바이러스와 웜 형태의 악성코드 'Mamianune' 상세 분석




1. 개요 


생물학에서 다루는 바이러스처럼 자기 자신을 다른 컴퓨터에 전염 시키는 특성을 갖고있는 바이러스(Virus) 악성코드는 다른 실행 파일에 코드나 파일 형태로 기생한다. 그렇기에 감염된 파일을 치료하기 위해선 감염 형태를 분석해야 한다. 본 보고서에선 바이러스와 웜 형태로 전파되는 악성코드 ‘Mamianune’의 감염 동작을 분석하고 바이러스들이 전파 되는 방식을 담았다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Mamianune.exe

파일크기

20,027 Bytes

진단명

Virus/W32.Mamianune

악성동작

파일 바이러스

다운로더

 



2-2. 유포 경로

E-mail 웜 기능과 파일 바이러스 기능을 모두 가지고 있는 해당 악성코드의 특성상 주로 파일 복제나 이메일을 통해 유포되었을 확률이 높아 보인다.



2-3. 실행 과정

해당 악성코드는 실제 악성 행위를 수행하는 코드까지 2단계로 인코딩 되어있으며, 각 단계 모두 폴리모픽(Polymorphic) 기법이 적용되어 코드가 생성된다.





3. 악성 동작


3-1. 파일 감염

해당 악성코드는 감염 동작 시 아래 그림과 같이 악성코드가 삽입될 마지막 섹션에 실행 속성을 부여하고, 악성코드를 삽입한다.


[그림 1] 섹션 속성 변경[그림 1] 섹션 속성 변경


[그림 2] 악성코드 복사[그림 2] 악성코드 복사




변경된 섹션의 내용을 PE 헤더 스펙에 맞춰주기 위해 아래 그림과 같은 여러 동작을 수행한다.


[그림 3] 마지막 섹션 Virtual size 확장[그림 3] 마지막 섹션 Virtual size 확장





3-2. 폴리모픽 코드 생성

해당 악성코드는 E-mail 웜(worm) 기능을 수반하고 있으며, 파일 첨부를 위해 자신을 복제할 때마다 아래 그림과 같이 폴리모픽이 적용되어 안티-바이러스 제품들의 진단을 힘들게 한다.


[그림 4] 코드 생성[그림 4] 코드 생성





4. 결론


이러한 바이러스 기능을 수반한 악성코드는 정상 파일에 악성코드를 기생 시키기 때문에, 일반적인 악성코드에 비해 치료가 어렵다. 따라서, 사용자는 수시로 OS와 응용 프로그램을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등의 방안으로 감염에 예방해야 한다. 상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

웜(Worm) 악성코드 Allaple 상세 분석




1. 개요 


컴퓨터에서 웜(worm)의 정의는 ‘자신을 복제하는 컴퓨터 프로그램’이다. 웜은 네트워크상에서 전파되며 바이러스(Virus)보다 일반적으로 전파속도가 빠르고 과도한 트래픽을 유발하여 대역폭을 잠식할 수 있다. 또한 다른 파일에 기생하여 실행되는 바이러스와 달리 웜은 독립적으로 실행될 수 있다. 본 보고서에서는 C&C(Command & Control) 서버의 명령 없이 무조건 특정 IP에 DoS(Denial of Service) 공격을 수행하는 기능을 수반한 웜 형태 악성코드인 ‘Allaple’(또는 Starman)을 분석하여 웜이 어떤 방식으로 증식하는지 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

allaple.exe

파일크기

57,856 bytes

진단명

Worm/W32.Allaple.Gen

악성동작

Worm, DoS

 



2-2. 유포 경로

주요 유포 경로는 웜의 특성상 공유 폴더, E-mail 등 네트워크를 통하여 유포되며, 다른 악성코드와 마찬가지로 운영체제 보안 취약점을 통해 직접적으로 감염될 수 있다.




2-3. 실행 과정

해당 악성코드는 아래 그림과 같이 실제 악성 행위를 수행하는 코드까지 4단계로 인코딩 되어 있으며, 4번째 단계를 제외하고 각 단계 모두 복제될 때마다 폴리 모르픽(Polymorphic) 기법이 적용되어 코드가 생성된다.


[그림 1] 내부 동작 과정[그림 1] 내부 동작 과정


이러한 폴리 모르픽 기법이 적용되어 전파, 감염 웜이나 바이러스는 감염될 때마다 코드가 변경되어 안티-바이러스 제품이 탐지 및 치료하기 어렵도록 만든다.




3. 악성 동작


3-1. 네트워크 웜(worm) - 공유 자원

해당 악성코드는 임의의 IP를 대상으로 파일 공유 서비스 139(NetBIOS), 445(SMB) 포트에 Brute-force(무차별 대입공격)을 통하여 접근 권한 획득을 시도한다.


[그림 2] 공유 자원 접근 시도[그림 2] 공유 자원 접근 시도


[그림 3] 무차별 대입공격에 사용되는 패스워드[그림 3] 무차별 대입공격에 사용되는 패스워드



접근 성공 시 자신을 복사하여 전송한다.


[그림 4] 파일 전송[그림 4] 파일 전송





3-2. 네트워크 웜2 - 웹 서버

로컬 드라이브 중 모든 DRIVE_FIXED(hard disk drive or flash drive) 타입 드라이브를 대상으로 확장자 htm, html 파일을 탐색한다.

[그림 5] .htm과 .html 탐색[그림 5] .htm과 .html 탐색



htm, html 발견 시 아래 그림과 같은 OBJECT 태그를 삽입한다.

[그림 6] .htm과 .html 변조[그림 6] .htm과 .html 변조


자신을 드라이브 루트에 복사하고 관련 레지스트리를 생성한다.

[그림 7] 레지스트리 생성[그림 7] 레지스트리 생성


위의 동작을 완수함으로써 변조된 htm, html 파일을 브라우징 시 클라이언트에서 자동으로 복사된 Allaple 악성코드가 실행된다.





4. 결론


이러한 악성코드 피해를 예방하기 위해 필요 없는 공유 폴더 및 디스크를 최소한으로 줄이고, 접근 계정의 ID, 패스워드를 쉽게 예측할 수 없게 설정해야 하며, 공유 자원이 필요 없는 경우는 포트를 닫아 놓아야 한다. 또한 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

일명 "Bredolab" 과 "Palevo" 이름 등으로 널리 알려져 있고, 수 많은 변종이 등장하고 있는 악성코드들이 최근 Multi Downloader 기능 등을 탑재하여 다양한 형태의 공격과 피해를 유발시키고 있어, 설연휴 기간 동안 컴퓨터 사용자들의 각별한 주의가 요구된다.

특히, 다량의 악성코드(Win32.Polip.A 등)에 노출되면서 감염 정도가 매우 심각(파일 손상)한 경우 시스템이 매우 불안정하게되고, 감염 정도에 따라 예기치 못한 오류 증상이나 정상적인 부팅이 진행되지 못하는 큰 피해를 입을 수도 있다.

최근 일부 기업과 개인 사용자들을 중심으로 네트워크의 트래픽이 과도하게 발생(시스템 리소스 감소)한다는 피해 사례 및 상담 접수 등이 증가하고 있는데, 이것은 Bredolab 형태의 악성코드가 가지고 있는 대표적인 감염 증상 중에 하나이며, 악성코드가 다량의 SPAM Mail 발송 시도 등의 과정 중에 나타나는 부작용이다.


악성코드가 컴퓨터에 유입되어 실행(감염)되면 다수의 사이트로 접속을 시도하고, 또 다른 악성코드 파일들을 다량으로 다운로드하여 추가 감염을 시키게 된다.

아래 그림은 악성코드가 접속을 시도하는 다양한 URL 주소들 중 일부를 저장한 화면이다.


악성코드가 감염되면 특징적으로 운영체제(Windows)가 설치되어 있는 로컬디스크(C:)의 최상위 경로에 정상파일처럼 위장한 가짜 lsass.exe 이름의 악성코드를 생성하며, 사용자 계정의 Temp 폴더에 영문으로 조합된 형식의 악성코드를 생성시키고 함께 작동하도록 만든다.



실행된 악성코드는 보안 제품(Anti-Virus)이나 작업관리자 등에 의해서 강제종료(제거)되는 것을 방해하기 위해서 일종의 자기보호 기능 목적의 프로세스 연동 기법을 사용한다.

"iqgfypvt.exe" 와 "lsass.exe" 의 실행 프로세스는 지속적으로 연동하여 재실행되도록 되어 있으며, 특히 lsass.exe 는 프로세스 아이디(PID)를 실시간으로 변경하기 때문에 선택적 종료와 Kill Process Tree 작업 등이 어렵게 된다.


악성코드는 감염된 상태에서 일정 시간이 흐르면 또 다른 변종들을 설치하기 때문에 다음과 같이 새로운 형태가 추가될 수 있다. 특징적으로 imPlayok.exe 악성코드는 "바탕 화면 보기" 아이콘처럼 위장하고 있는 것을 볼 수 있다.


explorer.exe 프로세스에는 압축프로그램 파일명처럼 위장한 wnzip32.exe 라는 악성코드가 Handles 로 연결되어 악성코드 재실행 기능 등으로 사용된다.


일부 서비스와 프로세스는 Rootkit Driver 기법을 통해서 2중 보호를 하고 있기 때문에 일반 사용자가 수동으로 해결하기가 어려운 형태의 악성코드이다.

아래 화면 중 적색 글씨 부분(황색 배경)이 Hidden 된 서비스와 프로세스 영역을 표시한 것이다.


iqgfypvt.exe 의 경우 임의의 특정 원격 주소지로 지속적으로 연결[IRC(6667), SMTP(25), Remote Connection]을 시도하며, 이 과정에서 비정상적인 네트워크 트래픽이 과도하게 발생함과 동시에 리소스 저하로 인하여 컴퓨터 속도가 급격히 감소될 수 있다.

이러한 악성코드는 Spam Mailer, IRCBot, Autorun Worm, Backdoor, P2P Worm, BotNet, File Infector(Patched), Rogueware 유포 등의 유해 위협 요소로 작용될 수 있으며, 컴퓨터 사용자의 개인 정보가 유출되는 피해가 발생될 위험의 소지가 높다.

그외에도 안전 모드(Safe Mode) 부팅과 관련한 레지스트리 값을 삭제하기 때문에 정상적인 안전 모드 부팅이 불가능할 수 있다.
 


금번 악성코드는 감염 시 치료가 까다롭고, 컴퓨터의 정상적인 작업에 큰 지장을 주기 때문에 미연에 예방하는 것이 그 무엇보다 중요한 부분이라 할 수 있다.

감염이 심각한 수준일 경우 전체 검사 및 치료를 여러 차례 반복하고, 이동 저장매체(USB 디스크, 외장 HDD 등)도 함께 검사해 본 후 재진단되는 악성코드가 최종적으로 없는 것을 확인하는 과정이 요구된다.

잉카인터넷 시큐리티 대응센터(ISARC)에서는 확보된 다수의 변형 악성코드에 대한 진단, 치료 기능을 지속적으로 업데이트하고 있으므로, nProtect Anti-Virus 제품 사용자분들의 경우 항시 가장 최신 날짜의 패턴으로 업데이트를 유지하고, 실시간 감시 기능의 활성화를 통해서 사전에 유입되는 것을 차단하는 것이 최우선적인 감염 예방 수칙이 될 수 있다.

저작자 표시
신고
Posted by nProtect