최근들어 사용자 시스템의 호스트파일(hosts) 변조를 통한 은행 피싱사이트 방문 유도 및 이를통한 금융정보 유출을 시도하는 악성코드가 빈번하게 발생하고 있다. 관심있게 볼 부분은 3월말부터 접수되는 이러한 유형의 악성코드 내부에는 'Gh0st' 라는 이름의 원격제어 툴이 함께 배포되고 있다는 점이다. 현재 확인된 'Gh0st' 원격제어 툴의 버전은 3.75 버전이며, 이는 다양한 형태의 DDoS 공격기능을 포함하고 있다. 즉, 공격자는 악성코드에 감염된 사용자로부터 금융정보를 탈취하려는 목적 외에 특정 사이트에 대한 DDoS 공격을 위한 좀비PC로도 활용하려는 것으로 추정된다. 'Gh0st' 원격제어 툴에서 갖는 DDoS 기능은 2011년 국내기관 DDoS 공격에 사용된 '카스'라는 툴과 유사한 기능을 갖는다.

 

 

1. 악성코드 감염

 

현재까지 확인된 Gh0st 3.75 버전의 DDoS 공격기능을 갖는 뱅킹악성코드의 감염은 크게 2가지 형태로 이루어지고 있다. 아래의 [그림-1]은 다양한 파일공유 사이트를 통해 다운로드 받은 (정상파일을 위장한) 애드웨어 프로그램에 의해 감염이 이루어지는 것을 나타낸다. 특정 시점에 원래 배포되던 애드웨어 프로그램이 뱅킹악성코드로 교체된 것을 알 수 있다.

 

[그림-1] 뱅킹악성코드 감염사례(1)

 

아래의 [그림-2]는 취약한 웹페이지 접속을 통해 악성 사이트로 리다이렉션(Redirection)이 이루어지며, 이를통해 뱅킹악성코드에 감염된 사례를 나타낸다.

 

[그림-2] 뱅킹악성코드 감염사례(2)

 

[그림-1]과 [그림-2]를 통해 감염된 (B)그룹(붉은색 표시)의 악성파일들이 뱅킹악성코드를 나타내며, 과거에는 단순히 뱅킹정보 유출기능만을 갖고있었으나, 3월말부터 발견된 파일의 경우, 'Gh0st' 원격제어 툴이 함께 포함되어 배포되고 있다. 2012년에도 이와 유사한 내용의 분석정보가 소개된 적이 있다. (참고: http://erteam.nprotect.com/333, "[긴급]국내 인터넷뱅킹용 악성파일 유포조직 원격제어 시도") 당시에 사용된 원격제어 툴도 'Gh0st'로 현재와 동일하다. 하지만, 현재 발견되고있는 악성코드의 경우, 'Gh0st' 모듈이 별도의 파일(DLL형태)로 생성되지 않고 메모리상에서만 존재한다. 또한, 과거 발견 악성코드의 경우, DDoS 공격기능이 없는 단순히 원격제어(파일전송, 키로깅, 화면캡처, 명령쉘 실행 등)를 위한 버전이었다는 차이를 갖는다.

 

아래의 [그림-3]은 (B)그룹의 뱅킹악성코드 프로세스 메모리 영역 중, 0x10000000 주소부분을 나타내며, 'Gh0st' 3.75 버전의 클라이언트 모듈임을 확인할 수 있다.

 

[그림-3] 메모리상의 'Gh0st' 3.75 버전의 클라이언트 모듈

 

 

2. Gh0st RAT(Remote Access Trojan) - 3.75 버전

 

아래의 문자열 정보는 뱅킹 악성코드의 메모리 영역 중 0x10000000 주소영역에 존재하는 'Gh0st' 모듈 내부에 존재하는 것으로, DDoS 공격과 관련된 부분을 나타낸다. 이외에도 다양한 원격제어 기능 및 특정 AV 제품관련 프로세스 강제종료, 윈도우 방화벽관련 서비스 중지등의 기능을 갖는다.

 

(1) TCP, UDP, ICMP, SYN 공격관련

\DNM.ini
\DN.ini
\UDM.ini
\UD.ini
\SYM.ini
\SY.ini
\SPM.ini
\SP.ini
\ICM.ini
\IC.ini 

 

(2) HTTP 공격관련

GET /%s HTTP/1.1
Accept: application/x-shockwave-flash, image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/xaml+xml, application/x-ms-xbap, application/x-ms-application, application/QVOD, application/QVOD, */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE %u.0; Windows NT %u.1; SV1; .NET4.0C; .NET4.0E; TheWorld)
Host: %s
Connection: Keep-Alive

 

아래의 [그림-4]는 'Gh0st' 3.75 버전의 공격자 서버 모듈 실행 시 화면이며, DDoS 공격방식 및 공격대상 지정, 파일 다운로드 주소를 설정하는 부분을 나타낸다. 다양한 DDoS 공격방식(HTTP, TCP, UDP, ICMP)을 선택할 수 있으며, 공격 쓰레드(Thread)의 수 및 Sleep 시간을 설정하여 공격의 강도를 조절할 수 있는 구조를 갖는다.

 

[그림-4] 'Gh0st' RAT 3.75 버전

 

아래의 [그림-5]는 2011년 국내기관 DDoS 공격에 사용되었던 '카스' 툴의 화면을 나타낸다. 'Gh0st' 툴에 존재하는 DDoS 공격방식과 유사한 구조를 갖고 있음을 알 수 있다.

 

[그림-5] 국내기관 DDoS 공격에 사용된 '카스' 툴

 

현재까지 확인된 공격자 C&C 주소는 총 6곳이며, 파일내부에 공통적으로 존재하는 3곳의 주소는 2차 파일 다운로드를 위해 지정한 곳으로 'Gh0st' 툴에서 디폴트로 제공되는 설정값으로 추정된다.

 

(1) 공격자 사이트

- 2c??erkt.com:2012

- ?????ong.jnmlt.com:2012
- ?????ong.jsygmp.com:2012
- ???.egp.kr:5881
- ???.jbsystem.net:5881
- ???.egpower.net:5881

- www.sksk????.com:2012

 

(2) 파일다운로드 주소 (디폴트 설정값으로 추정)

- www.wk1888.com:2011/1.exe
- www.af0575.com:2011/1.exe
- www.fz0575.com:2011/1.exe

 

최근들어 애드웨어 파일을 위장하여 설치되는 'CyberGate' 원격제어 툴과 뱅킹악성코드와 함께 설치되는 'Gh0st' 원격제어 툴의 접수가 증가하는 현상을 볼 때, 감염된 다수의 사용자들의 시스템을 이용하여 2차 공격(DDoS, 시스템파괴, 중요자료 유출)이 이루어질 것으로 추정된다.

 

V3에서는 뱅킹악성코드 감염에 이용된 애드웨어 파일은, 'PUP/Win32.UtilTop' 로 진단하고 있으며, 그 외의 뱅킹악성코드는 아래와 같은 이름으로 진단하고 있다. 

 

- Dropper/Win32.Bankirat

- Trojan/Win32.Bankirat

- Trojan/Win32.Banki

- ...

 

최근들어 정상 설치파일 위장한 애드웨어 파일에 의해 악성코드 감염이 증가하고 있음으로, 파일공유 사이트를 통한 설치파일 다운로드 시, 사용자의 주의가 요구된다. 또한, 취약한 웹 사이트 방문을 통한 악성코드의 감염은 대부분 자바 취약점을 이용하여 감염이 이루어짐으로 최신으로 업데이트하는 작업이 필요하다.

 

- http://www.java.com/ko/download/help/java_update.xml

 

 

3. 참고 사이트

- http://erteam.nprotect.com/333

- http://nopsled.tistory.com/29
- http://intumyself.tistory.com/242

- http://dailysecu.com/news_view.php?article_id=6536

- http://blog.trendmicro.com/trendlabs-security-intelligence/dark-ddosser-leads-to-gh0st-rat/

 

Creative Commons License
Creative Commons License
Posted by yhayoung