현재까지 PC의 MBR(Master Boot Record)를 변조하여 악의적인 기능을 수행하는 부트킷(Bootkit)은 러시아와 루마니아를 포함한 동유럽 지역에서 제작되어 유포 되는 사례가 다수를 차지하고 있다.


이러한 부트킷에 대해 ASEC에서는 관련 분석 정보들을 블로그들을 통해 공유한 바가 있다.


2011년 10월 - MBR을 변조하는 Halcbot 부트킷 상세 분석


10월 12일 국내 PC 사용자를 대상으로 유포된 부트킷 기능이 포함된 온라인 게임 관련 개인 정보를 탈취하는 악성코드가 발견되었다.


이 번에 발견된 부트킷 기능의 악성코드는 "해피투게더.exe (230,349,368 바이트)"라는 파일명을 가지고 있으며 200 MB가 넘는 큰 크기를 가지고 있다. 해당 악성코드가 동작하는 전체적인 구조를 정리하면 아래 이미지와 동일하다.



유포된 해피투게더.exe 는 실제로는 인스톨 기능을 가진 인스톨러(Installer) 파일로서 해당 악성코드에 감염이 되면 crvsv.exe 가 실행이 되며, 실제 해당 crvsv.exe가 MBR 감염과 함께 온라인 게임 관련 악성코드를 감염시키는 드로퍼(Dropper) 이다.


해당 crvsv.exe 악성코드느 다음의 악의적인 기능을 수행하게 된다. 

 

국내 호스팅 서비스로 운영도는 웹 사이트로 감염된 시스템의 MAC 주소 및 운영체제 버전 정보 전송

 

그리고 DrvInstallDemo.sys 라는 드라이버 파일을 생성하고 실행하게 된다. 해당 드라이버 파일은 윈도우 시스템의 언파티션(Unpartition) 영역에 파일들을 쓸 수 있도록 Crvsv.exe는 드라이버 파일에게 컨트롤 코드(Control Code)를 전송 한다.

 

DrvInstallDemo.sys는 Crvsv.exe 로부터 컨트롤 코드(Control Code)를 받아 언파티션(Unpartition) 영역에 데이터를 쓰게 된다. 해당 부트킷은 언파티션(Unpartition)영역에 아래와 같은 간단한 파일시스템을 설정하게 된다.



각 섹터는 언파티션(Unpartition) 영역에서의 오프셋(Offset)이며 언파티션(Unpartition) 영역의 첫 번째 섹터가 이 데이터를 가지고 있다. 아래 이미지는 실제 감염된 시스템의 언파티션(Unpartition) 영역 첫번째 섹터 이다.



해당 아두스카(Aduska) 부트킷에 감염된 시스템이 재부팅하여 감염된 MBR이 실행 되면, Bootkit.sys가 로드 된다. 로드 된 Bootkit.sys는 PsSetLoadImageNotiftRoutine을 호출하여 이미지(Image)가 생성될 때마다 호출되는 콜백함수를 등록 하게 된다. 


해당 콜백함수는 Userinit.exe가 로드 될 때, DownDll.DLL을 언파티션(Unpartition) 영역에서 읽은 후 생성하게 된다.  생성된 DownDll.DL는 아래와 같은 온라인 게임 프로세스가 로드 될 때 인젝션(Injection)을 수행 하게 된다.


HIGHLOW2.EXE

POKER7.EXE

LASPOKER.EXE

BADUKI.EXE

DUALPOCKER.EXE


ASEC에서는 아두스카 부트킷 대한 정확한 진단 및 치료를 위해 아래와 같이 별도의 전용 백신을 제작하여 배포 중에 있다.


Aduska Bootkit


* 주의 사항


전용백신 실행 전 작업중인 데이타는 반드시 저장하시고, 전용백신 이외에 다른 응용 프로그램은 반드시 종료하시기 바랍니다. 또한 전용백신의 동작중 다른 응용 프로그램의 실행은 가급적 권장 하지 않습니다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원