BLACK ENERGY 악성코드 분석 보고서

 


1. 개요

지난해 말 악성코드에 의한 최초의 정전사태로 기록된 우크라이나 정전사태의 주범으로 Black Energy(블랙에너지)가 주목 받고 있다. Black Energy는 하나의 악성 파일이 아닌침투-정보수집-확산-공격-파괴 의 절차를 가진 APT 공격 전체를 지칭하는 것으로다양한 목적을 가진 악성파일들과 악성행위들을 모두 일컫는 말이다이 보고서에서는 Black Energy의 시발점이 된 엑셀 문서 파일과전체 공격의 일부로 사용된 MBR 파괴 모듈에 대해 알아보고자 한다.


                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

BlackEnergy.xls

파일크기

734,724 byte

진단명

Trojan-Dropper/X97M.BlackEnergy

악성동작

xls 매크로




 


2-2. 유포 경로

이 사건과 관련하여 언론매체에서는 MS 오피스 문서에 포함된 매크로 악성코드가 공격의 시작이라 말하고 있다. 또한, 스피어 피싱 기법을 사용하여 사용자의 흥미를 끄는 이메일 첨부파일을 통해 악성파일 실행을 유도한다. 이렇게 감염된 PC는 추가 악성 모듈 다운로드백도어 등의 동작을 수행해 감염 PC 네트워크에 대한 공격의 발판으로 이용된다.



2-3. 실행 과정

악성 .xls 파일에는 악성 코드를 생성 및 실행하는 매크로가 등록되어 있다. .xls 파일의 매크로가 실행되기 위해선 사용자가 직접 매크로를 활성화해야 한다매크로를 허용하지 않는다면 악성동작이 수행되지 않지만피해자가 관심을 가질 만한 내용으로 위장한 파일이거나매크로 사용이 빈번한 사용자라면 매크로 실행이 허용될 수 있다. (일반적으로 매크로를 허용하지 않을 시 대체로 문서의 내용을 볼 수 없다고 표기된다.)


스피어 피싱 이메일에 포함된 오피스 파일은 매크로 악성코드와 유사한 형태의 동작을 수행한다. .xls 문서 파일에서 실행되는 악성코드는 최종적으로 원격지 서버에 접속을 시도하며연결에 성공 시 추가 악성코드를 다운로드 한다.

매크로 실행을 허용하면 아래 경로에 악성 파일을 생성하고 실행한다.

C:\Documents and Settings\Administrator\Local Settings\Temp\vba_macro.exe




[
그림매크로 보안경고 알림




[
그림엑셀 매크로 악성코드




매크로로 생성된 파일 vba_macro.exe 은 또 다른 악성파일 FONTCACHE.DAT 을 생성 및 윈도우 정상 프로세스 rundll32.exe 를 이용하여 자동실행 등록한다이후 악성동작은 이 파일을 이용해 이뤄진다.




[
그림생성된 vba_macro.exe 의 악성동작, FONTCACHE.DAT 생성





[그림자동실행 등록하는 .lnk 파일 및 그 내용




 

3. 악성 동작

3-1. 원격지 연결

APT 공격은 장기간에 걸쳐 지속적으로 이뤄지는 만큼 악성코드의 업데이트 및 네트워크, PC 정보 수집에 관한 동작이 다수를 이룬다. FONTCACHE.DAT 또한 이러한 역할을 하는 모듈로써원격 연결을 이용해 해커가 언제든 감염 PC에 접근할 수 있기 때문에 공격 대상 네트워크에 대한 지속적인 위협을 가할 수 있다.


실행중인 FONTCACHE.DAT는 RPC통신을 이용하여 원격지와 연결을 시도한다원격지 주소는 http://5.***.***.114/ Microsoft/Update/KC074913.php 와 같으며 현재는 접속되지 않지만 연결에 성공 시 추가 악성코드를 다운로드 할 것으로 보인다.





[
그림] RPC 통신




[
그림원격지 연결 시도




[그림접속 시 추가 악성파일 생성 코드

 


 

3-2. MBR 파괴

MBR(Master Boot Record)이란 파티션 된 저장장치(하드 디스크이동식 저장장치, USB메모리 등)의 가장 앞 부분에 쓰여있는저장장치 이용 시 반드시 필요한 정보이다. MBR에는 PC 부팅에 반드시 필요한 여러 정보(파티션정보부트로더 정보 등)이 손상되면 저장장치를 읽을 수 없게 되어 대표적으로 PC 부팅 실패 등 여러 이상이 발생한다.


Black Energy 의 일부인 KillDisk 의 변종으로 MBR파괴 동작을 수행하는 모듈이다실행 시 특정 레지스트리를 검사하여 중복실행 되지 않을 때에만 동작한다. %Windows% 하위에 svchost.exe 로 자신을 복사하고 이 파일을 서비스로 등록한다서비스로 동작되면 PC의 MBR영역과 함께 특정 확장자를 가진 파일을 0으로 덮어쓰고 강제 재부팅 시켜 PC를 사용 불가능한 상태로 만든다.






[그림파괴대상 물리드라이브 및 파일 확장자





[그림파괴된 MBR





[그림파괴된 파일

 


 

4. 결론

국내 사용자를 대상으로 시도 때도 없이 배포되는 KRBanker, 랜섬웨어 등을 보고있으면 우크라이나에서 발생한 해킹공격은 너무 먼 이야기로 들릴지 모른다하지만 악성코드는 해커들 사이에서 쉽게 공유되고 변형된다국내를 대상으로 한 동일 변종이 나타나지 말란 법은 없다실제로 해외 보안 업체에 따르면 Black Energy 또한 2014 10월부터 꾸준히 업데이트 되며 사용한 악성코드기도 하다.


잉카인터넷은 2011년 북한 발 MBR 파괴 공격, 3.20, 6.25 사이버테러 사태 시 PC MBR영역을 보호기능을 제공하는 nProtect MBR Guard를 제작 및 배포한 이력이 있다. nProtect MBR Guard MBR 보호 기능은 잉카인터넷 백신 AVS V4.0에 기본 탑재되어 있어부가적 프로그램 설치 없이 백신 프로그램 nProtect AVS 제품만으로도 MBR보호 동작을 수행할 수 있다.


잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

토렌트를 통한 유포방식의 악성코드 분석 보고서  



1. 개요

플로피 디스크, CD, DVD, 와레즈에 이어 토렌트까지. PC의 발전과 함께 자료의 공유방식도 발전해 왔다. 인터넷 접속이 빨라지면서 점차 물리적 매체가 아닌 인터넷을 통한 공유가 자리를 잡아갔고, 현재는 토렌트를 통한 공유가 매우 활성화 되었다.


토렌트란 사용자와 사용자 간의(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하는 응용 소프트웨어의 이름이다. 파일을 전송하기 위해 전송하고자 하는 파일이 아닌, 그 파일에 대한 정보를 갖고 있는 시드파일(.torrent)만을 공유하면 되기 때문에 파일의 공유가 간편하다. 또한 여러 사용자로부터 동시에 파일을 받기 때문에 속도가 빠르다. [출처 위키백과]


하지만 그 편의성과 접근성으로 인해 악성코드의 주요 공격수단으로 이용되고 있기도 하다. 이 보고서에서는 안전한 PC이용을 위해 토렌트를 이용한 악성코드 유포방식에 대해 살펴보겠다.

 

 

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

마션 [자체한글] The.Martian.2015.720p.KOR.HDRip-JSC.exe

파일크기

430,080 byte …

진단명

Trojan/W32.Agent.430080.SL …

악성동작

C&C, 백도어 등

 

 

2-2. 유포 경로

아래 토렌트 파일들은 모두 유명 토렌트 공유 사이트들에서 수집한 파일들이다. 공유 사이트의 성격에 따라 다르지만 일부 사이트들은 저작권 침해자료, 성인자료 공유, 기타 문제 등으로 사이트 차단이 번번이 일어난다. 문제는 이런 사이트들은 사이트가 차단될 때 마다 서버의 주소를 바꿔 운영하며, 불법 자료 공유는 끊이지 않아 완전한 차단에 어려움이 따른다.




2-3. 실행 과정

윈도우 OS에선 확장자를 통해 파일과 프로그램을 연결한다. 예를 들어 .doc 확장자를 갖고 있는 파일은 더블클릭 시 워드 프로세서가 실행된다. 이와 마찬가지로 .torrent 파일을 더블 클릭하면, 토렌트 공유 프로그램이 실행된다. 이처럼 실행을 위해 별도의 프로그램이 필요한 일반 파일과 달리, 악성 코드는 그 자체가 하나의 프로그램이다. 때문에 토렌트 공유 사용자들에게 자신을 .torrent 파일, 혹은 기타 정상 파일로 보이도록 다양한 수법을 활용해 위장하고, 사용자의 실행을 유도한다.




 

3. 유포 방식

3-1. 업로드 파일 확장자 수정

해커 입장에서 가장 간단하면서도 손쉬운 방식이다. 게시글의 첨부파일에는 일반적으로 .torrent 파일만 올린다는 점을 이용하여, 파일명을 torrent 파일처럼 보이게 바꾸고, 확장자를 .exe로 하여 업로드 하는 수법이다. 다운로드 완료 시 바로 실행버튼을 누른다면 .torrent 가 실행되는 대신, 악성코드에 감염될 것이다.



[
그림유포사례, 확장자 수정

 

여기서는 단순히 확장자를 바꾸는 예시만 있지만, 경우에 따라 파일명에 긴 공백을 넣어 다운로드 시 확장자가 노출되지 않게 하는 수법도 즐겨 사용되고 있다. 또한 실행파일의 아이콘을 임의로 설정할 수 있다는 점을 이용, 얼핏 보기에는 토렌트 파일과 차이점을 알 수 없게 만든다.


아래는 재현을 위해 임의로 설정한 예시이다. 같은 폴더에 있는 두 파일은 파일명이 동일해 보인다. 하지만 동일 폴더에 동일 파일명을 가진 두 개 파일은 함께 존재 할 수 없다. 실제로 두 파일은 정상 .torrent 파일과 긴 공백을 삽입한 악성 실행파일(.exe)이다.



    











[그림] 보기(V)-자세히(D),    보기(V)-간단히(L)

 


 

3-2. 압축파일 업로드

토렌트 공유 사이트는 첨부파일로 .torrent 파일을 업로드 하는 것이 일반적이다. 이 유포 방식은 토렌트 대신 압축파일을 업로드 해 두고, 압축을 풀면 토렌트 파일을 얻을 수 있다고 설명한다. 여러 개의 토렌트 파일을 동시에 공유하기 위해 실제로 정상 압축 파일을 공유하는 경우도 있지만, 대다수는 토렌트로 위장한 악성파일이 나올 뿐이다.



[
그림] 압축파일 유포사례

 


위 유포지 에서 다운받은 마션+[자체한글]+The.Martian.2015.720p.KOR.HDRip-JSC.zip”파일의 압축을 풀면 마션 [자체한글] The.Martian.2015.720p.KOR.HDRip-JSC.exe” 파일을 얻을 수 있다. 토렌트 파일이 주로 사용하는 파일명을 사용하고, 아이콘 또한 토렌트 파일 같지만 이는 악성 실행파일이다.




[
그림] 마션+[자체한글]+The.Martian.2015.720p.KOR.HDRip-JSC.zip 압축 해제 결과

 


 

3-3. 도움말 파일(.chm)을 통한 유포

.chm 확장자를 갖는 파일은 컴파일 된 HTML 도움말 파일이라는 정상 파일 형식이다. 이는 검색, 색인, 온라인 도움말 등 도움말을 쉽게 찾아보기 위해 개발된 파일 형식으로 일반적으로 아래와 같은 실행 화면을 확인할 수 있다.




[
그림] 정상 .chm 파일




.chm 파일은 온라인 도움말 등의 편의기능을 제공하기 위해 일반 문서파일형식(DOC, TXT )과 다른 특징이 하나 있는데, 그것은 html 페이지를 그대로 사용할 수 있다는 점이다. 아래의 악성파일 영상 보기전에 읽어주세요.chm”에는 악성 스크립트가 삽입된 razor.htm 파일이 존재한다.



[
그림] 유포사례




[
그림] 토렌트 파일의 내용

 


.chm 파일을 실행하면 아래와 같은 화면을 확인할 수 있는데, 이는 razor.htm 파일이 출력된 것이다. razor.htm의 소스코드에는 악성서버 http://c****c***g.s****i*c.com:2721/flyy.exe 로부터 파일을 다운받아 실행하는 코드가 들어있다.



[
그림] 악성 .chm 실행 화면 (razor.htm)




[
그림] razor.htm 파일 내의 악성 스크립트 




현재는 서버에 접속이 되지 않는 상태로, .chm 파일을 실행한다고 해서 감염되진 않으나 해커가 서버를 활성화 시킨다면 언제든 악성코드를 다운 받을 수 있다는 점, 그리고 그 악성코드가 언제든 교체될 수 있다는 점에서 매우 주의가 요구된다.

 

 

3-4. 화면보호기 파일(.scr)을 통한 유포

.scr 확장자를 사용하여 유포하는 사례이다. 대부분의 동영상 플레이어는 동일 파일명을 가진 영상파일과 자막파일이 같은 폴더 내에 있을 경우, 두 파일을 자동으로 함께 재생시키는 기능이 있다. 이 때문에 자막이 있는 동영상의 경우 동일한 이름의 두 파일이 함께 공유되는 형태가 다수를 차지한다.


동영상 자막에 사용되는 확장자는 .sub, .smi.srt s로 시작하는 확장자가 많이 사용된다. 이에 익숙하지 않은 사용자의 경우 .scr 확장자 또한 자막파일로 오해하고 실행하기 쉽다. 이를 이용하여 실행을 유도하거나 혹은 .scr 파일 자체를 동영상 파일로 위장하여 유포하는 사례 등이 자주 발견된다.




[
그림] .scr 확장자를 이용한 유포사례

 



.scr 확장자는 윈도우 화면보호기를 위해 쓰이는 정상적인 확장자이다. 하지만 이 파일형식을 이용해 파일을 실행할 수 있다는 점이 문제가 된다. .scr 확장자를 이용한 악성코드 유포는 비단 토렌트 뿐 아닌 다른 형태의 유포에도 즐겨 사용되는 방법으로써, 언제나 화면보호기 파일을 이용할 때에는 신뢰할 수 있는 파일인지 검증이 요구된다.




 

4. 결론

위에 나열된 방식 외에도 악성코드가 PC를 감염시키기 위해 자신을 위장하는 방식은 실로 다양하다. 일차적으로 다운받은 파일의 확장자를 잘 확인한다면 이러한 위협으로부터 방지할 수 있다. 또한 토렌트를 이용한 이런 감염 유도는 주로 불법적인 사이트에 국한되어 있기에, 합법적인 경로를 통해 건강한 콘텐츠이용을 하는 것이 바람직하다.


토렌트로 위장한 악성코드는 C&C 서버 등 사용자의 PC에 백도어를 설치하는 형태가 다수를 차지했다. 상기 나열된 악성코드 들은 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.





[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

k01922.exe 악성코드 분석 보고서  


1. 개요


인터넷뱅킹 파밍을 시도하는 금융권 파밍 악성코드는 정부와 금융권의 지속적인 노력에도 불구하고 금전을 노리는 해커들의 공격 수단으로 계속 사용되고 있다. 


다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있다. 이 보고서에서는 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다.



 

 

2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

k01922.exe

파일크기

175,616 byte

진단명

Trojan/W32.KRBanker.175616.E

악성동작

인터넷 뱅킹 파밍

네트워크

m***.co.kr, 23.***.**.10, 23.***.**.18, 114.***.***.57

 


 

2-2. 유포 경로

k01922.exe 의 유포경로에 앞서, 애드웨어 WindowsTab 에 대해 알 필요가 있다. WindowsTab nProtect에서 진단하는 애드웨어 중 하나로, 파일을 다운로드 할 때 끼워팔기 형태로 설치되며, 사용자가 원치 않는 쇼핑몰 바로가기 등을 생성한다.


WindowsTabhttp://www.m***.co.kr/app/windowstab/windowstab.php 를 통해 설치 및 업데이트 된다. 이 웹 페이지에 WindowsTab이 설치된 PC에 관한 여러 정보를 전송하면, 설치 파일 및 설치관련 정보를 다운받아오는 형태로 동작한다.


문제는 k01922.exe가 유포되는 웹 서버 또한 동일한 기능을 지원한다는 점이다. k01922.exe가 업로드 되어 있는 웹 서버(http://j****o*l.org/files/ad_25/windowstab.php) 또한 windowstab.php 파일이 확인되고, 이 페이지는 m***.co.kr windowstab.php 와 완전히 같은 기능을 하지만, 애드웨어 windowstab.exe 가 아닌, k01922.exe 를 다운받도록 수정되어 있다.



[
그림] 애드웨어 업데이트(), KRBanker 업데이트()

 



이는 애드웨어의 업데이트서버가 해킹될 경우, 애드웨어 자체의 업데이트 기능을 이용해 금융권 파밍 악성코드가 유포될 수 있음을 보여준다.


불특정 다수를 대상으로 무차별적으로 유포되는 애드웨어는 이미 여러 백신업체에서 진단하고 있다. 하지만 매번 실행파일을 바꿔가며 업데이트하기 때문에 최신 파일의 경우 진단 되기까지 짧은 공백이 존재할 수 있다. 또한 애드웨어는 사용자의 환경에 보안 취약점이 존재하지 않아도 부지불식간에 정상 제휴 프로그램 처럼 설치되기에 감염사례가 매우 많다. 실제로 ISARC12월 악성코드 치료 통계자료에서 많은 PC가 애드웨어에 감염되어 있었음을 확인할 수 있다.




[
그림] 201512월 악성코드 유형 비율
(출처 - ISARC 12월 월간보안동향 보고서)

 



악성파일은 시간대별로 다르게 업로드 되어 유포된다. 시간대는 대체로 오후 3시부터 7시 사이로, 이 기간에만 잠시 동안 악성코드가 업로드 되었다 사라진다. 유포하는 파일의 파일명과 크기는 조금씩 다르나 금융권 파밍 악성코드란 공통점이 있다. 테스트일 현재(2016-01-19 16) ad_25/k01922.exe 가 업로드 되어있고, 애드웨어의 정기 업데이트 기능을 이용해 유포될 것으로 보인다.



날짜

업로드 파일

2015-12-18

http://j****o*l.org/*****/*****/dwaof.exe

http://j****o*l.org/*****/*****/ress1.exe

2015-12-19

http://j****o*l.org/*****/*****/zcmsk.exe

2015-12-22

http://j****o*l.org/*****/*****/fwbbg.exe

http://j****o*l.org/*****/*****/olfhb.exe

http://j****o*l.org/*****/*****/vprhh.exe

2016-01-06

http://j****o*l.org/*****/*****/gpcqy.exe

2016-01-09

http://j****o*l.org/*****/*****/psrju.exe

2016-01-12

http://j****o*l.org/*****/*****/ajkbz.exe

2016-01-13

http://j****o*l.org/*****/*****/apuzbf.exe

http://j****o*l.org/*****/*****/kwsiu.exe

http://j****o*l.org/*****/*****/tkiqd.exe

http://j****o*l.org/*****/*****/yuefs.exe

http://j****o*l.org/*****/*****/hluze.exe

http://j****o*l.org/*****/*****/hnyixxr.exe

http://j****o*l.org/*****/*****/jnajkc.exe

http://j****o*l.org/*****/*****/conbaamhm.exe

http://j****o*l.org/*****/*****/gvrgih.exe

http://j****o*l.org/*****/*****/hulkm.exe

2016-01-14

http://j****o*l.org/*****/*****/kuocoxv.exe

http://j****o*l.org/*****/*****/lin.exe

http://j****o*l.org/*****/*****/miqbk.exe

http://j****o*l.org/*****/*****/vfkvezur.exe

http://j****o*l.org/*****/*****/nfbhxmnw.exe

http://j****o*l.org/*****/*****/bwchbi.exe

http://j****o*l.org/*****/*****/eyuyg.exe

http://j****o*l.org/*****/*****/lin12.exe

http://j****o*l.org/*****/*****/lin23.exe

http://j****o*l.org/*****/*****/otygngn.exe

2016-01-18

http://j****o*l.org/*****/*****/ali12.exe

http://j****o*l.org/*****/*****/ko.exe

2016-01-19

http://j****o*l.org/*****/*****/ko12k.exe

http://j****o*l.org/*****/*****/GO_1095724067_12312312e12e.exe

http://j****o*l.org/*****/*****/k01922.exe

2016-01-20

http://j****o*l.org/*****/*****/kod12.exe

http://j****o*l.org/*****/*****/kosa1.exe


[표] 날짜와 시간에 따른 유포파일 변화




[
그림] 금융권 파밍 악성코드로 로 교체된 WindowsTab



 

2-3. 실행 과정

애드웨어 업데이트를 이용해 유포된 k01922.exewindowstab.exe 란 이름으로 다운로드 되며, WindowsTab이 설치된 동일 폴더에 생성된다. 실행 시 자신을 숨김 속성으로 변경한다. 또한 윈도우 정상프로세스 comp.exe를 이용하여 위조 포털 사이트로 연결 및 인증서 유출 등의 악성동작을 수행하게 된다.




 

3. 악성 동작

3-1. 자동 구성 프록시 (Proxy Auto-Config, PAC)

과거 비슷한 동작을 하는 악성코드가 hosts 파일 수정을 통해 위조 사이트로 연결시켰던 것과 달리, k01922.exe hosts파일을 수정하지 않고도, 위조 웹 서버로 연결시킨다. 이는 많은 백신 제품이 hosts파일 수정 방지 기능을 제공하기 때문에 이를 우회하기 위한 것으로 보인다.


자동 구성 프록시란 웹 브라우저 단에서 별도의 프록시서버 설정이 없이도 특정 URL에 대해 자동으로 프록시 서버 설정을 해 주는 스크립트다. 관련 정보는 IE 기준, "도구 -> 인터넷 옵션 -> 연결 -> LAN 설정에서 확인할 수 있다. (출처 – Proxy Auto-Config 위키)


감염PC“LAN 설정항목을 보면, 자동 구성 스크립트가 사용으로 설정되어 있고, 해당 주소는 127.0.0.1:1178 임이 확인된다. IP주소 127.0.0.1 는 감염PC 자신을 의미한다. 또한 이 주소를 제공하는 프로세스는 감염된 정상 프로세스 comp.exe 임이 아래 그림에서 확인된다.

 

 

 

 

[그림] 자동 구성 스크립트 설정 및 감염된 프로세스

 



k01922.exe comp.exe 을 감염시켜 프록시 서버로 이용하고, 이를 통해 hosts 파일 수정 없이도 파밍 악성동작을 수행할 수 있게 된다.


[
그림] 난독화 해제된 PAC 스크립트

 



감염된 정상 프로세스 comp.exe PC의 파일 비교 시 사용되는 윈도우 기본 프로그램이다. 일반적으로 감염PC의 상황과 같이 항상 실행중인 일은 없기 때문에 comp.exe 를 강제종료 하면 정상 포털 사이트로 접속해 악성동작을 예방할 수 있다.





3-2. 인터넷뱅킹 파밍 및 인증서 유출


k01922.exe 는 위조 서버의 주소를 얻기 위해 users.q****.**.com 를 이용한다. URL은 정상 중국 메신저 사이트로 이 URL에서 제공하는 API를 이용해 악성 서버의 IP를 얻어온다. 조회한 악성 서버의 IP는 고정적이지 않고, q****.**.com 또한 중국의 정상 웹 사이트기 때문에 원천적 차단에 어려움이 따른다.


이렇게 얻은 IP는 위조 사이트들의 웹 서버 및 기타 악성동작에 사용된다. 감염 PC에서 브라우저 실행 시 아래와 같이 위조 포털 사이트의 화면을 확인할 수 있다.


이 화면에서 각 은행의 배너 이외에는 클릭이 되지 않기 때문에 정상적인 인터넷 이용이 불가능하다. 은행배너 클릭 시 각 은행의 위조 페이지로 연결되며 계좌정보 및 보안카드 전체 정보 입력을 요구한다. 실제 사이트와 매우 유사하게 만들어져 있지만 이는 파밍 사이트로, 모든 입력 정보는 해커에게 전송된다.



[그림위조 네이버 접속화면




[
그림] 계좌정보 및 보안카드 정보 탈취 페이지




또한 아래 화면에서 PC에 저장된 모든 공인인증서가 임시폴더 하위에 저장된 모습을 확인할 수 있다. PC의 하드디스크 뿐 아닌 이동식 저장장치(E 드라이브) 에 저장된 인증서 또한 탈취되기 때문에 주의가 요구된다.




[그림] 임시 저장된 인증서


 

4. 결론

애드웨어 WindowsTab 은 사용자의 PC에 기본적으로 자동실행 등록되어 있다. 업데이트를 이용해 파일을 바꿔치기한 파밍 악성코드는 힘들이지 않고 애드웨어 감염자를 모두 자신의 공격대상으로 삼을 수 있다. k01922.exe 의 한가지 특징으로 파밍을 위해 hosts 파일을 수정하지 않기 때문에 감염 시 아래와 같은 보안 경고가 반드시 출력된다.




[
그림] 방화벽 해제 알림

 



이는 PAC를 제공하기 위해 방화벽 설정을 변경한다는 알림으로 계속 차단을 선택하면 악성동작을 수행하지 못한다. 하지만 많은 사용자들이 PC의 주요 보안경고에 주의를 기울이지 않고 악성코드에 피해를 입고 있는 실정이다.


조그만 관심을 가지면 많은 피해를 예방할 수 있다. 위 애드웨어와 파밍 악성코드는 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, 위에 언급된 WindowsTab 외에도 다른 많은 애드웨어에 대한 주기적인 업데이트가 이뤄지고 있다.




[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

HashCop_Bypass.exe 악성코드 분석 보고서

 


1. 개요


1.1. 파일정보


구분

내용

파일명

HashCop_Bypass.exe, svchost.exe

파일크기

1,009,152 byte

진단명

Trojan-Downloader/W32.Agent.1009152.C

악성동작

Bot, Downloader











1.2. 유포경로


HashCop_Bypass.exe는 *토렌트를 통해 유포되었다. 이 악성 파일에 대한 내용이 담긴 torrent 파일 “Inside Men, 2015 .720p.HDRip-H264.by-kyh -.torrent” 은 현재에도 토렌트 공유 사이트에 업로드 되어 있고 파일 다운로드가 가능하므로 주의가 요구된다.


*토렌트 – 사용자와 사용자 간(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하는 응용 소프트웨어. 하나의 파일을 인터넷 상에 분산 저장하고, 다수의 접속을 사용하여 여러 곳에서 동시에 파일을 가져오게 되어 전송 속도가 빨라진다.
파일을 공유하기 위해서 해당 파일이 아닌, 그 파일에 대한 정보와 공유하는 사람에 대한 정보가 담긴 시드파일(.torrent)을 사용한다. (출처-위키백과)




[그림] 유포지 캡쳐화면






2. 분석정보


2.1. 실행 과정


토렌트를 통해 파일을 다운받으면 아래와 같은 파일들을 확인할 수 있다. 해당 토렌트 다운로드 안내글에선 암호화된 영화파일의 복호화 하기 위해 HashCop_Bypass.exe 파일을 실행하도록 유도하고 있다. 


또한, 함께 다운받아진 Read Me First.txt 파일 내용을 확인하면 HashCop_Bypass.exe 파일이 백신의 오진으로 실행이 안 될 수 있다고 백신 종료를 유도한다. 해당 내용은 사실이 아니며, 이런 형태의 백신 종료 유도는 악성코드의 전형적인 행동 패턴이다.





[그림] 토렌트 다운로드 파일





[그림] 허위 안내문


 




유도에 따라 HashCop_Bypass.exe 를 실행하면 %UserProfile%\Local Settings \Application Data\Microsoft 하위에 svchost.exe로 자신을 복제한 후 이를 실행시킨다. 또한 이 파일을 'Windows Update'란 이름으로 자동실행 등록한다. 이 파일은 윈도우 정상 프로세스 svchost.exe 와 같은 파일명을 사용하기 때문에 사용자가 감염사실을 알기 어렵다.





[그림] 숨김 속성으로 복제된 HashCop_Bypass.exe






3. 악성 동작

HashCop_Bypass.exe는 PC에 상주하며 악성서버에서 명령을 받아 악성동작을 수행한다. 악성서버는 현재 접속되지 않지만 다운로더, DDoS 봇 등에 활용될 수 있는 실행코드가 내장되어 있다. 




 


[그림] 추가 악성 파일 다운로드 동작






[그림] 각종 DDoS 공격 코드의 일부





4. 결론


이 악성 파일은 최신 영화 '내부자들'로 위장 유포되고 있다. 파일이 복호화에 대한 안내문이 있지만 다운로드 된 'Inside Men, 2015 .720p.HDRip-H264.by-kyh -.JTJ' 파일은 단순히 7zip으로 압축된 파일이며, 안내문에 따라 악성 파일을 실행해도 압축은 해제되지 않는다. 또한 수동으로 압축을 풀더라도 압축된 영화 파일은 '내부자들'이 아닌 '8월의 크리스마스'이다.


이처럼 정상적인 유통경로를 거치지 않은 공유 파일에 악성코드를 삽입하는 방식은 이전부터 해커들이 즐겨 사용하던 방식이다. 비단 영화뿐 아닌, 음악, 만화, 게임, 프로그램 여러 형태로 위장한 악성파일들이 곳곳에 산재해 있다. 악성코드가 포함된 파일이 쉽게 공유되고 불법임에도 토렌트를 통해 저작권이 있는 파일을 공유하는 행위는 줄어들지 않고 있다.


안전한 PC 이용을 위해선 저작권이 있는 콘텐츠는 저작권자가 제공하는 방법으로 이용하고, 불법 공유 사이트에 방문하지 않는 것이 바람직하다. 또한, 악성코드 실행 유도에 속아 백신 프로그램의 실행을 종료하는 것은 위험한 행위며, 백신 설치 및 상시 업데이트를 통해 악성코드 공격에 대비해야 한다.


해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면





[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

atotal3.exe 악성코드 분석 보고서  

 


1. 개요


1.1. 파일정보


구분

내용

파일명

atotal3.exe

파일크기

438,272 byte

진단명

Trojan/W32.Agent.438272.SW

악성동작

게임 실행화면 탈취, 파일 생성실행

네트워크

115.**.***.158 에서 다운로드












1.2. 유포경로


atotal3.exe 는 네이트 피싱사이트 nete.kr(115.**.***.158)에서 유포되었다. 정상 사이트(nate.com)와 URL이 비슷한 피싱사이트는 접속 시 정상 사이트와 외관이 동일하기 때문에 이용자가 쉽게 정상 사이트로 착각할 수 있다.


피싱 사이트는 정상 사이트의 정보를 그대로 가져와 보여주지만 페이지 소스코드를 살펴보면 세 개의 악성함수가 숨겨져 있으며, 이 함수를 통해 악성코드를 다운받을 수 있다.






[
그림] 정상 사이트(위)와 피싱사이트(아래)




[그림피싱사이트 소스코드 내 악성 함수







2. 분석정보


2.1. 실행 과정


악성코드 atotal3.exe는 최초 실행 시 다른 여러 악성파일을 System32폴더 하위에 생성하고 각각 실행시킨다재부팅 이후에는 atotal3.exe가 아닌 새로 실행된 프로세스로부터 또 다른 파일들이 생성 및 실행되며일련의 악성 파일들은 아래에서 확인할 수 있다.


파일 명

특징

atotal3.exe

최초 악성파일복구 방해

ghoO119.exe

복구 방해

rvmsv.exe

정보유출(은닉)

winNetSc.exe

서비스다운로드(a****0*.org/inh1mvp/mpxp.exe)

mpxp.exe

 

rcvmsu.exe

정보유출(은닉)

ocmrc32.exe

정보유출(은닉)

ntsvcnet32.exe

정보유출(은닉)

nthost32.exe

정보유출(은닉)

wmxmic.exe

다운로드(a****0*.org/inh1mvp/x)

winNetSc.exe

반복 실행 구조


[
생성 및 실행되는 파일들





atotal3.exe로부터 최초 실행 된 winNetSc.exe는 “Network State Protection check”, “윈도우 네트란 이름으로 위장하여 악성 서버 http://a****0*.org/inh1mvp/mpxp.exe 로 부터 mpxp.exe를 다운로드 및 실행하는 역할을 한다.





3. 악성 동작

3.1. 생존주기 연장 (복구 방해)

만약 PC에 실행 중인 프로세스 중 irpor.exe  remon.exe가 있을 경우 atotal3.exe는 세 개의 dll파일을 System32폴더에 생성한다. irpro.exe remon.exe PC복구에 사용되는 롤백 프로그램 ComBack 5 의 실행파일이다.

생성된 dll파일 중 2개 파일은 정상파일이며, ExtDLL32.dll 파일은 PC복구에 사용될 것으로 보이는 외부함수 Recover32가 아무런 기능을 하지 않도록 수정되어 있다.



[
그림정상파일과 생성파일 비교



[그림정상()과 악성() ExtDLL32.dll 파일의 외부함수, Recover32 비교





ghoO119.exe 또한 시스템 복구 방해 동작을 한다. D드라이브 하위 모든 폴더에 .gho 확장자를 갖는 파일이 있으면 이 확장자를 .GH0(0은 숫자)로 변경하고 숨김 속성을 부여한다. .gho확장자는 PC 롤백 프로그램 Ghost 가 사용하는 이미지 파일의 확장자이다확장자를 변경함으로써 Ghost 프로그램이 롤백에 필요한 이미지 파일을 찾을 수 없게 만든다.

이후 srclient.dll 모듈의 외부함수 DisableSR을 호출하는데이 함수는 시스템 복원(System Restore)을 하지 않도록 설정한다.



[그림확장자 변경 gho -> GH0

 



[그림시스템 복원 설정 변경





3.2. 생존주기 연장 (반복 실행업데이트)

Network State Protection check”란 이름으로 위장한 악성 서비스 파일 winNetSc.exe 은 파일을 다운받아 실행한다다운로드 된 mpxp.exe 파일은 여러 새로운 파일을 System32폴더 하위에 생성하고 실행시킨다이 동작은 감염 즉시 나타나지 않고 재부팅이 되어야만 동작한다.


wmxmic.exe

ocmrc32.exe

rcvmsu.exe

ntsvcnet32.exe

nthost32.exe

mp119.bat (자가삭제용)


[
다운로드 된 mpxp.exe가 새로 생성하는 파일들

 



이 파일 중 wmxmic.exe는 동일 악성 서버 http://a****0*.org/inh1mvp/x 로 부터 또 다른 파일을 다운받아 실행하는데이 파일은 최초 생성된 악성파일 winNetSc.exe와 동일한 파일이다.

이처럼 악성파일은 반복 실행 구조를 갖고 있기 때문에모든 악성 프로세스를 동시에 종료하고 치료하지 않는 이상 치료가 되지 않는다또한 반복적으로 다운로드실행 하기에 언제든지 새로운 악성코드로 교체될 여지가 남아있다.

 



[
그림반복 실행 구조

 


3.3. 게임관련 정보 탈취

은닉상태로 실행되는 모든 프로세스들은 각종 게임 프로세스에 대한 실행화면 유출 동작을 수행한다공격 대상 프로세스 및 유출정보 전송 서버 주소는 아래와 같다일반적인 PWS형 악성코드가 로그인 정보를 탈취하는 것과 달리사행성 게임을 목표로 하는 이 악성코드는 게임의 실행 화면을 캡쳐하여 유출한다.

 

 

복호화 전

복호화 후

공격 대상

oojeq;aacuji;b`dtgh;fortnp;m`tfo;bfbfg`md;

poker;baduki;badugi;gostop;matgo;bgdggame;

전송 서버

2905484:8A8==A

27.***.***.113:8001


[
악성 행위 대상 프로세스 및 전송 서버







4. 결론


atotal3.exe는 안티 백신 보다 PC복구 방해를 통한 감염 지속에 초점을 맞추고 있다이러한 특징은 PC방 등 많은 사람이 사용하는 영업용 PC에 더 위협적으로 다가온다. PC방에서 사용하는 PC는 보통 실시간 감시 기능을 사용하지 않고재부팅 될 때 마다 PC를 복구(롤백)하는 방식으로 시스템을 유지한다특히 공격 대상 중 하나인 ComBack 5의 경우, PC방 관리 프로그램 제작업체에서 만든 전용 유틸리티기도 하다.

맞고포커 등 사행성 게임의 게임 머니 또한 다른 게임 아이템과 마찬가지로 현금 거래가 가능하다특히나 이 경우비밀번호를 탈취하여 자산을 빼돌리는 것이 아닌게임화면을 캡쳐하는 방식으로 동작하기 때문에 로그인 알림, OTP 등의 계정 보안 서비스와는 무관하게 피해를 입을 수 있다

잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.





[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면





[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

fgrfev1.1.exe 악성코드 분석 보고서  


 


1. 개요


1.1. 파일정보


 파일명

 fgrfev1.1.exe

 파일크기

 55,198 byte

 진단명

 Trojan-PWS/W32.WebGame.55198

 악성동작

 다운로더

 네트워크

 14.**.***.148/down/dll.dll


 파일명

 임의숫자.txt

 파일크기

 68,006 byte

 진단명

 Trojan-PWS/W32.WebGame.68006

 악성동작

 계정정보 탈취

 네트워크

 14.**.***.148



1.2. 유포경로


fgrfev1.1.exe는 복합쇼핑몰 홈페이지 www.y****k.kr/ad/fgrfev1.1.exe 에 업로드 되어 있다. 수집 당시 해당 웹사이트에는 fgrfev1.1.exe 외에도 다른 두 개의 실행파일이 업로드 되어 있었으나 현재는 다운로드되지 않는다. 실행파일은 아래 [그림] 같은 아이콘을 사용하고 있어 게임 핵 등으로 위장시켜 배포된 것으로 추정된다.



[
그림] 실행파일 이미지





2. 분석정보


2.1. 실행 과정


악성코드 fgrfev1.1.exe는 다른 파일 415171.txt(임의의수.txt)를 임시폴더에 생성하고 실행시킨 후 자신을 삭제한다. 생성된 415171.txt 파일은 .txt 확장자를 갖고 있지만 .dll 파일이고, 윈도우 정상 프로그램 rundll32.exe를 통해 실행된다. 415171.txt는 악성서버 14.**.***.148/down/dll.dll 에서 다운로드 된 파일로, 해커의 dll.dll 파일 수정 여부에 따라 언제든 다른 파일로 교체될 여지가 있다.

 



[그림] 메모리상과 파일상의 415171.txt 변화




2.2. 악성 동작


악성동작을 위해 최초로 호출되는 415171.txt의 외부함수 xx 는 SetWindowsHookExA함수를 사용해 감염PC의 모든 프로세스에 자기 자신을 인젝션 시킨다각 정상 프로세스들에 인젝션된 415171.txt는 이후 감염된 프로세스의 종류에 따라 매우 세분화된 방법으로 계정정보 탈취 동작을 수행한다프로세스 종류는 해당 프로세스가 실행된 실행 파일명을 기준으로 구분한다.

            

각 프로세스에 인젝션된 악성코드는 각종 계정정보 탈취를 수행한다탈취한 계정정보는 사용자계정 임시폴더 내에 .ini파일로 임시 저장되고이를 악성서버 14.**.***.148 로 전송한다해당 서버는 23일 현재 접속이 가능한 상태로 아래와 같은 화면을 확인할 수 있다페이지 제목에서 확인할 수 있는 문자열 ‘Korea game Tools’, 관리자 접속 인터페이스관리DB, 중국어로 된 변수 명중국 웹에서 발견된 악성서버 소스코드 등 여러 정황을 보아 해당 악성코드가 한국 게임계정 탈취를 위해 만들어졌다고 볼 수 있다.




[그림임시 저장된 비밀번호





[그림악성서버 접속화면






게임 프로세스에 대한 악성 동작 외에도 브라우저 인젝션 되어 웹사이트의 계정을 탈취하는 동작도 수행한다각종 인터넷 뱅킹 사이트에서는 녹색 창과 자물쇠를 확인하세요라고 권고한다이는 HTTPS통신임을 표시하는 것으로브라우저가 신뢰할 수 있는 정확한 대상과 암호화된 통신을 하고 있다는 표시이다따라서 사용자는 브라우저와 웹 서버 사이에 중간자 공격이 없음을 인지할 수 있고인터넷을 통해 전송되는 자신의 데이터는 유출되지 않음을 확신할 수 있다.





[
그림] HTTPS 통신녹색 창과 자물쇠






이 악성코드의 위험한 점은 악성동작에 API후킹을 사용한다는 점이다브라우저가 데이터를 전송하기 전가공하는 단계에서 사용하는 정상함수에 악성동작을 삽입하기 때문에 전송 방식과 상관 없이 데이터가 유출될 수 있다


 




[
그림] HTTPS 페이지 로그인시 유출된 계정정보 패킷






또한, 계정정보뿐 아니라 계정보안을 위해 사용하는 OTP(One Time Password, 일회용 비밀번호)또한 탈취하는 루틴이 코드 내에 존재한다. OTP를 전송한 악성코드는 악성서버로부터 ‘kill’이라는 명령어를 받아 해당 프로세스를 종료 시킨다. OTP를 획득한 해커는 정상사용자의 프로세스가 종료된 사이 탈취한 계정정보를 이용사용자의 자산을 빼돌릴 수 있다.





[그림유출된 계정정보와 OTP의 네트워크 패킷





2. 결론


Trojan-PWS/W32.WebGame.55198는 다른 랜섬웨어나 C&C류의 악성코드와 달리 감염 PC에 걸리는 부하도 크지 않고, 암호화 통신을 방해하기 보다 패킷 전송에 사용하는 함수를 감염시키기에 사용자가 감염사실을 인지하기 매우 어렵다. 게다가 OTP를 설정하여도 피해가 발생할 수 있다는 것을 보여주는 사례로써 지정PC이용’, ‘접속 문자 알림’ 등 여러 다른 계정 보호 서비스를 함께 사용하는 것이 자산을 보호하기 위한 바람직한 행동이라 할 수 있겠다.


fgrfev1.1.exe 415171.txt 두 파일 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.





[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면





[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

80.exe 악성코드 분석 보고서  

 


 

1. 분석 정보


1.1. 유포경로


랜섬웨어는 사용자의 PC에서 실행될 경우 PC 내의 문서, 그림 파일 등 특정 파일들을 암호화하고 복호화를 위해서 금전을 요구하는 악성파일이다. 대다수가 이메일의 첨부파일이나 변조된 웹사이트를 통해 전파되어 감염된다.


80.exe 파일은 랜섬웨어 중 TeslaCrypt에 속하며 이메일 첨부파일을 통해 전파되었다. 이메일 내용을 살펴보면 결제와 관련된 내용이며, 첨부된 .zip 파일은 .js 파일이 압축된 것을 확인 할 수 있다. 사용자가 별다른 의심없이 첨부파일을 다운로드하여 압축해제 후 .js 파일을 실행하면 80.exe 파일을 다운로드하고 실행하는 스크립트가 동작한다.



[그림] 메일을 통해 유포된 랜섬웨어 80.exe






1.2. 80.exe


이메일에 첨부된 .js 파일은 특정 도메인에서 (http://m***c***o***1.com/80.exe - 5.***.**.5) 80.exe 파일을 다운로드 한다.


임시폴더에 다운로드 되어 실행된 80.exe 파일은 자신을 Application Data 경로에 복사하고 이름을 랜덤한 11자의 문자 (이하 kgbbpacroic.exe) 로 지정한다. 이후 복사한 파일을 실행시키고 종료된다.






1.3. kgbbpacroic.exe


80.exe 에 의해 실행된 복사본 kgbbpacroic.exe 는 윈도우 부팅 시 자동 실행을 위하여 아래 레지스트리를 추가한다.



[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

값 이름 : Acrndtd (고정)

값 데이터 : “C:\Documents and Settings\Administrator\Application Data\kgbbpacroic.exe”

                                                                  (랜덤한 11자 문자)

[] 자동 실행 레지스트리






이후 실행된 PC 의 루트 디렉토리(C:\, D:\ )에서 C:\Program Files, C:\Windows 경로를 제외하고 모든 폴더 하위에 특정 파일들을 확장자로 체크하여 암호화한다. 일부 랜섬웨어는 사용자 임시폴더인 Temp 폴더와 이동식 드라이브  내 파일은 암호화하지 않는 것이 있으나, kgbbpacroic.exe 파일은 Temp 폴더와 이동식 드라이브 또한 암호화하는 것이 특징이다.


암호화 대상이 되는 파일들은 사용자가 주로 사용하는 문서나 이미지, 인증서 파일 등이며 감염 이전으로 복구할 수 없도록 MS 백업파일도 암호화한다.



.avi .m3u .mov .mp4 .wma .wmv

오디오 및 비디오 파일

.crw .jpe .jpeg .jpg .png

이미지 파일

.ai .psd

포토샵 파일

.css .js .py

소스 파일

.csv .doc .docx .pdf .ppt .pptx

.rtf .txt .wpd .wps .xls .xlsx

문서 파일

.pak .rar .zip

압축파일

.bkf

MS 백업파일

.cer

인증서 파일

.cdr

코렐 드로우 파일

.cer

보안 인증서

.dbf

dBase 파일

.dcr

쇽웨이브 파일

.dmp

화면이나 메모리의 덤프 파일

.dwg

오토캐드 파일

.eps

캡슐화된 포스트스크립트 이미지

.gdb

영산정보통신 GVA GVA2000, 압축된 강의 파일

.indd

Adobe, Indesign

.mdb

마이크로소프트 액세스 데이터베이스

.mdf

마이크로소프트, MS-SQL Master 데이터베이스 파일

.pic

PC Paint 비트맵

.pst

마이크로소프트 아웃룩, 개인 폴더 파일

.raw

Raw File Format (비트맵)

.sav

저장된 게임 파일 (일반 명칭)

.svg

W3C, 스케일러블 벡터 그래픽스 파일

(인터넷 멀티미디어 파일 교환용)

.vcf

넷스케이프, 가상 카드 파일

.mcmeta .lvl

게임 관련 파일

[] 암호화 대상 확장자

 


암호화 된 파일은 파일명.확장자 뒤에 .vvv 가 추가된 파일명으로 변경된다.




  [그림] 원본 파일() 과 암호화 된 파일 ()

 



[그림] 원본 파일() 과 암호화 된 파일()

 

 




암호화를 진행하면서 모든 대상 폴더 안에 how_recover+bkj.html, how_recover+bkj.txt 파일을 복사하고 암호화가 완료되면 사용자의 바탕화면에 생성한 .html, .txt 파일을 실행시킨다. 각 파일 내용을 살펴보면 모든 파일이 암호화되었으며, 복호화 키를 얻기 위해 빠른 조치를 취해야 한다고 안내하는 내용이 들어있다.




[그림] 랜섬웨어 감염 안내문






2. 결론


80.exe 파일은 랜섬웨어로서 사용자 PC의 중요 파일들을 암호화하고, 복호화를 대가로 결제를 유도하는 악성파일이다. 감염된 PC의 파일들은 복호화를 위한 특정 키 값을 알아내지 못하면 복구가 거의 불가능하며, 안내문의 요구에 응하더라도 복호화 툴을 전달받지 못할 가능성이 있다. 때문에 사용자 스스로 메일의 첨부파일을 열어보거나 외부 네트워크 접속 시 각별한 유의가 필요하다.


해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 파일을 복호화하는 의미는 아닙니다.)



[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면



[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

zxarps.exe 악성코드 분석 보고서  


 

1. 분석 정보


1.1. 유포경로


zxarps.exe는 특정된 경로는 없으나 유아용 교육 콘텐츠 제작사이트 www.i****lp**s.com 에 압축파일(zx.exe) 형태로 업로드 되어 있으며, 분석 당시(12 15일)에도 다운로드가 가능했다. 실행 시 감염PC 환경에 따라 다른 옵션값을 인자로 줘야 제대로 된 악성 동작을 수행하는 것으로 보아 단독으로 실행되기 보다는 다른 악성코드가 다운받아 실행시키는 것으로 보인다.             





1.2. 악성 동작


위 유포지에 업로드 되어 있는 zx.exe파일은 별도의 압축 해제 프로그램이 필요 없는실행 가능한 압축파일이다. zx.exe를 실행하면 “zxarps폴더가 생성되고, 해당 폴더 하위에 아래와 같이 압축 해제된 파일을 확인할 수 있다. 이 중 악성동작을 하는 것은 zxarps.exe파일이며, WinPcap_3_1.exe파일은 zxarps.exe가 동작하는데 필요한 정상 설치 파일이다.





[그림압축된 파일






중국에서 만들어진 것으로 보이는 해킹툴 zxarps.exe는 상용 C&C형 해킹툴처럼 감염 PC를 제어하는 등의 동작을 하진 않지만 네트워크에 특화된 악성 동작을 보여준다. 여러 옵션값을 통해 실행을 제어할 수 있으며, 이를 통해 ARP Spoofing, DNS Spoofing, 네트워크 패킷상의 ID/PASS 수집, HTTP 패킷에 iframe삽입 등 감염된 PC가 아닌 동일 네트워크 상의 감염되지 않은 다른 PC들에 대한 악성동작을 수행할 수 있다.


이와 같은 로컬 네트워크에 대한 악성 행위는 MITM(Man In The Middle, 중간자 공격)에 의해 가능해진다. MITM공격은 로컬 네트워크에서 PC간 통신에 사용되는 ARP를 이용한다.


ARPAddress Resolution Protocol(주소 결정 프로토콜)의 약자로, IP주소와 MAC주소를 대응 시키기 위한 통신 규약이다. 로컬 네트워크에서는 IP가 아닌 MAC 주소를 기반으로 통신하는데, 동일 네트워크의 특정 IP와 통신한 경험이 없을 경우, 해당 IP가 어떤 MAC과 일치하는지 PC는 알 수 없다. 따라서 PCARP통신을 통해 IP주소에 해당하는 MAC주소를 일치시키고 이것을 표(ARP table)로 만들어 관리하며, 이후 로컬 통신은 MAC주소만을 사용한다.



[그림] ARP table의 예






아래 그림과 같은 상황에서, PC1은 인터넷에 접속하기 위해 공유기를 반드시 거쳐야 한다. 다시 말해 외부 네트워크와 통신하기 위해 반드시 거쳐야 하는 관문(게이트웨이)이 공유기라고 할 수 있다. “정상통신상황하에 PC1은 외부와 통신하기 위해 게이트웨이(공유기)로만 데이터를 전송한다.


만약 PC2 zxarps.exe에 감염된다면비정상통신과 같은 상황이 벌어진다. 감염된 PC2 PC1 ARP table을 오염시켜 자신의 MAC주소를 게이트웨이의 IP주소와 매칭시킨다. ARP table이 오염된 PC1은 이후 외부와 통신하기 위한 모든 데이터를 PC2로 전송하게 된다. 감염된 PC2는 수신한 패킷으로 악성동작을 수행하고 공유기로 중계해 준다. 이 때문에 PC1에서는 평소와 같이 외부와 통신을 할 수 있고, 따라서 자신의 데이터를 중간에서 누군가 보고 있다는 사실을 알기 어렵다.



[그림] ARP Spoofing에 따른 중간자 공격

 





zxarps.exe의 위협적인 점은 이처럼 악성동작이 감염된 PC 한 대에 국한되지 않는다는 점이다. MITM상황 하에 동일 네트워크의 다른 비 감염 PC들에 수행할 수 있는 악성동작들은 매우 다양하고, zxarps.exe는 해커가 손쉽게 악성행위를 할 수 있도록 해준다. 아래는 zxarps.exe에 감염된 PC가 동일 네트워크에 있을 때 입을 수 있는 피해를 재현한 예시이다.




[그림] 비 감염 PC로부터 유출된 FTP 계정정보




[그림] 비 감염 PC에서 google.com에 접속한 화면 (DNS Spoofing 공격)





[그림] 비 감염 PCHTTP 패킷 유출






2. 결론


이처럼 zxarps.exe의 위협은 감염된 PC 한 대에 그치지 않고, 해당 네트워크 전체에 영향을 끼칠 수 있다. 비단 zxarps.exe의 경우뿐 아니라 카페, 공항 등 누구나 접속할 수 있는 공용 네트워크는 해커들의 손 쉬운 공격 대상이다


특히 유동인구가 많은 지역에 비밀번호를 설정하지 않은 WIFI를 제공하여 개인정보 수집 및 악성프로그램 설치를 유도하는 것은 과거부터 해커들이 사용해온 고전적인 수법이다. 때문에 검증되지 않은 네트워크는 이용을 최소화 하고, 애초 중요한 정보를 입력하지 않는 등의 주의가 필요하다.


공유기가 널리 보급되며 이러한 형태의 위협은 곳곳에 산재해 있지만 이를 관리해야 한다는 인식은 아직 많이 부족한 실정이다. 대다수의 이용자는 공유기를 구입하고 기본 비밀번호를 바꾸지 않고 쓰고 있다. 이런 비밀번호는 검색만 하면 너무나 쉽게 얻을 수 있고 심지어 커뮤니티를 통해 적극적으로 알려지기까지 한다. 이는 비밀번호가 없는 상황과 같다. 안전한 PC사용을 위해 보안성 높은 비밀번호 관리에 언제나 신경 써야 하겠다.


해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0 모두에서 진단 및 치료가 가능하다.




[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면




[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

Cribinst.exe 악성코드 분석 보고서  

 


1. 분석 정보


1.1. 개요


Cribinst.exe 파일은 기타 금융권 악성파일과 동일하게 hosts 파일을 변조하고 인터넷 접속 시 가짜 금융권 사이트로 연결되어 개인정보 입력을 유도한다.다만기존의 금융권 악성파일과는 다르게 화면을 캡쳐하여 저장하는 기능이 추가되었다.             





1.2. 동작


Cribinst.exe 파일 실행 시 C:\ 하위에 '1b'이란 파일을 생성한다확장자가 없는 '1b' 파일은 .bmp파일 포맷을 가지며. 해당 파일을 확인하면 악성코드에 의해 PC 실행화면 중 일부가 캡처된 이미지 파일임을 알 수 있다.




[그림] 악성코드에 의해 캡처된 PC 실행화면






또한, C:\windows\system32\drivers\etc\hosts, hosts.ics 파일을 변조/생성하고 해당파일 및 자기자신의 속성을 숨김으로 변경한다.



112.***.***.189  www.naver.kr  37719

112.***.***.189  www.naver.com  14348

112.***.***.189  www.gmarket.com  33008

112.***.***.189  www.nate.com  35436

112.***.***.189  www.daum.net  29235

112.***.***.189  www.hanmail.net  23192

112.***.***.189  www.11st.com  20835

112.***.***.189  www.auction.com  27534

112.***.***.189  www.11st.co.kr  20136

112.***.***.189  www.zum.co.kr  39815

112.***.***.189  www.coupang.com  39041

112.***.***.189  www.coupang.co.kr  28081

112.***.***.189  www.kbstar.com  13840

112.***.***.189  www.shinhan.com  27474

112.***.***.189  www.ibk.co.kr  30154

112.***.***.189  www.wooribank.com  21812

112.***.***.189  www.keb.co.kr  37884

112.***.***.189  www.hanabank.com  30680

--- 이하 생략

112.***.***.189  www.kbstar.com.pc  30946

112.***.***.189  www.nonghyup.com.pc  15935

112.***.***.189  www.shinhan.com.pc  11981

112.***.***.189  www.ibk.co.kr.pc  38113

112.***.***.189  www.wooribank.com.pc  34739

112.***.***.189  www.keb.co.kr.pc  17570

112.***.***.189  www.hanabank.com.pc  25484

112.***.***.189  www.kfcc.co.kr.pc  18147

112.***.***.189  www.epostbank.go.kr.pc  28003

112.***.***.189  www.citibank.co.kr.pc  15007

112.***.***.189 www.standardchartered.co.kr.pc  13495

112.***.***.189  www.kdb.co.kr.pc  26867

112.***.***.189  www.busanbank.co.kr.pc  30240

112.***.***.189  www.dgb.co.kr.pc  29405

112.***.***.189  www.kjbank.com.pc  22326

112.***.***.189  www.knbank.co.kr.pc  35908

112.***.***.189  www.suhyup-bank.com.pc  39342

112.***.***.189  www.cu.co.kr.pc  26680

--- 이하 생략

[변조된 hosts, hosts.ics 파일 내용






변조된 내용에 따라 사용자가 포털 사이트, 쇼핑몰 사이트, 은행권 사이트에 접속을 시도 할 경우 가짜 페이지로 연결된다.

가짜 페이지는 진짜인 것처럼 위장하고 있으나, 실제 포털 사이트의 화면을 캡쳐한 이미지를 사용하여 생성한 페이지로 금융감독원 팝업창 외에는 클릭이 되지 않는다.



[그림가짜 포털 사이트






팝업창의 은행 로고를 선택하면 가짜 금융권 사이트로 연결되며모든 메뉴 선택 시 보다 안전한 서비스 이용을 위하여 추가 인증이 필요합니다” 팝업과 함께 전자금융사기예방서비스 페이지로 연결된다해당 페이지에서는 사용자의 이름주민번호계좌 관련 정보보안카드 정보 등 개인정보의 입력을 유도한다.

 

사용자의 시작 페이지 옵션을 특정 포털사이트로 변경하여 사용자가 인터넷 접속 시 가짜 사이트로 접속되도록 하며레지스트리에 등록하여 윈도우 재시작 시마다 자동실행 된다.




[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="www.n****.com"

[시작페이지 변경 레지스트리



 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"fBpj7595"="C:\\Documents and Settings\\Administrator\\바탕 화면\\Cribinst.exe"

[자동 실행 레지스트리





2. 결론


Cribinst.exe 는 대체로 기존의 금융권 악성파일과 유사한 동작을 한다다만동작화면을 캡처하여 저장하는 기능이 추가되어 추가적인 정보유출의 우려가 있어 주의가 필요하다.

Cribinst.exe 는 잉카인터넷 보안솔루션 nProtect Anti-Virus/Spyware 로 진단 및 치료가 가능하다.



[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면




[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

0f591.exe 악성코드 분석 보고서 

 


1. 분석 정보


0f5911e332df35dca….exe(이하 0f591.exe)의 유포경로는 알려진 바가 없으나, 게임 '스타 크래프트' 아이콘을 사용하고 있어, 해당 게임 이용자를 대상으로 게임 유틸리티로 가장해 유포된 것으로 추정된다.



[그림] 게임 아이콘로 가장한 0f591.exe 아이콘






0f591.exe를 실행하면 여러 폴더에 악성동작을 위한 파일(qwe.exe)을 생성하고 실행시킨다. 생성된 파일은 아래와 같으며, 파일명 qwe.exe인 두 파일은 동일한 파일이다.



경 로

파일명

C:\DOCUME~1\사용자명\LOCALS~1\Temp

qwe.exe

 

234234234.ico

C:\WINDOWS

qwe.exe

[] 생성 파일






이후 실행된 qwe.exe C&C서버(q****3.0*e.kr)로 지속적인 접속을 시도하나 현재는 접속되지 않는다. 해당 URL로 조회한 IP주소는 조회 시기마다 다르나 공통적으로 211.***.46.0/24 대역의 국내 IP 값을 가진다.



q****3.0*e.kr

211.***.46.*4

 

211.***.46.*9

 

211.***.46.*1

 

211.***.46.*9

[] IP 조회 결과






분석 결과 qwe.exe의 파일상에서 상용 해킹툴 Bozok RAT의 시그니처 및 버전 정보가 확인되었으며, 실행 중인 메모리에서 Bozok RAT이 제공하는 플러그인 모듈이 발견되었다. 이를 근거로 Bozok RAT 다운받아 비교한 결과 qwe.exe는 해당 상용 해킹툴 Bozok RAT으로 확인되었다.

 


[그림] qwe.exe에 저장된 Bozok RAT 관련 문자열

 



[그림] 해킹툴 내 plugin.dll 파일과 악성파일 메모리상의 실행코드 유사도




[그림] 해킹툴 내 stub.exe 파일과 생성된 악성파일 qwe.exe의 실행코드 유사도






qwe.exe의 악성동작을 재현해 보기 위해 Bozok RAT 체험판을 다운로드하여 임의의 C&C 서버를 구성하고 PC를 감염시켰다. 감염된 PC는 정상적으로 C&C서버(테스트용 q****3.0*e.kr)에 접속하였고, 테스트용 C&C서버를 통해 여러 악성 명령을 내릴 수 있었다.



[그림] 피해자 화면 캡처, 키 입력 가로채기




[그림] 피해자 PC 파일 제어(실행 유출 수정 등), 원격 쉘 실행






위에 나열된 악성동작 외에도 qwe.exe가 수행할 수 있는 악성 동작은 아래와 같다.



레지스트리 조회, 수정, 추가, 삭제

프로세스 종료, 실행모듈 삭제

서비스 목록조회, 실행, 중지

창 크기 조절

파일 다운로드, 업로드, 수정, 실행, 삭제 등

웹캠, 오디오 캡처

루트킷, 방화벽, UAC우회, 저장된 비밀번호 유출

[] qwe.exe 악성동작






2. 결론


0f5911.exe가 생성한 qwe.exe는 상용 해킹툴 Bozok RAT로 빌드한 악성코드로 밝혀졌다. 테스트는 체험판으로 진행했지만 체험판만으로도 감염 PC의 모든 제어권을 획득할 수 있었다. 현재 C&C서버 q****3.0**.kr는 접속이 불가능한 상태로 악성동작은 수행하지 않으나 해커가 서버를 복구한다면 언제든지 악성행위를 할 수 있으므로 빠른 치료가 중요하다


이번 사례는 전문지식이 없어도 누구나 상용 툴을 이용해 해킹을 시도 할 수 있다는 것을 보여주는 것으로, 보안위협이 날로 증가함을 보여준다 하겠다.


0f5911.exeqwe.exenProtect Anti-Virus/Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0으로 모두 진단 및 치료가 가능하며, 실시간 감시 기능 사용시 악성코드가 실행되는 것을 사전에 방지하고 치료할 수 있다.



[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면



[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면






저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect