악성코드에서 USB와 같은 이동형 저장 장치를 자신의 복제본을 전파하기 위한 수단으로 사용되기 시작한 것은 이미 오랜전 일로 변해버렸다. 이러한 이동형 저장 장치를 악성코드 전파의 수단으로 사용되는 점은 과거 플로피 디스켓이 DOS 운영체제에 감염되는 바이러스의 전파 수단이 되는 것과 같은 동일한 선상에 있다고 할 수 있다.


이러한 USB와 같은 이동형 저장 장치로 인해 악성코드가 유포되었던 대표적인 사례들은 아래와 같이 정리 할 수 가 있다.


2010년 5월 21일 - 호주 보안 컨퍼런스에서 악성코드에 감염된 USB 배포


2010년 6월 2일 - 독일에 수출된 삼성 바다폰에 감염된 악성코드


2010년 9월 10일 - 해외에서 이메일을 이용해 대량 유포된 Swisyn 웜


이러한 대표적인 사례들 외에도 다수의 악성코드들에서 USB와 같은 이동형 저장 장치를 악성코드 유포의 매개체로 하여 사용되었던 사례들이 존재하며, 현재까지도 이러한 사례들이 적지 않게 발견되고 있다.


2012년 12월 4일 국내 기업 고객을 통해 확인된 DorkBot 변형에서는 기존 이동형 저장장치와는 다른 형태의 Autorun.inf 파일을 생성하는 것이 발견되었다.


이 번에 발견된 DorkBot 변형 제작자는 백신(Anti-Virus) 소프트웨어에서 이동형 저장 장치 루트에 생성되는 Autorun.inf 파일을 탐지하기 위한 다양한 기법들이 포함된 것을 파악하고, 아래 이미지와 같이 실제 Autorun 관련 명령어들 사이에 다수의 쓰레기 데이터를 채워 놓고 있다.




이러한 다수의 쓰레기 데이터를 채움으로써 백신 소프트웨어의 탐지와 함께 분석을 지연시킬 목적으로 사용하는 특징이 존재한다.


이 외에 해당 DorkBot 변형은 공개되지 않은 프라이빗 패커(Private Packer)로 실행 압축 되어 있으며, 이를 풀게 되면 Visual C++로 제작된 코드가 나타나게 된다.


해당 악성코드가 실행이 되면  자신이 실행되는 영역이 다음과 같은 가상화 공간인지 확인 후 가상화 공간일 경우 실행을 중단하게 된다.


Qemu

VMWrare

VirualBox


만약 가상화 공간이 아니라면 감염된 시스템에 존재하는 정상 시스템 프로세스인 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의 코드 전체를 삽입하게 된다. 



그리고 자신의 복사본을 rwrttxx.exe (90,112 바이트) 라는 파일명으로 다음의 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\rwrttxx.exe


그리고, 감염된 시스템에 USB와 같은 이동형 저장장치가 연결되어 있다면 악성코드 자신의 복사본인 DSCI4930.jpg (90,112 바이트)Autorun.inf (294,819 바이트) 파일을 생성 한 후, 숨김 및 시스템 속성을 부여하여 윈도우 탐색기에서 파일들이 보이지 않게 숨기게 된다.


G:\AdobeReader\DSCI4930.jpg (90,112 바이트)

G:\autorun.inf (294,819 바이트)


만약 이동형 저장장치에 다른 폴더와 파일들이 존재할 경우, 해당 폴더와 파일명의 바로가기 파일(*.ink)을 생성 한 후, 이 역시 숨김 및 시스템 속성을 부여하여 윈도우 탐색기에서 보이지 않게 만들게 된다.


감염된 시스템의 윈도우 레지스트리에 다음의 키 값들을 생성하여, 부팅 시마다 생성한 악성코드가 자동 실행 되도록 구성하게 된다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher = C:\Documents and Settings\[사용자 계정명]\Application Data\rwrttxx.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher = C:\Documents and Settings\[사용자 계정명]\Application Data\rwrttxx.exe


그리고 감염된 시스템에서 실행 중인 전체 프로세스 리스트를 검사하여 시스템 모니터링 관련 유틸리티가 실행 중이라면 강제 종료를 수행하게 된다.


해당 악성코드는 감염된 시스템에서 다음의 URL 주소를 가진 C&C 서버로 접속을 수행하게 되나, 분석 당시에는 정상적인 접속이 이루어지지 않았다.


entceqipqujagjzp/ngrs/gate.php


해당 URL 주소를 가진 C&C 서버로 접속이 정상적으로 성공하게 되면, 공격자의 명령에 따라 다음의 악의적인 기능을 수행하게 된다.

시스템 재부팅
파일 다운로드 및 업로드
DDoS 공격(UDP, SYN) 시작 및 중단
운영체제 버전 정보
MSN, Gtalk, eBuddy, Facebook 메신저 프로그램을 이용한 악성코드 전파 시작 및 중단
FileZilla에 설정되어 있는 서버 주소 및 계정 정보 탈취

이외에 다음의 소셜 네트워크(Social Network) 웹 사이트들에 사용자 계정 세션이 활성화 되어 있을 경우, 해당 악성코드를 유포하기 위해 악성코드를 다운로드 가능한 게시물들을 세션이 활성화 된 사용자 계정으로 생성하게 된다.

Bebo.com 
Liknkedin.com
Myspace.com
Twitter.com
Facebook.com

그리고 감염된 시스템의 사용자가 다음 웹 사이트들에 로그인 하게 되는 경우, 사용자 계정명과 로그인 암호를 C&C 서버로 전달 하게 된다.

Webnames.ru, Live.com, Gmail.com, Yahoo.com, Zpag.es, Linkbucks.com, Adf.ly, Twodallarclick.com, Blockbuster.com, Netflix.com, Uploading.com, Fileserver.com, Hotfile.com, Therpiratebay.org, Bangbros.com, Naughtyamerica.com, Brazzers.com, Pornhub.com, Hackforums.net, Wmtransfer.com, Moneybooker.com, Paypal.com

이 번에 발견된 백신 제품의 탐지를 우회하기 위한 Autorun.inf 파일을 생성하는 DorkBot 변형은 V3 제품 군에서 다음과 같이 진단한다.

Win-Trojan/Klibot.90112

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 7월 27일 "Adding Android and Mac OS X Malware to the APT Toolbox" 제목의 문서를 공개하였다.


해당 문서는 2012년 3월 해당 업체에서 공개한 "Luckycat Redux: Inside an APT Campaign" 럭키캣(Luckycat)이라고 명명된 APT 공격 형태를 조사하는 과정에서 발견된 안드로이드(Android) 악성코드에 대해 다루고 있다.


해당 업체에서는 럭키캣 APT 공격과 관련된 특정 C&C 서버를 조사하는 과정에서 해당 C&C 서버에서 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 2개의 안드로이드 스마트폰에 설치 가능한 APK 파일 2개를 발견하게 되었다고 한다.


ASEC에서는 해당 2개의 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 파일들을 확보하여 자세한 분석을 진행하였다.


2개의 APK 파일들은 모두 동일한 기능을 하도록 제작되었으며, 그 중 testService.apk (17,810 바이트)을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 동일한 아이콘을 생성하게 된다.



그리고 해당 앱을 사용자가 직접 실행시키거나  스마트폰이 사용자에 의해 부팅하게 될 경우 이를 자동으로 감지하여 TService 라는 서비스로 실행하게 된다.



해당 서비스는 감염된 안드로이드 스마트폰에서 IMEI(International Mobile Equipment Identity), 스마트폰 번호와 저장 장치의 파일 정보들을 수집하여 중국에 위치한 gr******ns.3322.org:54321 해당 C&C 서버와 통신을 시도하게 된다.



해당 C&C 서버와 통신이 성공하게 되면 아래 이미지와 같이 공격자가 지정한 다양한 악의적인 명령들을 수행할 수 있게 된다.



공격자는 파일 업로드 및 다운로드, 인터넷 연결 접속 그리고 원격 명령을 수행하는 리모트 쉘(Remote Shell) 명령을 C&C 서버를 통해 내릴 수 있다.


이번 럭키캣 APT 공격과 관련된 특정 C&C 서버에서 발견된 안드로이드 악성코드들 모두 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Infostealer.G

Android-Trojan/Infostealer.H


해당 2개의 안드로이드 악성코드가 실제 럭키캣 APT 공격에 사용되었는지는 명확하지 않다.  그러나 APT 공격과 관련된 C&C 서버에서 발견되었다는 사실로 미루어 볼 때, APT 공격을 수행한 공격자들은 안드로이드 악성코드 제작과 유포를 통해 특정 조직의 중요 정보 탈취에 악용하고자 하였던 것으로 추정된다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원