Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Dictionary Attack Vicepass 악성코드 분석
작성일 2015-04-01 조회 3467



1.개요


네트워크 디바이스 사용량이 증가함으로써 최근 특정 네트워크 디바이스를 타겟으로 Dictionary Attack을 수행하는 Vicepass 악성코드가 발견되었다. 공유기 또는 일반적인 네트워크 디바이스들을 사용할 경우 비밀번호를 사용하지 않거나 기본적으로 제공되는 비밀번호를 사용하기 때문에 Vicepass 악성코드와 같은 유형에 감염 될 경우 사용자 시스템의 악의적인 행위를 할 수 있으며, 개인정보, 금융정보등으로 이어지는 제2의 피해가 발생하는 위험이 초래될 것으로 보여진다.해당 악성코드는 사설IP대역을 검색하여 공유기의 존재 유무를 파악하며, 악성코드에 명시되어 있는 특정 네트워크 디바이스를 타겟으로 악의적인 행위를 한다. Vicepass 악성코드는 타겟으로 지정한 네트워크 디바이스가 존재할 경우 알려진 ID/Passsword 리스트를 이용하여 Dictionary Attack으로 공유기에 접속을 시도한다.







2. 파일정보





File: update.exe
Size: 87040
MD5:  5F1997927E94B98982E5EE2CEA095956










3. Vicepass 악성코드 분석

Vicepass Malware는 아래 경로에 ' l ' , ' p ' 이름으로 숨김파일 속성으로 파일을 생성 시킨다.








생성된 파일은 아래 그림과 같이 특정 모델을 타겟에 ID/PW Dictionary Attack에 사용하기위한 ID,PW 리스트가 존재한다.
C:Documents and Settings[사용자이름]l

[l 파일에 존재하는 ID 리스트]
admin, Admin, administrator, Administrator, webadmin, user, root, blank, guest, supervisor, cmaker, netrangr, bbsd-client, hsa, wlse, d-link, D-Link







C:Documents and Settings[사용자이름]p

[P 파일에 존재하는 password 리스트]
admin Admin Administrator adm Amd root password password0 password1 user User supervisor0000 ,1111,2222,3333,4444,7777,1000,2000,1212,2112,6969,1234,12345, 000000,111111,222222,666666,777777,121212,131313,232323,123123,321321,123321,321123,112233,123456,654321,987654,159753,1111111,7777777,1234567,11111111,88888888,
12345678,111111111,999999999,123456789,987654321,1234567890,qwerty,qweqwe,123qwe,qwe123,123ewq,qwe321,ewq321,ewq123,qazwsx,qwaszx,qweasdzxc,qweasd,DLink,public,
private,secret,alpine,qwertyuiop,klaster,1qaz2wsx,1q2w3e4r,1q2w3e4r5t,1q2w3e4r5t6y7u8i9o0p,zxcv,zxcvb,zxcvbn,zxcvbnm,1234qwer,asdfgh,marina,tinkle,monkey,abc123,iloveyou,password1
,zaq12wsx,zaq123wsx,zaq1wsx,monkey,dragon,qwerty123,target123,gfhjkm,123123Aa,system,Cisco,_Cisco,cmaker,cisco,tivonpw,wisedb,blender,hsadb,default,attack,changeme,changeme2,
diamond,letmein,pnadmin,secur4u,ripeop,riverhead,baseball,football,monkey,access,mustang,shadow,letmein,abc123,abcdef,superman,batman,passwd,internet,Internet,newpass,jesus,god
,angel,link,work,job,the,ilove,iloveyou,sex,connect,master,killer,pepper,career,sky











Vicepass Malware는  감염 시스템과 C&C와의 연결을 시도한다. C&C IP는 91.219.195.42 이다.
이 후 연결되어있는 사설 IP대역을 탐색 하기위해 192.168.0.1 ~ 192.168.6.11까지 Get요청을 통해 로그인 페이지를 스캔한다.




















스캔 후 네트워크 디바이스를 탐색한다. Vicepass malware에서 string 기반으로 매칭될 문자열 조건은 아래와 같다.
[타겟 네트워크 디바이스 리스트]
[unknown = Unknown], [dlink, d-link = Dlink], [laserjet = HPLaserJet], [apache = Apache server], [cisco = Cisco], [gigaset = Gigaset]
[asus = Asus], [apple, iphone, ipad = Apple], [logitech = logitech], [samsung, xbox = Play], [hp = MaybeHP]








Vicepass Malware에 언급된 네트워크 디바이스가 매칭될 경우 아래 그림과 같이 C&C 서버에 "host주소/index.php?dat=[암호문자열]" 형태로 Get 요청한다.







생성된 'l' , 'p' 파일의 ID/Password 리스트를 이용하여 네트워크 디바이스에 Dictionary Attack을 시도한다.
네트워크 디바이스가 ID/password 리스트에 값이 존재 할 경우 php의 basic과 digest 방식으로 인증을 시도한다.
참조: http://php.net/manual/kr/features.http-auth.php








네트워크에 연결된 디바이스의 로그인이 성공 할 경우 로그인 패스워드 디바이스 정보를 C&C로 전송하며 그렇지 않을 경우 "can't log in" 문자열을 추출한다.







Vicepass Malware에 의한 악의적인 행위가 끝난 후 사용자가 Flash Update 파일을 사용한 것처럼 눈속임을 하기위해 install 이벤트 창을 생성 한다.










이벤트 메시지를 생성 후 실행 악성코드를 삭제한다.
"cmd.exe /C ping 1.1.1.1 -n 1 -w 3000? Nul & Del [악성코드 실행 위치]"








4. Sniper CVM 악성코드 탐지


현재 Sniper CVM에서는 Vicepass 악성코드를 탐지하고 있다









5. 결론

Vicepass 악성코드와 같은 네트워크 디바이스를 타겟으로 하는 악성코드가 유사한 형태로 지속적으로 발견되고 있다.
네트워크 디바이스 사용자들이 자주 사용하는 ID/password 또는 네트워크 디바이스에서 기본으로 적용되어 있는 ID/비밀번호 등으로
Dictionary Bruteforce 공격을 수행한다. Dictionary Bruteforce 공격을 사용하여 네트워크 디바이스를 탈취 할 경우 해당 디바이스와 연결되어 있는 모든 사용자들이 또 다른 악성코드에 감염되어 개인정보, 금융정보, 시스템 원격제어, 시스템파괴 등으로 이어질 수 있는 위험한 피해가 발생 할 수 있다. 이러한 위험에 대응하기위해선 네트워크 디바이스의 비밀번호 설정을 알려지지 않은 비밀번호를 사용하며, 네트워크 디바이스를 최신버전으로 유지하도록 한다.


**참조
1) http://www.scmagazine.com/malware-that-connects-to-home-routers-deletes-itself-without-a-trace/article/403050/
2) http://blog.trendmicro.com/trendlabs-security-intelligence/malware-snoops-through-your-home-network/
3) http://php.net/manual/kr/features.http-auth.php
4) http://www.dailysecu.com/news_view.php?article_id=9092











 

첨부파일 첨부파일이 없습니다.
태그