치하는 추가 옵션 프로그램의 성격을 간략하게 나타낸다.



 구

정상 인스톨러

애드웨어 인스톨러

옵션 프로그램

경우에 따라 있음

있음

옵션 프로그램의 성격

원본 설치파일의 동작에 필수적이거나 연관 프로그램

광고, 클릭커, 사용정보 유출

옵션 설치 안내여부

있음(전체 목록이 한 화면에 노출)

있거나 없음(일부 목록만 노출)

옵션 설치방식

원본 설치파일에 포함(경우에 따라 다운로드)

다운로드

옵션 프로그램 약관

원본 설치파일에 포함

다운로드


[표] 정상 설치 프로그램과 애드웨어 설치 프로그램의 차이




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

23-12369_chaosone.exe

파일크기

953,120 byte

진단명

Downloader/W32.W***til.N3.A

악성동작

추가 애드웨어 다운로드

네트워크

 http://pil****e.blogspot.kr/ (유포지)








 



2-2. 유포 경로

23-12369_chaosone.exe 는 개인 블로그로 위장한 http://pil****e.blogspot.kr/ 에서 유포되었다. 애드웨어는 대게 이력서, 플래시 게임, 각종 유틸리티 프로그램 등 검색에 자주 노출될 만한 키워드로 블로그 글을 작성하고, 해당 글에 첨부파일로 첨부되어 유포된다.

이 파일의 경우 게임 워크레프트3의 유틸리티로 위장하여 유포되고 있다. 이 블로그의 첨부파일 다운로드 URL은 애드웨어 유포업체 w***til.com 임을 확인할 수 있다. 외부 링크를 사용하기 때문에 첨부파일은 언제든지 교체될 여지가 있고, 실제로 3~4개월마다 파일을 교체하여 백신업체의 진단을 피하는 모습을 보인다.





[그림] 첨부파일 다운로드 URL




2-3. 실행 과정

23-12369_chaosone.exe 는 최초 실행 시 자사 URL로부터 실제 다운로드 할 파일(여기서는 ChaosOne.exe)의 정보와 추가 다운로드 할 애드웨어의 정보를 얻어온다. ‘실행’ 혹은 ‘저장’ 버튼을 누를 경우 사용자가 원래 받고자 했던 ChaosOne.exe와 함께 10여 개의 애드웨어가 설치된다.




[그림] 다운로드 정보




www.w***til.com/down2/dnfile_101216.ini.php 파일을 확인할 경우 아래와 같은 내용을 확인할 수 있으며, 이용약관, 설치파일 다운로드 URL, 설치 폴더, 설치 파라미터 등 애드웨어 설치에 관한 아주 자세한 정보가 담겨있다.


[검색도우미-**]

agrurl=http://th**m.co.kr/sub/pop01.htm

dnurl=http://www.th**m.co.kr/bin/tam_s01.exe

cnturl=

chkpath={program files}

params=/s

 

[* 아이콘]

agrurl=http://ut***ada.com/down2/KPISS.txt

dnurl=http://www.lot***op.co.kr/bacon/bacon.exe

cnturl=

chkpath={program files}

params=

옵션 프로그램 명(추가 애드웨어)

약관

원본 파일 다운로드 주소

 

설치 경로

설치 파라미터

 

옵션 프로그램 명(추가 애드웨어)

약관

원본 파일 다운로드 주소

 

설치 경로

설치 파라미터


[그림] 애드웨어 설치정보



3. 악성 동작

3-1. 광고동작

동시에 설치되는 애드웨어의 종류가 워낙 많기에 각각의 광고동작을 일일이 나열하는 것은 무의미하다. 아래는 일부 애드웨어의 약관을 토대로 해당 기능을 간략히 나열한 것이다. 대부분 추가 광고노출, 추가 제휴프로그램 다운로드, 개인정보 수집에 관한 내용이다.



(전략) 특정 웹사이트가 자체 웹페이지 또는 팝업창 형태로 연결되게 됩니다.

(전략) URL을 키워드로 인식하여 특정 배너(동영상,이미지,음원등을 포함)등을 (중략) 화면의 중간 또는 웹페이지의 여백등에 배너가 노출되어 집니다.

(전략) 사용자가 방문하려는 사이트와 관련된 다른 사이트를 팝업, 팝언더, 후팝업, 웹브라우저 탭등의 다양한 방식으로 보여주거나 (후략)

(전략) 사이트 바로가기 버튼을 제공하며, 클릭 시 해당 사이트로 바로 연결 되는 서비스를 제공합니다.

(전략) 다양한 형태의 상업적, 비상업적 또는 유, 무료 서비스 또는 컨텐츠, 광고 등을 (중략) 사용자에게 제공할 수 있습니다.

(전략) 새탭의 시작페이지가 변경 재설정 됩니다.

(전략) 추가적인 정보결과페이지(컨텐츠 및 광고상품)를 노출, 제공합니다.

사용자가 최근 열람한 상품 및 관심상품이 (중략) 일정 기간동안 일정한 횟수로 재노출되는 방식으로 광고서비스가 제공되어 집니다.

(전략) 기본탭외에 새탭에 (중략) 추가적인 정보결과페이지(컨테츠 및 광고상품)를 노출, 제공합니다.

(전략) 별도(제휴업체)의 소프트웨어를 제공(추천, 업데이트) 할 수 있습니다.

(전략) 본 소프트웨어 외에 광고 , 컨텐츠 및 기타 서비스를 직접 제공할 수 있습니다.

(전략) 사용자의 개인정보나 PC의 데이터를 수집하고 사용할 수 있습니다.

(전략) 검색엔진이나 주소창 등에서 검색어를 입력하여 나타나는 결과와 연관되는 제3자의 상업적 내용을 사용자의 PC에 전송할 수 있습니다.


[그림] 약관을 토대로 한 애드웨어 동작




4. 결론

애드웨어는 다운로드 받고자 하는 프로그램의 다운로드 성공/실패 여부와 관계 없이 백그라운드로 설치된다. 또한 별도의 설치과정 등이 육안으로 보이지 않아 사용자가 추가 프로그램이 설치되고 있음을 인지못하며 중간에 중지할 수 없고, 하단의 동의 및 설치할 프로그램들이 모두 기본적으로 체크되어 있어 해당 목록을 조회함에 있어 추가적인 동작이 필요하다. 


따라서, 애드웨어는 사용자에게 충분히 설치 여부를 알렸다고 보기 어렵다. 이는 “정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 50조의 5: 정보통신서비스 제공자는 영리목적의 광고성 정보가 보이도록 하거나 개인정보를 수집하는 프로그램을 이용자의 컴퓨터나 그 밖에 대통령령으로 정하는 정보처리장치에 설치하려면 이용자의 동의를 받아야 한다. 이 경우 해당 프로그램의 용도와 삭제방법을 고지하여야 한다.”에서 말하는 이용자의 동의를 받아야 한다. 에 저촉될수 있다고 볼 수 있다.


상기 다운로더와 해당 다운로더로 다운로드된 제휴 프로그램은 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware 에서 진단 및 치료가 가능하다.



[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

CryptXXX 랜섬웨어 분석 보고서 



 

1. 개요

흔히 많은 사람들은 악성코드는 .exe 파일을 실행하여 감염되는 것으로 알고 있다. 하지만 사람들의 생각과 다르게 .exe 파일 실행이 아니어도 악성코드에 감염되는 방식은 다양하다. 이번 보고서에서는 그 예 중 하나로 .dll 파일형태이며 최근 대형 커뮤니티에 유포되어 문제를 일으킨 랜섬웨어 CryptXXX에 대해 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

CryptXXX.dll (임의의 파일명)

파일크기

402, 432 Byte

진단명

Ransom/W32.CryptXXX.402432

악성동작

파일 암호화를 통한 Bit-coin 요구








 

2-2. 유포 경로

CryptXXX 는 주로 Angler Exploit Kit 을 통해 전파된다. Angler Exploit Kit 은 취약점을 찾아 악성코드를 다운로드 및 실행 할 수 있게 하는 소프트웨어 킷 이다. Angler Exploit Kit으로 리다이렉트되도록 설정된 손상된 웹서버에 사용자가 접속하면, Angler Exploit Kit 내부 다운로더에 의해 CryptXXX 파일이 다운로드 된다.





[그림 1] CryptXXX 유포방식




2-3. 실행 과정

해당 악성파일은 .dll 파일이기 때문에 파일 특성상 자체 실행이 불가능하다. 따라서 CryptXXX는 기존 rundll32.exe 의 이름을 svchost.exe 로 바꾸어 자신이 다운로드 된 곳으로 복사하며 이후 복사된 svchost.exe 를 통하여 자기자신을 동작시킨다. svchost.exe 는 윈도우 구동에 있어 필수적으로 사용되는 프로세스로 기본적으로 여러 개의 svchost.exe 가 동작하고 있기 때문에 해당 프로세스의 정보를 확인하지 않는 한 사용자가 쉽게 알아차리기 힘들다.




[그림 2] 악성 DLL이 로드 된 svchost.exe 프로세스



[그림 3] 악성 DLL 내의 익스포트(Export) 된 함수를 실행 중인 svchost.exe



3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 각종 파일들을 암호화 하고 기존 파일의 확장자를 “.crypt” 로 변경한다. 또한, 암호화를 수행하는 모든 경로에 “!Recovery_[사용자ID]” 형식의 이름으로 랜섬웨어 관련 안내 텍스트 파일과 html 파일을 드롭 한다.



[그림 4] 랜섬웨어 실행 후 암호화 된 테스트 파일 목록





[그림 5] 암호화 후 생성된 랜섬웨어 안내 텍스트 파일





하기의 목록은 CrytpXXX 가 암호화하는 확장자 목록이다. 다양한 파일의 확장자로 암호화의 대상을 지정하고 있으며 특히 국내에서 주로 쓰이는 한글 파일 포맷(.HWP)도 포함되어 있다.


.DS .PDT .PE4 .PEF .PEM .PDB .PDD .PDF .PFF .PFI .PFS .PFV .PFX .PGF .PGM .PHM .PHP .PI1 .PI2 .PI3 .PIC .PICT .PIF .PIX .PJPG .PJT .PL .PLT .PM .PMG .PNGA .PNIM .PNM .PNTG .PNZ .POP .POT .POT .POTX .PP4 .PP5 .PPAMES .PPM .PPS .PPSM .PPSXON .PPT .PPTM .PPTX .PRFR .PRIVCP .PRIVATE .PRT .PRW .PS .PSD .PSDX .PSE .PSID .PSP .PSPIMAGE .PSW .PTG .PTH .PTX.PU .PVJ .PVM .PVR .PWACO .PWI .PWRM .PXR.PY .PZ3 .PZA .PZP .PZS .QCOW2 .QDL .QMGE .QPX .QRY .QVD .RA .RAD .RAR .RAS .RAWUM .RCTD .RCU .RDB .RDDS .RDL .RFT .RGB .RGFA .RIB .RIC .RIFF .RIS .RIX .RLE .RLI .RM .RNG .RPD .RPF .RPT .RRI .RSB .RSD .RSR .3DM .3DS .3G2 .3GP .4DB .4DL .4MP .7Z .A3D .ABM .ABS .ABW .ACCDB .ACTUM .ADN .ADP .AES .AF2 .AF3 .AFT .AFX .AGIF .AGP .AHD .AI .AIC .AIF .AIM .ALBM .ALF .ANI .ANS .APD .APK .APM .APNG .APP .APS .APT .APX .ARC .ART .ARW .ASC .ASE .ASF .ASK .ASM .ASP .ASPX .ASW .ASX .ASY .ATY .AVI .AWDB .AWP .AWT .AWW .AZZ .BAD .BAK .BAY .BBS .BDB .BDP .BDR .BEAN .BIB .BM2 .BMP .BMX .BNA .BND .BOC .BOK .BRD .BRK .BRN .BRT .BSS .BTD .BTI .BTR .BZ2 .C .C2 .C4 .C4D .CAL .CALS .CAN .CD5 .CDB .CDC .CDG .CDMM .CDMT .CDR .CDR3 .CDR4 .CDR6 .CDT .CER .CF .CFG .CFM .CFU .CGI .CGM .CIMG .CIN .CIT .CKP .CLASS .CLKW .CMA .CMD .CMX .CNM .CNV .COLZ .CPC .CPD .CPG .CPP .CPS .CPT .CPX .CRD .CRT .CRWL .CRYPT .CS .CSR .CSS .CSV .CSY .CUE .CV5 .CVG .CVI .CVS .CVX .CWT .CXF .CYI .DAD .DAF .DB .DB3 .DBF .DBK .DBT .DBV .DBX .DCA .DCB .D .DCS .DCT .DCU .DCX .DDL .DDOC .DDS .DED .DF1 .DG .DGN .DGS .DHS .DIB .DIF .DIP .DIZ .DJV .DJVU .DM3 .DMI .DMO .DNC .DNE .DOC .DOCB .DOCM .DOCX .DOCZ .DOT .DOTM .DOTX .DP1 .DPP .DPX .DQY .DRW .DRZ .DSK .DSN .DSV .DT .DT2 .DTA .DTD .DTSX .DTW .DVI .DVL .DWG .DX .DXB .DXF .DXL .ECO .ECW .ECX .EDB .EFD .EGC .EIO .EIP .EIT .EMD .EMF .EML .EMLX .EP .EPF .EPP .EPS .EPSF .EQL .ERF .ERR .ETF .ETX .EUC .EXR .FAL .FAQ .FAX .FB2 .FB3 .FBL .FBX .FCD .FCF .FDB .FDF .FDR .FDS .FDT .FDX .FDXT .FES .FFT .FH10 .FH11 .FH3 .FH4 .FH5 .FH6 .FH7 .FH8 .FIC .FID .FIF .FIG .FIL .FL .FLA .FLI .FLR .FLV .FM5 .FMV .FODT .FOL .FP3 .FP4 .FP5 .FP7 .FPOS .FPT .FPX .FRM .FRT .FT10 .FT11 .FT7 .FT8 .FT9 .FTN .FWDN .FXC .FXG .FZB .FZV .GADGET .GBK .GBR .GCDP .GDB .GDOC .GED .GEM .GEO .GFB .GGR .GIF .GIH .GIM .GIO .GLOX .GPD .GPG .GPN .GPX .GRO .GROB .GRS .GSD .GTHR .GTP .GV .GWI .GZ .H .HBK .HDB .HDP .HDR .HHT .HIS .HPG .HPGL .HPI .HPL .HS .HTC .HTM .HTML .HZ .HWP .I3D .IB .IBD .IBOOKS .ICN .ICON .IDC .IDEA .IDX .IFF .IGT .IGX .IHX .IIL .IIQ .IMD .INDD .INFO .INK .IPF .IPX .ITDB .ITW .IWI .J2C .J2K .JAR .JAS .JAVA .JB2 .JBMP .JBR .JFIF .JIA .JIS .JKS .JNG .JOE .JP1 .JP2 .JPE .JPEG .JPG .JPG2 .JPS .JPX .JRTF .JS .JSP .JTX .JWL .JXR .KDB .KDBX .KDC .KDI .KDK .KES .KEY .KIC .KLG .KML .KMZ .KNT .KON .KPG .KWD .LAY .LAY6 .LBM .LBT .LDF .LGC .LIS .LIT .LJP .LMK .LNT .LP2 .LRC .LST .LTR .LTX .LUA .LUE .LUF .LWO .LWP .LWS .LYT .LYX .M .M3D .M3U .M4A .M4V .MA .MAC .MAN .MAP .MAQ .MAT .MAX ..MB .MBM .MBOX .MDB .MDF .MDN .MDT ..ME .MEF .MELL .MFD .MFT .MGCB .MGMT .MGMX .MID .MIN .MKV .MMAT .MML .MNG .MNR .MNT .MOBI .MOS .MOV .MP3 .MP4 .MPA .MPF .MPG .MPO .MRG .MRXS .MS11 .MSG .MSI .MT9 .MUD .MWB .MWP .MXL .MYD .MYI .MYL .NCR .NCT .NDF .NEF .NFO .NJX .NLM .NOTE .NOW .NRW .NS2 .NS3 .NS4 .NSF .NV2 .NYF .NZB .OBJ .OC3 .OC4 .OC5 .OCE .OCI .OCR .ODB .ODG .ODM .ODO .ODP .ODS .ODT .OFL .OFT .OMF .OPLC .OQY .A .F .T .X .OTA .OTG .OTI .OTP .OTS .OTT .OVP .OVR .OWC .OWG .OYX .OZB .OZJ .OZT .P12 .P7S .P96 .P97 .PAGES .PAL .PAN .PANO .PAP .PAQ .PAS .PB .PBM .PC1 .PC2 .PC3 .PCD .PCS .PCT .PCX .RT .RTD .RTF .RTX .RUN .RW2 .RWL .RZK .RZN .S2MV .S3M .SAF .SAI .SAM .SAVE .SBF .SCAD .SCC .S .SCI .SCM .SCT .SCV .SCW .SDB .SDF .SDM .SDOC .SDW .SEP .SFC .SFW .SGM .SH .SIG .SITX .SK1 .SK2 .SKM .SLA .SLD .SLDX .SLK .SLN .SLS .SMF .SMIL .SMS .SOB .SPA .SPE .SPH .SPJ .SPP .SPQ .SPR .SQB .SQL .SQLITE3 .SQLITEDB .SR2 .SRT .SRW .SSA .SSK .ST .STC .STD .STE .STI .STM .STN .STP .STR .STW .STY .SUB .SUMO .SVA .SVF .SVG .SVGZ .SWF .SXC .SXD .SXG .SXI .SXM .SXW .T2B .TAB .TAR .TB0 .TBK .TBN .TCX .TDF .TDT .TE .TEX .TEXT .TF .TFC .TG4 .TGA .TGZ .THM .THP .TIF .TIFF .TJP .TLB .TLC ..TM .TM2 .TMD .TMP .TMV .TMX ..TN .TNE .TPC .TPI .TRM .TVJ .TXT .U3D .U3I .UDB .UFO .UFR .UGA .UNX .UOF .UOP .UOT .UPD .USR .UTF8 .UTXT .V12 .VB .VBR .VBS .VCF .VCT .VCXPROJ .VDA .VDB .VDI .VEC .VFF .VMDK .VML .VMX .VNT .VOB .VPD .VPE .VRML .VRP .VSD .VSDM .VSDX .VSM .VST .VSTX .VUE .VW .WAV .WB1 .WBC .WBD .WBK .WBM .WBMP .WBZ .WCF .WDB .WDP .WEBP .WGZ .WI .WKS .WMA .WMDB .WMF .WMV .WN .WP .WP4 .WP5 .WP6 .WP7 .WPA .WPD .WPE .WPG .WPL .WPS .WPT .WPW .WRI .WSC .WSD .WSF .WSH .WTX .WVL .X3D .X3F .XAR .XCODEPROJ .XDB .XDL .XHTM .XHTML .XLC .XLD .XLF .XLGC .XLM .XLR .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .XML .XPM .XPS .XWP .XY3 .XYP .XYW .YAL .YBK .YML .YSP .YUV .Z3D .ZABW .ZDB .ZDC .ZIF .ZIP .ZIPX .ZW


[그림 6] 암호화 대상 확장자 목록



3-2. PC 사용 불능 및 자가파일 삭제

CryptXXX 는 파일 암호화를 마치고 일정시간 경과 후 PC 화면 전체를 덮는 랜섬웨어 안내문을 출력한다. 안내문이 출력 된 상태에서는 PC 제어가 불가능하지만 재부팅 이후에 다시 정상적인 사용이 가능하다. 또한, 해당 과정에서 원본 DLL 파일이 삭제된다.


[그림 7] 랜섬웨어 안내문




4. 결론

분석한 CryptXXX 는 취약점을 이용하여 .dll 파일을 동작시키며 Exploit Kit 을 통해 전파된다. 또한, 악성파일 자체가 .dll 파일 인 것과 더불어 svchost.exe 이름의 프로세스를 통해 동작하기 때문에 일반 사용자가 쉽게 알아 차릴 수 없다. 해당 랜섬웨어는 꾸준히 업데이트 되며 현재 CryptXXX 3.0 버전 까지 배포되고 있다. 더욱이 최근에는 한글화 된 버전도 발견되어 국내 사용자도 각별한 주의가 필요하다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

백도어 악성코드 분석 보고서 



 

1. 개요

여러 악성코드 종류 중에서 표적의 정보를 탈취하거나 추가적인 공격에 흔히 사용되는 악성코드를 백도어 악성코드라고 불린다. 일반적으로 백도어의 의미는 사용자에게 정상적인 인증을 거치지 않고 공격자가 PC에 접근할 수 있는 동작을 말한다.


이번 보고서에서는 백도어 악성코드를 분석하여 백도어 악성코드가 가지고 있는 일반적인 기능과 방식에 대해 이야기한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

server.exe

파일크기

737,280 Byte

진단명

Trojan-Spy/W32.Agent.737280.D

악성동작

백도어, 사용자 정보 탈취








 


3. 악성 동작

3-1. 추가 악성 파일 다운로드

분석한 악성코드는 특정 URL에서 추가적인 파일을 내려 받고 실행시킨다. 악성코드를 다운로드 받는 해당 URL은 분석 시점에서는 접속 되지 않는다.



[그림 1] 특정 주소지에서 파일을 다운받고 실행시키는 부분




3-2. 자동실행 등록

해당 파일은 svchsot.exe(본래 svchost.exe)라는 혼돈 될 수 있는 파일명으로 자기 자신을 Windows 폴더 하위에“XXXXXXPC시간정보” (ex. XXXXXXB1869ED4 등) 폴더를 생성한 뒤 복사한다. 이후 해당 파일을 자동 실행으로 등록하여 사용자가 PC를 재실행 할 때마다 동작 하도록 하였다.



[그림 2] 파일명을 변경 한 뒤 Run 레지스트리에 등록




[그림 3] Run 레지스트에 등록된 값




3-3. 백신 프로그램 동작 방해

일반적으로 많이 쓰이는 백신이 동작 중인지 확인하고 종료 시킨다.


[그림 4] taskkill 명령어로 백신 프로세스를 종료




[그림 5] 여러 백신 사의 프로세스를 탐색 한 뒤 종료




3-4. PC 정보 탈취

CPU 정보, 컴퓨터 이름, 사용자 이름, 디스크 정보, 메모리 정보, 네트워크 정보 등 PC와 관련된 정보와 사용자 정보를 조회하고 탈취한다.


[그림 6] PC 정보를 탈취하는 코드




3-5. 백도어 악성동작 : 화면 캡쳐 기능

현재 사용자의 화면을 캡쳐한다.


[그림 7] 현재 사용자의 화면을 캡쳐하여 저장




3-6. 백도어 악성동작 : 음성 정보 탈취

감염된 PC에서 오디오 입력장치의 유무를 확인 한 뒤 오디오 입력장치를 통해 음성을 녹음 한다.



[그림 8] 사용자의 오디오 입력을 받는 부분




3-7. 백도어 악성동작 : 기타 기능

이 외에도 원하는 파일을 검색하는 기능, 키로깅, 네트워크 접속, 클립 보드 내용 탈취 등 여러가지 기능이 존재하며 사용자 PC가 감염 됐다면 공격자는 원하는 동작을 사용자 모르게 수행 할 수 있다.





4. 결론

이번 보고서에서 분석한 악성파일은 정상 svchost.exe 파일명과 유사하게 위장 실행되어 사용자들이 쉽게 구분 할 수 없는 특징이 있다. 백도어 또는 C&C 악성코드에 감염된다면 자신도 모르게 개인 정보가 탈취 당할 수 있으며, 감염 PC는 또 다른 범죄에 악용 될 수 있다. 


따라서 인증되지 않은 불법적인 소프트웨어 다운로드는 최대한 자제하고, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

인터넷 뱅킹 파밍 KRBanker 악성코드 분석 보고서 



1. 개요

인터넷뱅킹 파밍 악성코드는 정부 및 금융기관의 노력에도 불구하고 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있어 치료에 한계가 따른다. 


이 보고서에서는 활동이 급증하고 있는 악성파일 'KRBanker'을 분석하여, 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

KRBanker_d8dba.exe

파일크기

338,944 byte

진단명

Banker/W32.Agent.338944

악성동작

금융정보 탈취

네트워크

104.***.***.27 (파밍서버)






 


2-2. 유포 경로

KRBanker는 주로 익스플로잇, 피싱 이메일 등으로 유포된다. 따라서 사용중인 소프트웨어를 상시 업데이트하고 모르는 사람으로부터 받은 이메일은 열지 않는 기본 수칙으로 악성코드 감염을 방지할 수 있다.



2-3. 실행 과정

KRBanker_d8dba.exe 는 최초실행 시 실행위치에 숨김 · 읽기전용 속성을 부여하고 윈도우 정상프로세스 chcp.com을 이용해 악성동작을 수행한다. chcp.com 은 국가별 키보드를 설정하기 위한 프로그램이다. KRBanker_d8dba.exe 는 hosts 파일 등을 수정하지 않고, 백신 감시를 피해 chcp.com 을 이용하여 가짜 사이트로 유도하므로 악성동작이 있음을 알아채기 힘들다.




3. 악성 동작

3-1. 자동실행 등록

KRBanker_d8dba.exe 는 재부팅 후에도 자동실행 되도록 레지스트리에 임의의 8글자로 자신을 등록한다. chcp.com 을 실행한 후 종료되기에 감염된 상태에선 KRBanker_d8dba.exe 의 동작을 확인할 수 없다.

 



[그림] 자동실행 등록


3-2. 인터넷뱅킹 파밍

기존 사용하던 파밍 방식으론 hosts 파일 내에서 파밍 대상 은행주소를 쉽게 알 수 있었지만, 자동 구성 스크립트를 이용한 방식이 인기를 끌면서 브라우저가 접속중인 주소와 파밍 대상 은행주소를 해쉬화 시켜 비교하기에 파밍 대상 은행주소를 알아내는데 어려움이 있다. 파밍 대상 주소가 아닌 URL로는 악성동작을 하지 않는다.



[그림파밍 대상 은행주소




감염상태에서는 웹 브라우저 시작페이지가 N 포털 사이트로 바뀌고 팝업 창을 통해 가짜 은행 사이트로 유도한다. 팝업 창 외에는 클릭이 되질 않기에 포털 사이트 이용이 불가하다. 팝업창의 은행 배너를 클릭하면 은행사이트로 보이는 파밍사이트로 이동하게 되고 이후 계좌정보, 계좌비밀번호, 보안카드번호 전체입력을 요구하는 창이 표시된다.





[그림웹 브라우저 시작 페이지 변경 및 가짜사이트로 유도




파밍에 사용되는 가짜 웹 서버의 주소는 아래의 방식으로 얻어온다. 가짜 웹 서버 주소를 얻는 방법으로 중국 메신저 서비스를 이용하기 때문에 차단이 어렵다.



[그림가짜 웹 서버 IP 수신 패킷




위의 방식을 통해 악성코드가 얻어온 웹 서버 IP를 조회해 본 결과 정상 인터넷뱅킹 사이트의 IP를 조회할 때와는 다른 결과를 확인할 수 있다.


[그림가짜 서버(좌)와 정상 서버(우)의 조회결과 차이




3-3. 인증서 유출

인증서 유출은 추가적으로 실행된 chcp.com 에서 수행된다. PC의 모든 폴더를 대상으로 NPKI 폴더를 검색하며 인증서 발견 시 임시폴더 하위에 폴더 경로와 함께 인증서를 백업해 두는 모습을 볼 수 있다.

[그림임시저장된 인증서




4. 결론

이 악성코드는 자동 구성 스크립트를 이용하여 동작하기 때문에 감염 시 아래와 같은 보안 경고가 반드시 출력된다. OS 의 모든 파일이 어떤 역할을 하는지 전부 알기란 불가능하지만 검색을 통해 쉽게 그 역할을 파악할 수 있다. 


검색 결과 chcp.com 은 정상동작 하엔 네트워크 동작을 하지 않음을 확인할 수 있다. 따라서 OS에서 제공하는 보안경고에 조금만 주의를 기울인다면 PC의 이상징후를 보다 빨리 파악할 수 있을 것이다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림OS 보안경고




[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

ZeusBot 변종 악성코드 분석 보고서 



1. 개요

ZBot 이라고 알려진 제우스 봇은 유명한 상용 해킹 툴로써 2007년 이래로 지금껏 활동을 이어오고 있다주로 이메일이나 소프트웨어 취약점을 이용해 전파되며감염된 PC를 쉽게 제어 할 수 있는 C&C 서버 프로그램을 제공한다또한 악성코드를 생성 할 때 자세한 사항을 설정할 수 있는 빌더를 제공하고 있어 감염 방지에 어려움이 따른다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

fc6b9.exe

파일크기

450,560 byte

진단명

Trojan-Spy/W32.ZBot.450560.P

악성동작

인증서 탈취파일 생성실행, C&C, 인젝션

네트워크

78.***.**.114 






 




2-2. 유포 경로

ZBot은 감염PC 봇넷을 생성·관리하는 하나의 해킹 서비스를 말한다많은 변종과 함께 목적에 따라 다양한 유포 및 감염 방식을 취하고 있어 유포경로를 특정 짓기 어렵다.



2-3. 실행 과정

제우스 봇의 변종 중 하나인 fc6b9.exe 는 실행 시 시스템폴더 하위에 정상 ntos.exe 파일을 자신으로 교체한다또한 동일폴더 하위에 wsnpoem 폴더를 생성하고 이곳에 audio.dll 과 video.dll 파일을 생성하여 악성동작에 활용한다이 두 파일은 .dll 확장자를 갖고 있지만 단순 데이터 파일이다.


또한 이 악성코드는 윈도우 정상 프로세스 winlogon.exe 와 explorer.exe 에 인젝션되어 실행되기 때문에 사용자가 감염사실을 인지하기 어렵다.




3. 악성 동작

3-1. 보안 프로그램 종료 시도

fc6b9.exe 는 현재 실행중인 프로세스의 실행 파일명을 기준으로 해당 프로세스 종료를 시도한다대상 프로세스는 outpost.exe 와 zlclient.exe 로 모두 방화벽 프로그램이다.

 



[그림보안 프로그램 종료 시도


3-2. 인증서 탈취

ZBot은 PC에 저장된 인증서를 탈취하는 동작을 한다. PFXExportCertStore 함수는 PC에 저장된 인증서는 물론해당 인증서에 쌍을 이루는 개인 키까지 탈취할 수 있다.



[
그림인증서 탈취



3-3. 암호화된 설정파일

ZBot 만의 특징적인 활동으로 C&C 서버에 저장된 설정파일을 다운로드 한다대게 이 파일은 cfg.bin 이라는 파일명을 사용한다이 설정파일을 통해 아래와 같은 내용을 설정할 수 있다.


설정 항목

설명

timer_logs

감염PC 로그파일 서버 업로드 간격

timer_stats

감염PC 감염통계 서버 전송 간격

url_config

설정파일을 가져오기 위한 서버 URL

url_compip

감염PC를 등록하기 위한 서버 URL

encryption_key

설정파일을 암호화 하기 위한 키

[] ZBot 설정 항목


실제로 이 악성코드에서 audio.dll 파일을 설정을 저장하는 용도로 사용하고 있으며그 내용은 암호화 되어 기록된다.




[
그림설정 파일 다운로드 패킷




[
그림] audio.dll 파일의 내용




4. 결론

ZBot 은 이 악성코드만 전문적으로 추적하여 차단할 수 있는 웹사이트가 있을 정도로 많이 쓰이는 악성코드이지만실시간 탐지 및 차단에도 불구하고 현재까지 활발히 활동하는 악성코드이다매번 새로운 코드로 업데이트 되는 만큼 백신에 진단되기까지의 짧은 시간 동안 감염되는 경우가 많아 사용자의 주의가 요구된다.


위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[
그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[
그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect