백도어 악성코드 분석





1. 개요 


백도어(Backdoor)의 본래 의미는 시스템 개발이나 유지 보수를 편리하게 수행하기 위해, 시스템 인증과정 없이 원격 접속을 보장하여 운영체제나 프로그램 등에 접근할 수 있도록 만든 통로였다. 하지만, 최근에는 사용자 모르게 시스템에 무단으로 접근하고, 추가적인 악성코드를 설치하거나 개인 정보를 수집하는 악성코드 종류를 뜻하는 경우가 많아졌다. 

본 보고서에서는 백도어 형태의 악성코드를 분석하여 백도어의 일반적인 기능과 동작 방식 등을 알아본다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

1.exe

파일크기

135,185 byte

진단명

Backdoor/W32.Farfli.135185

악성동작

백도어

네트워크

http://www.h*****r.com - 유포지

49.**.*.84:81 - 공격자 서버

103.*.**.86:80 - 공격자 서버





2-2. 유포 경로

해당 악성코드는 중국의 중고차 매매 사이트 http://www.h*****r.com/1.exe 를 통하여 유포되었다. 이는 해당 악성코드가 또 다른 악성코드나, Exploit Kit 등을 통해 다운로드 될 수 있음을 보인다. 해당 페이지는 현재 접속이 불가능하다.





2-3. 실행 과정

해당 악성코드는 아래 그림과 같이 MS 워드 파일 아이콘으로 위장하고 있으며 파일 실행 시 자신을 %ProgramFiles%\Google\google.com으로 복사하고, 서비스 명이 “Cnykvi Ugrdoalw Jugrdoal Xjug” 인 서비스를 생성한 뒤 자가 삭제된다. 이 후 악성 행위는 모두 google.com 프로세스에서 이루어진다.


[그림 1] 워드 파일 아이콘으로 위장한 악성코드[그림 1] 워드 파일 아이콘으로 위장한 악성코드







3. 악성 동작


3-1. 실행 파일 다운로드

악성코드는 추가 모듈이나 실행 파일을 공격자가 지정한 웹 서버에서 다운로드 후, 감염 PC의 특정한 경로 및 파일명으로 생성한다.


[그림 2] 추가 파일 다운로드[그림 2] 추가 파일 다운로드





3-2. PC 정보 수집

사용자 PC의 메모리 사용량과 OS 버전 정보, 동작중인 백신 프로세스 등 컴퓨터 정보를 수집한다.


[그림 3] 백신 프로세스 조회 대상[그림 3] 백신 프로세스 조회 대상





3-3. MBR 파괴 및 시스템 종료

공격자의 명령에 따라 MBR (0~512Byte) 영역을 임의의 데이터로 덮어 씌운다. 이후 시스템을 재부팅 시키지만 비정상적인 MBR로 인해 부팅이 정상적으로 이루어지지 않는다.


[그림 4] MBR 파괴 코드 부분[그림 4] MBR 파괴 코드 부분


[그림 5] 시스템 재부팅 명령[그림 5] 시스템 재부팅 명령







4. 결론


이와 같은 백도어 악성코드들은 해당 악성코드 하나만 보았을 때는 피해가 크지 않지만, 감염 된 후 공격자에 의해 추가로 다운로드 될 수 있는 악성코드 및 모듈로 피해가 확대될 수 있어 사용자의 주의가 필요하다. 


백도어 악성코드 피해를 막기 위해선 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


Flash Player 관련 어플리케이션으로 위장한 안드로이드용 스마트폰 악성 어플리케이션이 해외에서 발견되어 사용자들의 주의가 요망되고 있다. 해당 악성 어플리케이션은 Flash Player 와 유사한 아이콘으로 위장되어 있으며, 실행 시 별도의 실행화면은 나타나지 않고 백그라운드 상태에서 다양한 악의적 동작을 수행 시도하게 된다. 감염 시 스마트폰 단말기 정보, SMS 등의 정보가 유출될 수 있으므로 사용자 스스로 어플리케이션 다운로드 및 설치에 세심한 주의가 필요하다.

  

2. 유포경로 및 감염 증상

해당 악성 어플리케이션은 블랙마켓, 3rd party 마켓 등을 중심으로 유포될 수 있으며, 때에 따라서는 악성 URL 접근, 이메일의 첨부파일 형태 등으로도 다운로드 및 설치가 가능하다.

■ 악성 어플리케이션에 대한 설치 시 확인 가능한 특징

해당 악성 어플리케이션은 설치 시 아래의 그림과 같은 권한 요구 화면을 보여주게 된다.


아래의 그림은 권한 요구 선언 부분이며, 자세한 사항은 "권한 설명" 부분을 참고할 수 있도록 하자.


※ 권한 설명

  ㄱ. android:name="android.permission.INTERNET"
     - 인터넷 사용 등을 위한 권한
  ㄴ. android:name="android.permission.SEND_SMS"
     - SMS 발신을 위한 권한
  ㄷ. android:name="android.permission.RECEIVE_SMS"
     - SMS 수신을 위한 권한
  ㄹ. android:name="android.permission.WRITE_SMS"
     - SMS 작성 등을 위한권한
  ㅁ. android:name="android.permission.READ_SMS"
     - SMS 읽기 등을 위한 권한
  ㅂ. android:name="android.permission.READ_PHONE_STATE"
     - 단말기 정보 등을 얻기 위한 권한
  ㅅ. android:name="android.permission.WRITE_EXTERNAL_STORAGE"
     - SDcard 등에 정보 저장을 위한 권한
  ㅇ. android:name="android.permission.MODIFY_AUDIO_SETTINGS"
     - 오디오 편집 등 설정을 위한 권한

또한, 동일하나 감염 증상을 가지고 있으나, 아래의 그림과 같이 Flash Player로 위장하지 않은 악성 어플리케이션도 존재하니 참고 할 수 있도록 하자.


또한, 해당 악성 어플리케이션들은 설치 후 아래의 그림과 같이 Flash Player로 위장된 아이콘을 비롯한 별도의 아이콘을 가지게 되며, 실행화면은 따로 존재하지 않는다.
  

  

※ 유포중인 해당 악성 어플리케이션 리스트
 
  - FlashCom
  - FlashP29
  - Flashpom
  - MMS29


■ 상세 증상 분석


해당 악성 어플리케이션은 스마트폰에 설치가 완료된 후 서비스로 동작하게 되면 일정 시간이 지난 후 다양한 악성 동작을 진행하게 된다.

아래의 코드는 IMEI 등과 같은 스마트폰 단말기의 정보 탈취 및 활용을 가능케 하기 위한 코드의 일부분 이다.

 


위와 같이 수집되는 IMEI 정보 등은 불법 복제 휴대폰 제작 등에 악용될 수 있으며, 대부분의 악성 어플리케이션들이 가지고 있는 악의적인 기능이다. 해당 악성 어플리케이션은 이외에도 아래의 코드를 통해서 사용자의 스마트폰에 설치되어있는 어플리케이션 리스트 등의 정보를 획득할 수 있다.


위의 코드는 어플리케이션 리스트 획득을 위한 코드의 일부분이며, 정밀분석 결과 설치되어 있는 어플리케이션 리스트 정보를 모두 수집 후 SDcard에 저장 및 일정 시간 후 해당 정보를 외부 사이트로 유출하는 증상이 확인되었다.

또한, 해당 악성 어플리케이션은 SMS 및 발신자 번호 등을 수집할 수 있는 아래의 일부 코드를 통해 수집된 해당 정보를 외부 사이트로 유출 시도 하는 것으로 확인되었다. 

클릭하시면 확대된 화면을 보실 수 있습니다.


아래의 그림들은 위에서 설명한 다양한 정보 탈취 기능이 동작된 후 수집된 해당 정보들을 외부로 유출 할때 탐지된 패킷 캡쳐 화면이다.
  


◆ 설치된 어플리케이션 리스트 외부 유출 패킷 캡쳐 화면

클릭하시면 확대된 화면을 보실 수 있습니다.


  - 감염된 스마트폰에 설치된 모든 어플리케이션 리스트 정보가 외부로 유출될 수 있다.

◆ 수집된 IMEI, 안드로이드 플랫폼 버전 등의 단말기 정보 유출 패킷 캡쳐 화면

클릭하시면 확대된 화면을 보실 수 있습니다.


  - 위 그림에서 빨간색 박스 부분에는 유출되는 단말기 정보 등이 모두 담겨있으며, 내부의 파란색 박스 부분은 IMEI 값에 대한 정보가 담겨있다.

  


또한, 해당 악성 어플리케이션은 자신의 제품명 및 버전 정보 등을 체크한 후 상위 버전 업데이트를 시도하는 것으로 확인되고 있으며, 현재 해당 부분은 추가적인 분석 작업이 진행중에 있다.

3. 예방 조치 방법

최근 악성 어플리케이션은 다양한 패키징화 기법을 비롯해 정상 어플리케이션으로 위장하는 등 다양한 방법으로 제작 및 유포가 이루어지고 있으며, 예년에 비해 악성 어플리케이션의 발생 분포도 상당히 증가하고 있는 실정이다. 대부분의 악성 어플리케이션이 그러하듯 일반 사용자의 입장에서는 자신의 스마트폰에 대한 특별한 감염 증상 및 확인을 위한 절차가 매우 까다로워 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 것이 안전한 스마트폰 사용을 위한 최선의 방법이 될 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

■ nProtect Mobile for Android 제품군에 치료 기능이 추가된 악성 어플리케이션 진단명

- Trojan-Spy/Android.CrWind.A
- Trojan-Spy/Android.CrWind.B
- Trojan-Spy/Android.CrWind.C
- Trojan-Spy/Android.CrWind.D

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
안녕하십니까?
2010년 11월 29일자 첫번째 업데이트 안내문입니다.

금일 긴급 업데이트에서는 총 7140개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 11개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-29.01

1-1. 다음 1178개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Agent.110245
     Backdoor/W32.Agent.132608.N
     Backdoor/W32.Agent.189440.J
     Backdoor/W32.Agent.194048.N
     Backdoor/W32.Agent.244736.H
     Backdoor/W32.Agent.295936.L
     Backdoor/W32.Agent.3243451
     Backdoor/W32.Agent.34816.BK
     Backdoor/W32.Agent.37112
     Backdoor/W32.Agent.38912.BB

더보기

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
안녕하십니까?
2010년 11월 25일자 첫번째 업데이트 안내문입니다.

금일 정기 업데이트에서는 총 9546개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 18개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-25.01

1-1. 다음 3890개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Agent.1004032
     Backdoor/W32.Agent.115712.Z
     Backdoor/W32.Agent.1183744.E
     Backdoor/W32.Agent.12590103
     Backdoor/W32.Agent.1286144.F
     Backdoor/W32.Agent.137534
     Backdoor/W32.Agent.141557
     Backdoor/W32.Agent.144912
     Backdoor/W32.Agent.153184
     Backdoor/W32.Agent.1613824.C

더보기

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
안녕하십니까?
2010년 11월 23일자 첫번째 업데이트 안내문입니다.

금일 정기 업데이트에서는 총 8289개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 21개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-23.01

1-1. 다음 2617개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Agent.1003520.F
     Backdoor/W32.Agent.1015808.F
     Backdoor/W32.Agent.114112
     Backdoor/W32.Agent.114764.B
     Backdoor/W32.Agent.125763
     Backdoor/W32.Agent.135229
     Backdoor/W32.Agent.146991
     Backdoor/W32.Agent.159805
     Backdoor/W32.Agent.173862.B
     Backdoor/W32.Agent.1798144.B

더보기

     
저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
안녕하십니까?
2010년 11월 22일자 첫번째 업데이트 안내문입니다.

금일 정기 업데이트에서는 총 6809개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 32개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-22.01

1-1. 다음 2125개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Agent.1048576.J
     Backdoor/W32.Agent.108032.Q
     Backdoor/W32.Agent.122880.BQ
     Backdoor/W32.Agent.1228800.C
     Backdoor/W32.Agent.138240.E
     Backdoor/W32.Agent.147456.BQ
     Backdoor/W32.Agent.170260
     Backdoor/W32.Agent.178626
     Backdoor/W32.Agent.192512.DQ
     Backdoor/W32.Agent.23040.AM

더보기

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
안녕하십니까?
2010년 11월 19일자 첫번째 업데이트 안내문입니다.

금일 정기 업데이트에서는 총 12073개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 22개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-19.01

1-1. 다음 1211개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Agent.107675
     Backdoor/W32.Agent.127735
     Backdoor/W32.Agent.208892
     Backdoor/W32.Agent.217088.BB
     Backdoor/W32.Agent.245248.H
     Backdoor/W32.Agent.303161
     Backdoor/W32.Agent.38400.DE
     Backdoor/W32.Agent.38912.BA
     Backdoor/W32.Agent.40448.AL
     Backdoor/W32.Agent.52224.AH

더보기

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
안녕하십니까?
2010년 11월 17일자 첫번째 업데이트 안내문입니다.

금일 긴급 업데이트에서는 총 5765개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 63개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-17.01

1-1. 다음 699개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Agent.1224704.E
     Backdoor/W32.Agent.1756376
     Backdoor/W32.Agent.245248.G
     Backdoor/W32.Agent.388096.G
     Backdoor/W32.Agent.429568.J
     Backdoor/W32.Agent.788272
     Backdoor/W32.Agent.946449
     Backdoor/W32.Bifrose.351151
     Backdoor/W32.Bifrose_Packed.846829
     Backdoor/W32.BlackHole.1641712

더보기

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
안녕하십니까?
2010년 11월 16일자 두번째 업데이트 안내문입니다.

금일 정기 업데이트에서는 총 6613개 악성코드에 대한 진단/치료가 안티 바이러스에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-16.02

1-1. 다음 1451개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Agent.108199
     Backdoor/W32.Agent.115712.Y
     Backdoor/W32.Agent.11776.AG
     Backdoor/W32.Agent.181248.N
     Backdoor/W32.Agent.201728.E
     Backdoor/W32.Agent.34816.BI
     Backdoor/W32.Agent.38400.DD
     Backdoor/W32.Agent.40960.GD
     Backdoor/W32.Agent.507904.N
     Backdoor/W32.Agent.66048.AN

더보기

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
안녕하십니까?
2010년 11월 16일자 첫번째 업데이트 안내문입니다.

금일 긴급 업데이트에서는 총 65개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 112개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-16.01

1-1. 다음 65개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Hupigon.483840.Z
     Backdoor/W32.Hupigon.486912.AF
     Script-JS/W32.Agent.AQF
     Script-JS/W32.Agent.AQG
     Script-JS/W32.Agent.AQH
     Script-JS/W32.Agent.AQI
     Script-JS/W32.Agent.AQJ
     Trojan-Downloader/W32.Agent_Packed.119808.F
     Trojan-PWS/W32.Taworm.102594
     Trojan-PWS/W32.Taworm.102926

더보기


     
저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect