Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보백도어 유형의 악성 코드 유포 확인 / 분석
작성일 2015-02-03 조회 3223
1. 개요
 지난 주말 (1월 31일 ~ 2월 1일) 다수의 악성 코드가 유포된 가운데 백도어 유형 악성 코드가 확인되어 본 게시 글에서 살펴보고자 한다. 본 악성 코드의 경우 Network Payload에서 확인되는 특정 문자열이 확인된 바, Gh0st 계열의 악성 코드로 판단된다. 다만, 기존의 Gh0st Bot 유형과는 호스트 단위에서의 악성 행위가 차이가 있는 것으로 보아 공개된 Gh0st 소스를 기반으로 공격자에 의해 수정된 악성 코드로 유포된 것으로 추정해 볼 수 있다. 본 게시글에서는 악성 코드의 악성 행위 및 이로 인해 영향을 받는 위협에 대해 같이 살펴보고 감염 사실을 확인할 수 있는 방법에 대해서도 간략히 확인해보고자 한다.
 
 
2. 확인 / 분석
 1) 아래와 같이 1월 31일 (토) 다수의 경유지를 통해 69a.exe 파일의 유포 정황을 확인하였다.
 
    
     [그림1. 악성 코드 유포 정황 확인]
 
 2) 악성 코드는 유효한 디지털 서명을 가지고 있어 정상 파일로의 위장을 시도하며 사용자로 하여금 우회하고자 한다.

    
     [그림2. 악성 코드의 유효한 디지털 서명 사용 확인]
 
 3) 실행 시 악성 행위를 구별할 수 있는 증상이 있을까?
  - 대부분의 악성 코드가 자신의 행위를 은닉하기 위해 일련의 행위를 하겠지만 본 악성 코드는 그 행위 발견이 시각
    적/즉각적으로 쉽지 않다.
 
 4) 그렇다면 어떻게 확인할 수 있을까? 우선 아래 그림을 한 번 살펴보자. 조금이라도 자신이 사용하고 있는 시스템의
    관리에 관심 있는 사용자는 아래 ProcessExplorer GUI 화면이 어색하지 않을 듯 생각된다. 아래 화면에서 악성으로 
    의심 되는 부분이 존재하는지 같이 한 번 살펴보자.

    
     [그림3. 악성 코드 감염 후 프로세스 실행 내역]
 
  - 악성 코드를 분석하는 분석가 입장에서도 위 화면으로 보았을 때 즉각적으로 악성 의심 파일을 확인하기는 쉽지 않
    을 것이다. 다만, 조금 더 주의 깊게 살펴보다 보면 WinAutoUpdate.com 이라는 프로세스를 확인할 수가 있을 것이
    다. 아마도 이 파일이 악성 행위를 하는 주범으로 우선은 의심해 볼 수 있다. 그 이유는 실행 파일의 확장자가 .exe
    가 아닌 .com인 점, 또한 주요 시스템 프로세스가 위치할 트리 위치에 낯선 이름으로 생성된 점이 의심 사유로 생각
    할 수 있겠다.
 
  - WinAutoUpdate.com을 더블 클릭하면 해당 프로세스의 정보가 나오는데 아래 부분을 유심히 살펴보자. 특정 Re
    mote Address와 TCP ESTABLISHED 상태를 유지 하고 있다.

    
     [그림4. WinAutoUpdate.com의 TCP/IP 상태 확인]
 
  - 또한 아래 화면에서는 Service 명을 확인할 수 있는데 알 수 없는 이름의 Service 명이 존재함을 확인할 수 있다.

    
     [그림 5. WinAutoUpdate의 Service 이름 확인]
 
 5) 위와 같이 악성 의심 프로세스를 예상한 상태에서 조금 더 분석을 해보자.
  - 최초 악성 코드로부터 우리가 의심한 악성 프로세스를 실행시킬 수 있는 파일을 생성함을 확인할 수 있다.

       
     [그림 6. 최초 악성 코드로부터 복사 되는 WinAutoUpdate.com]
 
  - 4)에서 확인한 서비스 역시 생성함을 확인할 수 있다. 서비스 생성을 통해 무엇을 하려는 것일까? 제일 큰 목적은 서
    비스의 가용성을 지속하는 것이며, 또한 윈도우 서비스라는 안전할 것 같은 매개체를 통해 사용자의 눈을 피하기 위
    함일 것이다.

    
     [그림7. 서비스 생성]
 
 6) 최초 생성된 악성 코드는 드라이브 바이 다운로드로 다운로드 시에 %TMP% 등의 임시 폴더에 생성될 것으로 예상
    되는 바, 이런 파일이 사용자에 의해 발견 시 악성 코드 감염 사실에 노출될 수가 있다. 이에 악성 코드는 아래와 같
    이 VBScript를 생성하여 자기 자신을 삭제하도록 한다.

    
     [그림8. 자가 삭제 VBScript의 생성을 위해 내용을 구성]
 
    
     [그림9. VBScript 생성/실행]
 
 7) 위의 일련의 악성 행위 진행 후 C&C 서버와 통신을 진행하는데 그 중 초기 접속 부분의 Network Traffic은 아래와
    같다.

    
     [그림10. 악성 Network 통신 확인]
 
  - 위 그림에서 보면 A1CEA라는 문자열을 시작 위치 0으로 하여 통신을 주고 받고 있다. 이는 특정 문자열을 시작 위치
    0으로 한 뒤, 압축된 데이터 (보통 zlib 이용)를 더하여 통신하는 Gh0st 통신에서 사용된 문자열이다. 이를 통해 1차
    적으로 Gh0st 유형의 백도어 Network Traffic이 아닌가 의심해 볼 수 있다.
 
 8) 7)에서 확인한 Network Traffic을 Gh0st Protocol 규격에 맞춰 생각을 해보고자 한다.
  - 아래는 일반적인 Gh0st Protocol 규격이다. Gh0st 3.78 버전까지도 아래와 같은 규격을 사용하고 있음이 확인된 가
    운데 다만, 3.78의 경우 zlib header (78 9C)가 널리 알려진 값이기에 이를 변형시키기 위해 zlib header부터 data까
    지 특정 Key 값을 기반으로 XOR 하는 형태로 변형되어오고 있다.

    
     [그림11. Gh0st Protocol Format]
 
  - 7)에서 확인 Network Traffic에서 아래와 같이 확인해보고자 한다.
 
   # 첫 번째 밑줄은 Flags 값이다.
   # 두 번째 밑줄은 압축 된 상태의 Size로 22byte다. 한 번 “41 31 43 45 ~ 69 cc 72 ec” 길이를 세워보자. 정확히
      22byte임을 확인할 수 있다.
   # 세 번째 밑줄은 압축 해제된 상태의 사이즈로 당사의 Gh0st 3.75, 3.78 연구 결과 압축 된 상태의 Size가 22byte일
     경우, 압축 해제된 상태의 사이즈는 일반적으로 1byte로 Bot과 RAT간 특정 상태를 주고 받는 용도로 사용된다.

    
     [그림12. Network Traffic 통신 중 Gh0st Protocol 규격과 매칭하여 본 상태]
 
  - 그렇다면 이후에 나오는 “da 41” 이후의 데이터는 어떻게 설명할 수 있을까?
    정확한 확인은 현재로서는 확인되지 않지만 da 41 이후의 데이터는 공격자가 임의의 값으로 XOR하여 변형한 뒤 통
    신 시 사용한 것으로 예상된다.
 
  - 이와 같이 확인된 내용을 보아 본 악성 코드는 Gh0st 계열의 변형된 악성 코드로 추정해 볼 수 있다.
 
3. 정리
 최근 다수의 악성 코드 유포 정황이 확인되고 있다. 대부분이 금융 정보 탈취를 시도하는 악성 코드이지만 그 사이에서 시스템 장악을 통한 원격 모니터링, 키 로깅 ,웹 캠 제어 등의 행위를 할 수 있는 백도어 유형의 악성 코드도 확인이 되고 있다. 위에서 확인한 것과 같이 본 악성 코드의 유형들은 눈으로 즉각적으로 확인하기 어렵다. 또한 본 악성 코드 감염으로 인해 금전적인 피해, 개인정보 유출은 물론 특정 공격 대상으로 한 공격에 이용될 수 있기에 그 위험성을 미칠 수 있는 대상 시스템 범위는 제한적이지 않고, 확장 가능성이 존재한다. 확인한 악성 코드의 경우 공개된 Gh0st RAT 소스를 기반으로 변형된 형태로 의심되며, 이는 동일하지 않은 Gh0st 계열의 악성 코드의 유포가 진행될 수 있음을 나타내줄 수 있는 것으로 판단된다. 이제 PC를 사용하는 일반 사용자들은 단순히 제공되는 서비스를 이용만할 것이 아니라 본 게시 글에서 확인한 간단한 점검 등을 통해 자신이 사용하고 있는 시스템이 감염되었는지 점검해 볼 수 있도록 해야하지 않을까 생각된다. 각 기업의 담당자들도 이와 같은 백도어 유형의 악성 코드는 기업 자산의 유출과 직결되는 것이므로 각별히 주의할 수 있도록 해야하겠다.
 
 
4. 대응
 1) SNIPER CVM에서는 아래와 같이 실시간  탐지/대응 하고 있다.
 
    
     [그림13. SNIPER CVM 탐지]
 
첨부파일 첨부파일이 없습니다.
태그