악성 파일 정보

[악성코드 분석]DarkCloud Bootkit 악성코드 감염 주의

DarkCloud Bootkit 악성코드 감염 주의

1. 개요

부트킷 악성코드는 시스템이 부팅할 때 필요한 정보가 저장되어있는 MBR(Master Boot Record) 영역을 감염시키고 백신을 무력화시키며 추가로 악성 파일을 다운받거나 사용자의 정보를 탈취할 수 있는 악성코드이다. 부팅 시 MBR의 정보로 운영체제를 구동시키기 때문에 MBR 영역에 악성코드가 존재하면, 시스템에서 악성코드를 삭제해도 악성코드는 지속적으로 존재할 수 있기 때문에 사용자의 각별한 주의가 필요하다.

 

이번 보고서에서는 “DarkCloud Bootkit” 악성코드에 대해 알아보고자 한다

 

 

 


2. 분석 정보

2-1. 파일 정보

구분 내용
파일명 임의의 문자열.exe
파일크키 737,280 Byte
악성 동작 MBR 변조, 추가 파일 다운로드

 


2-2. 실행 과정

해당 악성코드에 감염되면 가장 먼저 MBR 영역에 악성 쉘코드를 쓴다. 악성 쉘코드는 재부팅 후에 동작하며 C&C 서버로부터 다운로더(‘conhost.exe’)를 다운받고, 다운로더는 원격 제어 프로그램(‘item.dat’)을 다운받는다. 그리고 백신을 무력화 시키며 자신의 악성 쉘 코드를 은닉한다. 다운로드 된 원격 제어 프로그램은 추가적으로 파일을 다운로드 및 업로드 할 수 있고 사용자 PC의 서비스, 레지스트리, 프로세스를 수정할 수 있는 기능을 갖고있다.

 

[그림 1] 다운로더(conhost.exe)와 원격 제어 프로그램(item.dat) 실행 과정

 

 

 

 


3. 악성 동작

3-1. MBR 변조

해당 악성코드는 MBR 영역을 변조하는데 섹터 0의 정상 MBR 코드를 섹터 1로 복사하고, 섹터 0과 섹터 2~54에 악성 쉘 코드로 덮어쓴다.

 

[그림 2] MBR 영역 감염 전 후 비교


3-2. AV 관련 프로세스 종료

이후 악성 쉘 코드는 아래 표에 작성된 백신 관련된 프로세스를 강제종료 시킨다.

구분 내용
프로세스 종료 대상 “avp.exe”, “zhudongfangyu.exe”, “superkiller.exe” “360sd.exe”, “360safe.exe”, “360rps.exe”, “360rp.exe”, “sragent.exe”, “QQPCRTP.exe”, “systemaidbox.exe”, “avgnt.exe”, “avengine.exe”, “msmpeng.exe”, “nissrv.exe”, “msseces.exe”, “ccSvcHst.exe”, “ekrn.exe”, “egui.exe”, “nod32krn.exe”, “avgrsa.exe”, “avgui.exe”, “avscan.exe”, “v3svc.exe”, “v3medic.exe”, “Rtvscan.exe”, “avastsvc.exe”, “bdagent.exe”, “mcshield.exe”, “mcsvhost.exe”, “mfefire.exe”, “mfemms.exe”, “dwengine.exe”, “dwarkdaemon.exe”, “vssery.exe”, “avguard.exe”, “K7CrvSvc.exe”, “asdsvc.exe”, “360tray.exe”, “mbamservice.exe”, “mbamtray.exe”, “mbam.exe”, “qhpisvr.exe”, “quhlpsvc.exe”, “savservice.exe”, “hipsmain.exe”, “hipsdaemon.exe”, “sapissvc.exe”, “scsecsvc.exe”, “avgsvc.exe”, “liveupdate360.exe”, “360rp.exe”, “qqpctray.exe”, “Mcshield.exe”, “shstat.exe”, “naprdmgr.exe”, “avgui.exe”, “ziface.exe”, “uiSeAgnt.exe”, “dwengine.exe”, “spideragent.exe”, “bdagent.exe”, “smsvchost.exe”, “avastui.exe”, “ksafe.exe”

[표 1] 백신 프로세스 종료 목록

 


3-3. 추가 파일 다운로드 및 C&C 서버 연결

그리고 C&C 서버와 연결되어 추가적으로 다운로더 실행파일을 다운받는다. 해당 다운로더는 ‘upsupx.exe’ 파일명에서 “C:\Windows\Temp” 경로에 ‘conhost.exe’ 파일명으로 바뀌어 실행되고 원격 제어 프로그램과 txt, html 확장자를 가진 추가 파일들을 함께 다운받는다.

 

[그림 3] 추가 파일 다운로드 목록

 

 

[그림 4] 다운로더 실행 파일(‘conhost.exe’)

 


원격 제어 프로그램(‘item.dat’)은 오픈소스로 제작되었으며 파일 다운로드 및 업로드 할 수 있고 사용자 PC의 서비스, 레지스트리, 프로세스를 수정 및 모니터링 할 수 있는 기능을 갖고있으며 원격 제어 프로그램과 함께 다운로드 된 실행 파일은 아래 [그림 6]에 적혀있는 경로에 저장된다.

 

[그림 5] 원격 제어 프로그램 코드 일부

 

 

[그림 6] 다운로드 된 실행 파일 목록

 

 

다운로드 된 압축파일(‘msief.exe’)에는 자가 등록, 예약된 작업 등록, 특정 프로세스 종료, 윈도우 방화벽 설정 변경, 파일 및 폴더에 대한 사용자 권한을 변경 등 동작을 수행하는 배치파일(‘c3.bat’)과 배치파일을 호출하는 vbs 파일을 포함한다.

 

[그림 7] ‘c3.bat’ 파일의 내용

 

 

또한 다운로더와 원격 제어 프로그램은 추가 악성 행위를 하기 위해 지속적으로 C&C 서버와 통신을 유지한다.

 

[그림 8] C&C 서버와 통신

 

 

 


4. 결론

MBR을 이용한 악성코드는 소니픽처스 사건, 사이버테러 등 대규모의 사이버 공격에 종종 사용되었으며 운영체제의 하위 계층을 감염시키기 때문에 탐지 및 제거가 어렵다는 점에서 사용자의 주의가 요구된다. 현재도 지속적으로 유포되고 있는 코인 마이너가 부트킷 악성코드와 함께 유포 된다고 알려지기 때문에 다시 한번 더 주의가 필요하다.
불분명한 파일이거나 의심스러운 파일은 한번 더 신중히 생각하여 실행할 필요가 있으며, 백신 제품의 실시간 감지를 사용하여 의심스러운 파일의 실행을 방지하는 대비도 필요하다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0의 MBR 보호기능으로 실행을 방지할 수 있다.

 

[그림 9] TACHYON Internet Security 5.0 MBR 보호 화면

 

댓글

댓글쓰기

악성 파일 정보 관련된 글

관련글 더보기